全球十大白帽黑客團體排行:Google奪魁、三支中國團隊入選

責任編輯:editor007

2015-12-28 16:15:13

摘自:cnBeta.COM

接下來,我們將對Adobe、Apple、Google、Microsoft四個影響數(shù)億用戶的漏洞“大戶”進行2015年盤點,看看都有哪些黑客團隊榮登這些廠商的漏洞致謝榜。

網(wǎng)絡(luò)攻防,漏洞為王。2015年網(wǎng)絡(luò)空間硝煙不斷:一方面,俄羅斯APT28組織攻擊美國大型企業(yè)、疑似美國Duqu2.0入侵俄羅斯廠商卡巴斯基事件分 別曝光,雙方攻擊者都使用了Windows內(nèi)核漏洞作為制勝法寶;另一方面,全球漏洞交易市場活躍,法國Zerodium明碼標價收購漏洞,意大利 HackingTeam販賣漏洞的郵件、攻擊代碼更是隨著400G內(nèi)部數(shù)據(jù)泄露而大白于天下,漏洞無疑就是網(wǎng)絡(luò)空間的精準導(dǎo)彈甚至核武器級別軍火。

在攻擊者瘋狂使用漏洞武器的同時,Windows等系統(tǒng)和軟件也在緊鑼密鼓地搶修漏洞,更有一批“安全守衛(wèi)者”黑客將漏洞無償報告給軟件商,幫助廠商打補丁保護用戶,而微軟等廠商也會對漏洞報告者進行公開致謝。

接下來,我們將對Adobe、Apple、Google、Microsoft四個影響數(shù)億用戶的漏洞“大戶”進行2015年盤點,看看都有哪些黑客團隊榮登這些廠商的漏洞致謝榜。

Adobe:“漏洞之王”的救贖

Adobe的安全性一向飽受詬病,但由于Adobe Flash Player的跨平臺廣泛應(yīng)用,現(xiàn)時仍然“講不出再見”。在Zerodium公布的漏洞收購價格表上,F(xiàn)lash漏洞最高可以賣到8萬美元!2015年,Adobe送出近300個漏洞致謝。在Flash徹底退出歷史舞臺之前,但愿守衛(wèi)者黑客們多幫助Adobe再抵擋一陣。

2015年Adobe漏洞致謝榜

 

致謝對象

報告漏洞數(shù)量

Goole Project Zero

101

ZDI

55

Qihoo360

55

bilou/NicolasJoly

42

Alibaba

14

Keen Team

8

Trend Micro

5

Fortinet

4

KnownSec

2

Palo Alto Networks

2

FireEye

1

McAfee

1

PKAV

1

Venustech

1

Apple:越獄難度與日俱增

蘋果iOS系統(tǒng)的遠程越獄漏洞價值百萬美金。對越獄愛好者來說,自然不愿意見到漏洞被封堵,但對于普通的蘋果用戶來說,iOS的安全更新實實在在是一件兒好事,這意味iPhone、iPad等產(chǎn)品安全性不斷提升。

2015年蘋果漏洞致謝榜

 

致謝對象

報告漏洞數(shù)量

Google Project Zero

44

ZDI

24

TaiG

11

Qihoo360

9

FireEye

7

Alibaba

5

KeenTeam

4

Tencent

3

Fortine

2

Palo Alto Networks

1

Google:開創(chuàng)漏洞獎勵先河

Google是最早花錢鼓勵黑客尋找自家漏洞的企業(yè),但其漏洞信息比較封閉,往往只公布漏洞報告者榜單,不公開具體涉及哪些漏洞。從今年8月和12月開始,Google的Android系統(tǒng)和Chrome瀏覽器才分別公開具體漏洞編號。這也是Google致謝的漏洞數(shù)量相對較少的重要原因。

2015年Google漏洞致謝榜

     

致謝對象

Android漏洞

Chrome漏洞

合計

Qihoo360

7

2

9

Trend Micro

5

0

5

Mariusz Mlynski

0

4

4

Google Project Zero

2

0

2

Copperhead Security

2

0

2

Exodus Intelligence

2

0

2

Zimperium

1

0

1

Alibaba

1

0

1

Baidu

1

0

1

Keen Team

1

0

1

Microsoft:免費致謝+賞金計劃

微軟的漏洞致謝主要來自于每月“補丁星期二”的安全公告,此外微軟也推出了賞金計劃,專門給Mitigation Bypass(意指繞過系統(tǒng)安全機制的攻擊技術(shù))和Edge瀏覽器等專項產(chǎn)品提供漏洞獎金。

2015年微軟漏洞致謝榜

       

致謝對象

安全公告

漏洞數(shù)量

賞金計劃

總計

 

Edge漏洞

繞過技術(shù)

     

ZDI

154

0

1

155

Google Project Zero

93

0

1

94

Palo Alto Networks

34

0

0

34

Qihoo360

22

3

1

26

Baidu

26

0

0

26

Versign iDefense

25

0

0

25

Tencent

14

1

1

16

FireEye

14

1

0

15

Trend Micro

15

0

0

15

Keen Team

11

0

0

11

NSFOCUS

6

0

1

7

Fortinet

7

0

0

7

KnownSec

6

0

0

6

iSight Partners

3

0

0

3

McAfee

2

0

0

2

Venustech Adlab

1

0

0

1

VRV

1

0

0

1

綜合以上四家軟件巨頭的致謝公告,2015年度全球十大黑客天團如下:

TOP10

Adobe

Apple

Google

Microsoft

總計

Google Project Zero

101

44

2

94

241

ZDI

55

24

0

155

234

Qihoo360

55

9

9

26

99

bilou/Nicolas Joly

42

0

0

0

42

Palo Alto Networks

1

1

0

34

36

Baidu

0

0

1

26

27

Trend Micro

5

0

5

15

25

Versign iDefense

0

0

0

25

25

Keen Team

8

4

1

11

24

FireEye

1

7

0

15

23

Google Project Zero當之無愧奪魁。作為Google旗下精英團隊,Google Project Zero不光捍衛(wèi)著Google的安全,也用實際行動促進各大軟件廠商提升產(chǎn)品安全性;排名第二的ZDI(HP’s Zero Day Initiative)與榜首的漏洞致謝數(shù)量差距不大,但ZDI的漏洞大多來自收購而不是靠自身實力挖掘;排名第四的bilou/Nicolas Joly在一年間轉(zhuǎn)戰(zhàn)效力于VUPEN、Google Project Zero和微軟,因此單獨列出。

360、百度和Keen Team三支中國團隊也成功進入十大天團,分別名列第三、第六和第九。360的優(yōu)勢在于跨平臺的安全研究實力,包括Windows、Android、iOS等系統(tǒng)和Chrome、IE、Edge、Adobe Flash Player等軟件均挖掘出不少漏洞;百度則在2015年發(fā)力挖掘IE漏洞,憑借26個IE漏洞致謝脫穎而出;Keen Team也屬于全能型選手,但沒有特別突出的陣地,今年收獲的漏洞致謝數(shù)量反而落后于百度。

在全球TOP10以外,阿里巴巴、騰訊、綠盟科技、知道創(chuàng)宇等國內(nèi)團隊也或多或少地出現(xiàn)在各大軟件廠商的漏洞致謝名單中。隨著國內(nèi)互聯(lián)網(wǎng)行業(yè)持續(xù)加大對安全的投入,相信會有更多中國的安全團隊活躍在世界舞臺上。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號