互聯(lián)網(wǎng)充斥著漏洞,這是不足為奇的事。從程序員開始寫代碼起,他們就必定會(huì)犯錯(cuò)。而只要他們犯錯(cuò),犯罪分子、政府、黑客分子就都能對(duì)這些漏洞無所不用其極。
包括谷歌、Facebook、Dropbox、PayPal、微軟、雅虎,甚至電動(dòng)車制造商特斯拉等科技公司如今都有一種懸賞機(jī)制,只要黑客發(fā)現(xiàn)他們產(chǎn)品存在的漏洞并報(bào)告給他們,這些公司就會(huì)向這些黑客提供獎(jiǎng)金。
這是科技行業(yè)對(duì)黑客發(fā)現(xiàn)漏洞的標(biāo)準(zhǔn)回應(yīng)方式發(fā)生的重大轉(zhuǎn)變。
為安全而攻擊,還能領(lǐng)到懸賞
二十年前,向大公司報(bào)告漏洞或許可能獲得一件對(duì)方善意贈(zèng)送的程序員文化衫,或者一筆小額的獎(jiǎng)金。但往往并不是這樣,他們很有可能是被無視,甚至面臨刑事訴訟。
因此,一個(gè)以兜售“零日漏洞”為主的“黑市”(黑客市場)應(yīng)運(yùn)而生。零日漏洞是指存在于廠商的產(chǎn)品或服務(wù)中未被發(fā)現(xiàn)但容易在毫無癥狀的情況下被攻擊的漏洞。根據(jù)外交政策專家透露,網(wǎng)絡(luò)犯罪分子和政府都在進(jìn)行漏洞發(fā)現(xiàn)并保留的軍備競賽,他們把漏洞儲(chǔ)存起來以用作未來的網(wǎng)絡(luò)武器。
此前一起網(wǎng)絡(luò)攻擊事件顯示出,世界上有大約40個(gè)國家的政府還在向越來越多的科技公司購買間諜軟件。前美國國家安全局領(lǐng)導(dǎo)Michael V. Hayden表示,這些工具的普及使得網(wǎng)絡(luò)攻擊變成一件門檻更低的事情,它不再像以往那樣需要很高級(jí)的專業(yè)技術(shù)才能實(shí)現(xiàn)。
因此,毫無疑問地,我們需要一種新的思維來審視看似不可突破的網(wǎng)絡(luò)安全問題。根據(jù)美國運(yùn)營商Verizon對(duì)去年60%的數(shù)據(jù)泄露事件的分析,攻擊者通常能在數(shù)分鐘之內(nèi)成功盜取被攻擊者的數(shù)據(jù),而這些被攻擊的公司都會(huì)來不及發(fā)布補(bǔ)丁去修復(fù)漏洞。此外,Verizon還發(fā)現(xiàn),在網(wǎng)絡(luò)攻擊發(fā)生后,即便供應(yīng)商已經(jīng)向這些公司提供了補(bǔ)丁,但99.9%的受攻擊漏洞依舊存在!
在經(jīng)歷了一連串嚴(yán)重的黑客攻擊事件后,現(xiàn)在,F(xiàn)acebook和微軟公司發(fā)起了一個(gè)叫“網(wǎng)絡(luò)漏洞美國懸賞”(Internet Bug Bounty)的項(xiàng)目,由來自安全部門的志愿者運(yùn)營。該項(xiàng)目主要目的是向報(bào)告漏洞的白帽子黑客支付獎(jiǎng)金。
到目前為止,最積極維護(hù)互聯(lián)網(wǎng)安全的是谷歌。該公司除了會(huì)給白帽子一筆巨額的獎(jiǎng)金,還安排自家的頂級(jí)安全分析師組成一個(gè)互聯(lián)網(wǎng)安全項(xiàng)目“零點(diǎn)計(jì)劃”(Project Zero)。該項(xiàng)目組織了一群黑客精英,專門負(fù)責(zé)揭露出谷歌及整個(gè)互聯(lián)網(wǎng)的安全漏洞。
而“零點(diǎn)計(jì)劃”的目標(biāo)就是,讓那些犯罪分子和政府儲(chǔ)存著的漏洞武器一無用處。“零點(diǎn)計(jì)劃”負(fù)責(zé)人、特斯拉首席安全官Chris Evans表示,人們需要的是無需擔(dān)心會(huì)遭受任何攻擊的互聯(lián)網(wǎng)使用環(huán)境,包括政府的監(jiān)控、不法分子的信息盜取。
但事實(shí)上,我們根本無法確切地知道“零點(diǎn)計(jì)劃”是否真的挫傷了各國國家的間諜工具。而且,谷歌的行動(dòng)并非沒有爭議,尤其是面對(duì)那些尚不肯向白帽子提供獎(jiǎng)金的公司,比如蘋果,谷歌已然揭露了蘋果產(chǎn)品超過60個(gè)的安全漏洞。此外,還有微軟。去年,因?yàn)槲④浳丛诠雀柘薅ǖ?0天內(nèi)修復(fù)漏洞,谷歌于是公開了Windows中的一個(gè)漏洞,并受到微軟的指責(zé)。谷歌后來寬限了公司修復(fù)漏洞的時(shí)間。
正確的姿勢(shì)是戰(zhàn)勝漏洞,而非搶先
但是,要指出的是,漏洞懸賞項(xiàng)目并不是只有科技巨頭才有。世界上總會(huì)存在對(duì)立的兩面。
新興的像HackerOne和BugCrowd這樣的創(chuàng)業(yè)團(tuán)隊(duì),他們就聯(lián)手組件了一個(gè)巨大的黑客網(wǎng)絡(luò),設(shè)置專門賞金來擴(kuò)大網(wǎng)絡(luò)“捉蟲”活動(dòng)。他們竟還說服了眾多科技公司接受黑客攻擊,以測(cè)試產(chǎn)品漏洞,從而獲取賞金。他們的創(chuàng)想很簡單:科技巨頭永遠(yuǎn)不可能憑一己之力去發(fā)現(xiàn)所有漏洞,他們必須投資研究人員去尋找漏洞。
安全專家則表示,漏洞懸賞計(jì)劃固然有效,但顯得被動(dòng)。他們認(rèn)為,要做這場貓抓老鼠的游戲中領(lǐng)先的唯一途徑是,鼓勵(lì)開發(fā)者在設(shè)計(jì)中結(jié)合安全編碼實(shí)踐。
“今時(shí)今日,漏洞懸賞計(jì)劃是一個(gè)不錯(cuò)的亡羊補(bǔ)牢的方式。但長遠(yuǎn)來說,為保障整個(gè)互聯(lián)網(wǎng)的健全我們還需要更好地投資。”Linux Foundation及其他組織指出,開發(fā)者應(yīng)該專注于安全編碼技能,而非潛在里擔(dān)憂漏洞的出現(xiàn)。“國家和組織總會(huì)有源源不斷的間諜工具,但如果你能讓安全防御更上一層樓,那么至少那些工具入侵的難度也會(huì)加大。”就是說,科技公司的策略應(yīng)是戰(zhàn)勝,而非搶先。
如今網(wǎng)絡(luò)安全的現(xiàn)實(shí)是,無論采用的是消滅漏洞還是HTTP加密的防御方式,黑客總能輕而易舉地入侵用戶的網(wǎng)絡(luò),包括計(jì)算機(jī)程序、手機(jī)通信,甚至車載系統(tǒng)、智能家居。所以,各公司仍需更加嚴(yán)肅對(duì)待網(wǎng)絡(luò)安全防御。
科學(xué)技術(shù)的進(jìn)步永無止境,錯(cuò)誤也不會(huì)消失。而且,對(duì)黑客來說,最好的事物莫過于錯(cuò)誤。