漏洞懸賞攀升至200萬美元 誰在提供漏洞、誰在付錢?
責編:gltian |2019-01-15 15:00:33蘋果iOS的遠程漏洞最高獎勵已升至200萬美元。應對軟件安全的升級,這些向各國政府出售漏洞的公司不得不提高賞金以吸引更多的研究人員。
隨著網絡安全情報公司Zerodium在本周提高漏洞賞金,零日軟件漏洞對于愿意出售它們的安全研究人員變得更加有利可圖。對于某些漏洞,獎金提高了一倍。
Zerodium對主流操作系統和軟件程序的未知漏洞設置的獎金翻了一倍。例如,該公司現在愿意為無需與受攻擊者進行互動,就能夠做到入侵蘋果iOS操作系統的漏洞支付高達200萬美元的賞金。而對于通訊類應用例如WhatsApp和iMessage的漏洞,賞金可達到100萬美元。
Chaouki Bekrar,Zerodium公司的CEO在一次電子郵件訪談中談到:
我們的政府客戶對通訊類應用,例如WhatsApp中可遠程利用漏洞的需求顯著增加。因為有時候這些應用程序是目標用戶間溝通的唯一渠道,而端到端的加密方式使得政府很難讀取這些用戶信息。能夠在不影響目標手機的情況下,遠程并直接入侵這些應用程序顯然更加有效。我們正在提高我們的價格,以反映這一戰略需求。
政府和企業愿意為漏洞支付的獎金不斷增加,反映了研究人員在發現主流操作系統和產品漏洞時面臨的巨大挑戰。去年,Google和Microsoft都提高了對某些特定漏洞的獎勵。目前,發現Android中一個可利用的漏洞可以從Google獲得高達20萬美的獎金。
政府更有可能為iPhone中的可利用漏洞付費,因為他們無法獲取權限的手機越來越多。而利用通訊類程序中的漏洞,可以幫助政府讀取和監控私人信息。
對此,趨勢科技(Trend Micro)的漏洞研究主管,同時也是該公司零日計劃項目(Zero Day Initiative)的負責人Brian Gorenc表示:
以這個價格,這些錢肯定不會用于生成補丁和入侵防御系統簽名(IPS,Intrusion Prevention System)。財力雄厚的政府,企業和其他機構能夠獲取這些漏洞,而他們也確實在利用這些漏洞為自己的利益服務。
供應方面
然而,其他專家認為,賞金上漲主要不是因為各個國家對特定產品漏洞的需求增多,更多的是因為供應不足——即現有的可利用漏洞太少。網絡安全公司CrowdStrike的聯合創始人兼CTO,Dmitri Alperovich表示,可利用的 iOS漏洞之所以標價高昂,是因為移動操作系統中可利用的漏洞太少。
發現這些問題已經不像我們在過去20年看到的那樣,是業余計算機專業一年級的學生可以花幾個小時就辦到的事情了。現在需要的是專注并抱有熱忱的人。發現漏洞是一份永久性的全職工作,而不是一個你可以兼職做的業余愛好。
高價向政府機構和大型企業出售可利用漏洞這一現象,是該行業許多防御方的一個痛楚。例如,趨勢科技(Trend Micro)的“零日計劃”(Zero Day Initiative),該計劃旨在從研究人員那里購買漏洞信息,然后與第三方軟件公司合作來確認和修補漏洞。
ZDI(零日計劃)的Gorenc認為,那些在灰色市場上販賣漏洞的研究人員,應該了解他們的成果可能會被其他人以各種理由利用。即使是一些尚未被列入‘專制’名單中的政權組織,也在活躍地獲取這些可利用漏洞,然而他們卻很少將漏洞報告給供應商以進行修補。
HackerOne——一家幫助其他公司運營漏洞懸賞項目的公司,其CEO Marten Mickos表示,大多數的研究人員正在持續向防御性漏洞懸賞項目出售漏洞。他將高額賞金標以白紙黑字明確,將其作為對研究人員倫理選擇的獎勵。
這種方法有效的在世界范圍內推動了防御性項目。如果你是一個‘糟糕’的玩家,你不得不多支付20倍的賞金去吸引研究人員。
因此,Trend科技的Gorenc表示,漏洞懸賞計劃并不擔心來自與高額賞金公司的競爭。
他們相信自己能夠和灰色市場上的供應商競爭,因為他們認為自己提供了不一樣的體驗。他強調了向ZDI報告漏洞的研究人員能夠在會議上討論這些問題,并獲得表彰。正常市場上賞金項目的獎金,可能無法達到像灰色市場和黑市那么高,但是通過提供其他福利,他們表示正在持續獲得成功。據悉,Trend迎來了有史以來最成功的一年,發布了超過1400份的報告。
目前為止,Zerodium發現很多研究人員正在持續不斷的向他們報告可利用漏洞。
Zerodium公司的Bekrar表示:事實上,發現漏洞更困難,也需要花費更長時間,但是越來越多的研究人員正在尋找這些漏洞。Zerodium公司將繼續提高賞金以保持這一勢頭并鼓勵研究人員繼續尋找漏洞。
上一篇:ATM安全最新威脅