六個月前，谷歌發(fā)布了一個價值20萬美元的漏洞獎勵公告，大意是：誰可以只使用受害者的電話號碼和電子郵件地址遠(yuǎn)程入侵對方的Android設(shè)備？20萬美元的獎金。少俠拿去吧。請慢點(diǎn)走！幾乎沒有人戰(zhàn)斗。（幾乎兩個詞可以刪除）聽起來像是個好消息，這表明谷歌的移動操作系統(tǒng)是高度安全的？但這似乎不是原因。無論它多么安全和系統(tǒng)化，總會有人愿意挑戰(zhàn)它。事實上，當(dāng)名為“zeroprize”的漏洞獎勵計劃啟動時，真正的原因已經(jīng)被指出：對于一個可以遠(yuǎn)程修復(fù)設(shè)備權(quán)限而不依賴用戶交互的漏洞，20萬美元是一個可怕的小數(shù)目！一位用戶在獎賞公告的底部留下了一條信息：“如果有人真的能這樣做，并將漏洞賣給其他公司或機(jī)構(gòu)，他們會賺很多錢！”市場并不具有欺騙性。幾個月后，谷歌自己被迫承認(rèn)了這一點(diǎn)。因此，上周（當(dāng)?shù)貢r間3月30日），他們發(fā)布了一篇博文，稱：考慮到競爭規(guī)則的難度，獎金的金額實在有點(diǎn)太低了。然而，除了獎金太少之外，還可能與漏洞攻擊的高度復(fù)雜性和過于嚴(yán)格的規(guī)則有關(guān)。雷鋒表示，攻擊者可能需要一系列漏洞才能遠(yuǎn)程獲取設(shè)備的根權(quán)限或完全控制設(shè)備。要實現(xiàn)遠(yuǎn)程攻擊，攻擊者必須至少在移動應(yīng)用程序中找到遠(yuǎn)程代碼執(zhí)行漏洞。要完全控制設(shè)備，它需要一個權(quán)限提升漏洞，才能從應(yīng)用程序的沙箱中逃脫。在這種情況下，谷歌還要求參賽者在沒有用戶交互幫助的情況下完成攻擊。換句話說，攻擊者無法誘導(dǎo)用戶點(diǎn)擊任何惡意鏈接、訪問惡意網(wǎng)站、接受并打開任何文件等。只需知道對方的手機(jī)號碼和電子郵件，并直接處理對方的設(shè)備。這些嚴(yán)格的規(guī)定明確限制了研究人員的攻擊方法?！薄坝捎谑謾C(jī)不能從鏈接下載，只能從手機(jī)的內(nèi)置短信或固件、電話應(yīng)用程序和蜂窩網(wǎng)絡(luò)等底層軟件下載。這就像綁手綁腳。關(guān)鍵是要少給錢。就連安全公司Zimperium的創(chuàng)始人兼董事長祖卡夫拉哈姆也不能抱怨不要下載應(yīng)用程序。（雷鋒注：zimperium是傳奇黑客凱文·米尼克（Kevin Mitnick）去年加入的安全公司）：可以實現(xiàn)無需交互的遠(yuǎn)程操作非常罕見。它需要打開一個相當(dāng)大的大腦洞，并結(jié)合高超的技能來實現(xiàn)它。這個價格已經(jīng)遠(yuǎn)遠(yuǎn)超過20萬美元。巧合的是，一位名叫zerodium的“安全漏洞軍火商”“該公司還提出以20萬美元的價格購買Android系統(tǒng)的漏洞，但他們沒有限制攻擊者使用鏈接、網(wǎng)絡(luò)釣魚和其他需要用戶交互的方法。一般來說，zerodium會將這些漏洞出售給執(zhí)法機(jī)構(gòu)和情報機(jī)構(gòu)等客戶。對于技術(shù)人員來說，既然價格是20萬美元，為什么選擇更困難的方法呢？”我們不能以同樣的價格成交任務(wù)呢？更不用說在地下黑市，這些漏洞可能會以更高的價格出售。如何平衡技術(shù)漏洞的價值？雖然由于難度，谷歌這次的漏洞獎勵設(shè)置得太高，導(dǎo)致了項目的一些小失敗。然而，就技術(shù)脆弱性獎勵而言，谷歌確實在全球公司和機(jī)構(gòu)中排名第一。此前，他們還制定了許多非常成功的安全獎勵計劃。對于技術(shù)漏洞的價值也存在一些爭議。早些時候，雷鋒發(fā)表了一篇題為《北京二環(huán)有什么漏洞能買得起套房？》的文章文章當(dāng)時，一位國內(nèi)網(wǎng)絡(luò)安全專家直言不諱地告訴雷鋒的編輯，技術(shù)漏洞的價值被嚴(yán)重低估，只能通過公關(guān)活動來彌補(bǔ)。一些國際巨頭的價格比黑市低很多倍，這就像一個笑話。這讓雷鋒編輯不僅對2015年VUpEN pwn2own團(tuán)隊的著名黑客破解大賽提出了抱怨。2015年，pwn2own黑客競賽即將招募，但之前的大贏家、第一個公開破解Chrome瀏覽器的頂級黑客團(tuán)隊vupen宣布放棄。他們的團(tuán)隊創(chuàng)始人公開抱怨社交媒體：你在開玩笑嗎？TM削減了獎金，大大增加了難度，我將在2016年再看一看?！皬摹按嗳跣晕淦鹘?jīng)銷商”zerodium發(fā)布的脆弱性獲取數(shù)量來看，商業(yè)獲取的價格確實高于之前各種競賽提供的獎金。[zerodium提供的漏洞獲取價格]一方面，技術(shù)漏洞的價值無法用金錢衡量。漏洞挖掘者可能只是為了技術(shù)榮耀或極客精神而挑戰(zhàn)技術(shù)高峰；但另一方面，脆弱性的價值不能用金錢來衡量，也不能成為低估脆弱性價值的理由。畢竟，一些破解方法需要技術(shù)人員花費(fèi)一生的時間來學(xué)習(xí)，有時他們需要一些運(yùn)氣和巨大的努力來找到它們。像pwn2own這樣的頂級黑客活動也將每年調(diào)整獎金和破解規(guī)則，以適應(yīng)實際情況。如果我們撇開黑客競爭和獎勵的其他含義不談，僅就獎金而言，制造商就是真正的大贏家。通過支付不太高的獎金，他們可以獲得如此多的高科技漏洞和利用方法。然而，對于技術(shù)人員來說，挖掘漏洞、向制造商屈服、參與黑客競賽可能涉及金錢、榮譽(yù)、正義、風(fēng)險、道德等方面。如何關(guān)注技術(shù)本身的漏洞，不僅是如何關(guān)注技術(shù)本身的漏洞，也是如何失去研究者原有的意義。然而，根據(jù)雷鋒的編輯，漏洞獎勵并不是一種簡單的市場行為。它更英勇、更高尚、更科技。

« 湖南電信寬帶免費(fèi)升級200m多終端看4K不卡頓 | 互聯(lián)網(wǎng)金融正走在正確的軌道上：財務(wù)管理、理財辦公室、極光金融、愉快貸款和愛心資金更有保障 »