域名預(yù)訂/競價(jià)，好“米”不錯(cuò)過

日前，國際知名即時(shí)通訊工具WhatsApp的網(wǎng)頁版被曝出存在安全漏洞，通過這一漏洞，黑客可以散布任意危險(xiǎn)的惡意程序來感染用戶的電腦。黑客能夠利用漏洞達(dá)到自己的目的，這使得漏洞獨(dú)具價(jià)值。根據(jù)漏洞的利用程度，不同漏洞價(jià)格也不同。譬如一個(gè)iOS系統(tǒng)的漏洞，黑市交易最低價(jià)格也在3萬美金左右，漏洞挖掘堪比掘金。

圖：WhatsApp的網(wǎng)頁版被曝出存在安全漏洞

漏洞是進(jìn)入系統(tǒng)控制權(quán)限的大門，一直以來也是網(wǎng)絡(luò)安全從業(yè)者挖掘、研究、模擬攻防的對(duì)象。在2015中國互聯(lián)網(wǎng)安全大會(huì)(ISC 2015)上，“漏洞挖掘與源代碼安全論壇”，將就開源代碼安全之痛、瀏覽器攻防對(duì)抗歷史與技術(shù)演進(jìn)等六大議題進(jìn)行精講，因此受到安全業(yè)界的廣泛關(guān)注。

圖：ISC 2015 中國互聯(lián)網(wǎng)安全大會(huì)關(guān)注漏洞挖掘與源代碼安全

漏洞黑市交易價(jià)格高，iOS漏洞最低3萬美金

“安全漏洞”存在于任何操作系統(tǒng)、軟件、網(wǎng)站當(dāng)中，微軟、Adobe等國際巨頭都定期發(fā)布漏洞補(bǔ)丁，對(duì)系統(tǒng)與軟件進(jìn)行安全加固。蘋果則在每次iOS升級(jí)時(shí)對(duì)其進(jìn)行漏洞補(bǔ)丁修補(bǔ)。

網(wǎng)絡(luò)安全工程師可以利用安全漏洞順利地入侵Jeep、通用、特斯拉等汽車，從而對(duì)汽車進(jìn)行遠(yuǎn)程操控，更有美國黑客在youtube上放出入侵加油站的視頻。漏洞的危害顯而易見。

如美劇《網(wǎng)絡(luò)犯罪調(diào)查》里所演繹的那樣，如果你找到的漏洞屌爆了，還會(huì)有諸多灰色組織向你伸出橄欖枝。在不久前被曝光的意大利著名網(wǎng)絡(luò)軍火商Hacking Team的內(nèi)部數(shù)據(jù)中，存在大量極其危險(xiǎn)的iOS 0Day漏洞，而這么多漏洞幾乎全部是該組織在“漏洞市場(chǎng)"中買來的。

根據(jù)泄露的數(shù)據(jù)，一個(gè)普通的iOS漏洞交易價(jià)格大約在3.5至4.5萬美元之間，如果獨(dú)家銷售給Hacking Team，價(jià)格至少會(huì)翻三倍。而一個(gè)有價(jià)值的iOS漏洞交易獨(dú)家交易的價(jià)格可能會(huì)達(dá)到幾十萬美金。

盡管交易價(jià)格不匪，甚至挖掘漏洞賺錢的速度超過淘金，但這種交易處于灰色甚至黑色地帶，為不少白帽子黑客所不齒。

挖掘是為了防護(hù)，ISC 2015關(guān)注漏洞挖掘與源代碼安全

事實(shí)上，不少擁有黑客技術(shù)的工程師挖掘漏洞并非為了轉(zhuǎn)賣漏洞賺錢。正所謂“未知攻，焉知防”。要加強(qiáng)信息安全主動(dòng)防御，以信息安全攻擊技術(shù)促進(jìn)防護(hù)體系是一條很務(wù)實(shí)的逆向?qū)W習(xí)之路。

漏洞是信息安全的基石，也是廣受攻擊之所在，因此，構(gòu)建軟件漏洞分析基礎(chǔ)設(shè)施、操作系統(tǒng)漏洞研究、瀏覽器攻防戰(zhàn)、OAuth協(xié)議安全分析、TrustZone安全攻防、網(wǎng)絡(luò)協(xié)議安全與漏洞分析等都是極為重要的安全實(shí)踐方向。

在即將于9月28日至9月30日在北京國家會(huì)議中心舉行的2015中國互聯(lián)網(wǎng)安全大會(huì)(ISC 2015)上，最后一天將迎來“漏洞挖掘與源代碼安全論壇”，這場(chǎng)論壇將從軟件漏洞分析基礎(chǔ)設(shè)施、漏洞研究、瀏覽器攻防戰(zhàn)，以及網(wǎng)絡(luò)協(xié)議安全與漏洞分析等方向探索攻防新知。包括解放軍信息工程大學(xué)副教授/碩士導(dǎo)師/博導(dǎo)梯隊(duì)成員/Xfocus安全點(diǎn)焦點(diǎn)成員魏強(qiáng)、上海交大博士王暉、清華大學(xué)教授段海新等業(yè)界頂尖技術(shù)專家都將出席該論壇。

對(duì)于白帽子黑客來說，“漏洞挖掘是為了更好地防護(hù)”。因此，“補(bǔ)天”等漏洞響應(yīng)平臺(tái)上，每天都有大量白帽子將挖掘到的漏洞進(jìn)行提交，以督促相關(guān)企業(yè)盡快解決。谷歌等國際巨頭都對(duì)于漏洞挖掘相當(dāng)重視，曾加大了對(duì)漏洞挖掘的獎(jiǎng)勵(lì)，為研究人員預(yù)付3萬美元用于挖掘漏洞。

盡管白帽子不像黑客那樣參與黑市交易售賣漏洞，但從目前的情況來看，白帽子的合法收入一點(diǎn)也不比黑客的黑色收入少。除了谷歌之外，Adobe、微軟、惠普、蘋果、亞馬遜等國際巨頭都對(duì)提交漏洞的白帽子予以現(xiàn)金獎(jiǎng)勵(lì)與公開致謝，白帽子在獲得經(jīng)濟(jì)收益之外還能收獲更多容易，這也將“漏洞挖掘”置于陽光之下。

據(jù)悉，在即將召開的2015中國互聯(lián)網(wǎng)安全大會(huì)(ISC 2015)上，還將迎來美國、以色列、韓國等國際頂尖的120位世界級(jí)安全智庫和安全專家，其中包括前美國國家安全局、五角大樓網(wǎng)絡(luò)司令部首任司令基斯.亞歷山大(Gen.KeithB.Alexander)將軍等國際頂級(jí)專家學(xué)者。ISC 2015將是中美國家級(jí)網(wǎng)絡(luò)空間安全智庫首次在就網(wǎng)絡(luò)空間安全進(jìn)行對(duì)話的公開會(huì)議。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！