漏洞悬赏攀升至200万美元 谁在提供漏洞、谁在付钱?
苹果iOS的远程漏洞最高奖励已升至200万美元。应对软件安全的升级,这些向各国政府出售漏洞的公司不得不提高赏金以吸引更多的研究人员。
随着网络安全情报公司Zerodium在本周提高漏洞赏金,零日软件漏洞对于愿意出售它们的安全研究人员变得更加有利可图。对于某些漏洞,奖金提高了一倍。
Zerodium对主流操作系统和软件程序的未知漏洞设置的奖金翻了一倍。例如,该公司现在愿意为无需与受攻击者进行互动,就能够做到入侵苹果iOS操作系统的漏洞支付高达200万美元的赏金。而对于通讯类应用例如WhatsApp和iMessage的漏洞,赏金可达到100万美元。
Chaouki Bekrar,Zerodium公司的CEO在一次电子邮件访谈中谈到:
我们的政府客户对通讯类应用,例如WhatsApp中可远程利用漏洞的需求显著增加。因为有时候这些应用程序是目标用户间沟通的唯一渠道,而端到端的加密方式使得政府很难读取这些用户信息。能够在不影响目标手机的情况下,远程并直接入侵这些应用程序显然更加有效。我们正在提高我们的价格,以反映这一战略需求。
政府和企业愿意为漏洞支付的奖金不断增加,反映了研究人员在发现主流操作系统和产品漏洞时面临的巨大挑战。去年,Google和Microsoft都提高了对某些特定漏洞的奖励。目前,发现Android中一个可利用的漏洞可以从Google获得高达20万美的奖金。
政府更有可能为iPhone中的可利用漏洞付费,因为他们无法获取权限的手机越来越多。而利用通讯类程序中的漏洞,可以帮助政府读取和监控私人信息。
对此,趋势科技(Trend Micro)的漏洞研究主管,同时也是该公司零日计划项目(Zero Day Initiative)的负责人Brian Gorenc表示:
以这个价格,这些钱肯定不会用于生成补丁和入侵防御系统签名(IPS,Intrusion Prevention System)。财力雄厚的政府,企业和其他机构能够获取这些漏洞,而他们也确实在利用这些漏洞为自己的利益服务。
供应方面
然而,其他专家认为,赏金上涨主要不是因为各个国家对特定产品漏洞的需求增多,更多的是因为供应不足——即现有的可利用漏洞太少。网络安全公司CrowdStrike的联合创始人兼CTO,Dmitri Alperovich表示,可利用的 iOS漏洞之所以标价高昂,是因为移动操作系统中可利用的漏洞太少。
发现这些问题已经不像我们在过去20年看到的那样,是业余计算机专业一年级的学生可以花几个小时就办到的事情了。现在需要的是专注并抱有热忱的人。发现漏洞是一份永久性的全职工作,而不是一个你可以兼职做的业余爱好。
高价向政府机构和大型企业出售可利用漏洞这一现象,是该行业许多防御方的一个痛楚。例如,趋势科技(Trend Micro)的“零日计划”(Zero Day Initiative),该计划旨在从研究人员那里购买漏洞信息,然后与第三方软件公司合作来确认和修补漏洞。
ZDI(零日计划)的Gorenc认为,那些在灰色市场上贩卖漏洞的研究人员,应该了解他们的成果可能会被其他人以各种理由利用。即使是一些尚未被列入‘专制’名单中的政权组织,也在活跃地获取这些可利用漏洞,然而他们却很少将漏洞报告给供应商以进行修补。
HackerOne——一家帮助其他公司运营漏洞悬赏项目的公司,其CEO Marten Mickos表示,大多数的研究人员正在持续向防御性漏洞悬赏项目出售漏洞。他将高额赏金标以白纸黑字明确,将其作为对研究人员伦理选择的奖励。
这种方法有效的在世界范围内推动了防御性项目。如果你是一个‘糟糕’的玩家,你不得不多支付20倍的赏金去吸引研究人员。
因此,Trend科技的Gorenc表示,漏洞悬赏计划并不担心来自与高额赏金公司的竞争。
他们相信自己能够和灰色市场上的供应商竞争,因为他们认为自己提供了不一样的体验。他强调了向ZDI报告漏洞的研究人员能够在会议上讨论这些问题,并获得表彰。正常市场上赏金项目的奖金,可能无法达到像灰色市场和黑市那么高,但是通过提供其他福利,他们表示正在持续获得成功。据悉,Trend迎来了有史以来最成功的一年,发布了超过1400份的报告。
目前为止,Zerodium发现很多研究人员正在持续不断的向他们报告可利用漏洞。
Zerodium公司的Bekrar表示:事实上,发现漏洞更困难,也需要花费更长时间,但是越来越多的研究人员正在寻找这些漏洞。Zerodium公司将继续提高赏金以保持这一势头并鼓励研究人员继续寻找漏洞。
相关文章
- 1条评论
- 馥妴森槿2022-05-31 19:24:51
- 构和大型企业出售可利用漏洞这一现象,是该行业许多防御方的一个痛楚。例如,趋势科技(Trend Micro)的“零日计划”(Zero Day Initiative),该计划旨在从研究人员那里购买漏洞信息,然后与第三方软件公司合作来确认和修补漏洞。ZDI(零日计划)的Gorenc