网络安全 频道

现实世界会被漏洞摧毁?安全公司在行动

  【IT168 资讯】世界会从小范围战争再度上演世界大战吗?电影里上演的人工智能机器最终反抗人类在未来会成为现实?世界范围内的流行病得不到有效控制?外星智慧生物入侵地球……这些当然虚幻,而最现实的威胁在笔者眼里正是来自于我们现在所接触的,无时无刻不让我们觉得便利,帮助我们生活和工作的互联网,也许互联网作为人类有史以来目前最伟大的造物,但或许……它的安全性问题会比其它任何一种能够摧毁我们的力量更早一步让我们自我毁灭。

  令人不安的漏洞安全公司在行动

  这种担心源自于漏洞,源自于因漏洞而产生的破坏,漏洞这个硬件、软件系统的错误“基因”,是入侵系统最便捷的途径,其危害可以被无限放大,无限接近具有毁灭性的力量!只是目前少有触碰禁区的报告,或是以未知形式存在于我们涉足不到的领域。事实上在去年12月份乌克兰电力系统遭到黑客攻击带来大范围停电事件被公布于众之后,之前我们所臆想的界限也不再存在,那些原本只出现在电影里的情节,已经向现实走来。

  据了解,乌克兰电力系统遭到黑客攻击就是由漏洞作为突破口所引起,从而在内部系统安装了恶意软件,行业人士分析称如入侵黑客愿意,不排队可令电力过载等产生进一步造成人身伤亡等更可怕后果。

  现实的互联网也真的是千疮百孔,就像前不久人们统计了微软、谷歌、苹果、Adobe过去一年里的漏洞数据,仅是以官方致谢形式被白帽子(正面的黑客)们纠出来的就800多个,要知道这仅仅是整个互联网组成的一部分而已(基础系统、设备提供者及制造商),看似安全的系统,可能随时会被恶意入侵造成不可估计的后果,正因如此,互联网的安全性正无时不刻不让某一些人感到不安。

  Fooying就是怀有这种不安情绪的其中一员,作为知道创宇安全研究员,他现在主要负责管理Sebug漏洞社区,Fooying每天都要面对白帽子们提交上来的新增安全漏洞,通过审核,在Sebug上发布出来。

  除了沉迷于技术之中,他更多的是一层忧虑,因为每一个漏洞都是一个威胁,但他不曾怀疑他所从事的工作,Sebug把它们公布出来,就是要让更多的人们看到,好对现有系统进行修补提升安全性,以尽可能地避免因漏洞所产生的入侵攻击。这相当于一种消除错误基因的工作,在为健康的网络环境贡献力量。

  同时对于编程人员来说,通过学习掌握已有漏洞的利用办法,在接下来的工作中就可以避免同样的问题再次出现,同时技能的学习和训练在网络安全人才培养方面也具有极高意义。

  笔者认识Fooying,还是在2015年8月知道创宇举办的KCon·2015黑客大会上,那时他在会上详细介绍了知道创宇漏洞社区计划(Kcon+Sebug+ZoomEye),并对全新上线的Sebug漏洞交易平台作了相应介绍。再见之时已过半年,而从Fooying口中得知,在这半年时间里Sebug发展迅速并已完成了品牌升级,现已正式更名为Seebug(以下除非必要,将不再称Sebug)。

  顺势而为Seebug飞速发展升级蜕变

  半年前Seebug全新上线之时,知道创宇技术副总裁余弦宣布启动了百万现金奖励计划,据Fooying介绍,这半年时间里,Seebug总计已发放出80余万现金奖励,已经成为白帽子的福利平台。正是白帽子们的踊跃参与,在这半年时间里,Seebug得到了飞速的发展,从8月份到现在用户提交漏洞达6000多个,累计漏洞数量突破5万大关,同时新增高质量PoC近2000个。

  同时基于知道创宇安全团队的强大能力,Seebug在核心功能漏洞挖掘及影响披露上也独具优势,相比整年,下半年爆发的漏洞相对更多,Seebug全新改版上线过后每逢重大漏洞被爆出,知道创宇安全团队应急之后,详细信息都会被收录到Seebug之中,这一先天优势也让其保持了高度的行业活力。

  “我们还不满足于此,Seebug还可以做得更多,后来我们在社区上上线了照妖镜、绵羊墙功能,Seebug一直紧跟最新漏洞动态,基于知道创宇安全研究团队及社区的力量,我们针对一些重点漏洞进行应急,除了发布漏洞分析文档、PoC外,借助我们ZoomEye的力量,每一次我们也将漏洞的影响情况进行发布,照妖镜和绵羊墙功能的上线,则为相关的厂商、单位带来了漏洞预警功能,这样任何人都可以随时跟进行业最新的漏洞,来对现有系统进行修补了。”Fooying在谈到Seebug这半年发生的变化,脸上充满了兴奋的表情。

  据悉,绵羊墙是西方举行各种黑客大会或者安全大会上经常出现的趣味活动,它将用户设置的不安全的用户名与密码公布在墙上,用来警醒人们。对于Seebug来说,上线绵羊墙功能的初衷也是这样的,对重大漏洞影响到的网络平台进行部分遮挡上墙,达到一定的预警、警醒作用。“绵羊墙上线后,整体反馈不错,原来的漏洞应急公示、预警,对于漏洞危害、影响等大家没有更直观的感受,但是有了绵羊墙之后,大家可以看到有许多厂商受到影响,对漏洞的认知更加直观了,之后我们将根据反馈,来丰富绵羊墙的展示和功能。”

  至于照妖镜,在神话里,照妖镜的用处是照出妖怪原型,而对于Seebug来说,Fooying解释是帮助厂商照出漏洞。“在知道创宇安全团队长期的漏洞应急中,我们发现,每次进行漏洞应急、预警,能让很多的厂商意识到漏洞的重要性,但是对于很多厂商来说,没有漏洞自检能力,也不懂如何去照出自家产品、平台中的漏洞,于是照妖镜就上线了,它是一个在线检测功能,我们希望借助Seebug提供的照妖镜,帮助相关的运营人员、厂商更容易地发现、检测漏洞,从而再利用Seebug漏洞详情中公布的修复方式进行修复。”

  据Fooying给出的数据显示,照妖镜于2015年11月中旬上线,到目前为止,已经累计被使用34000多次,帮助众多厂商在漏洞爆发的第一时间发现自己的安全问题,反馈良好。并且他表示要将这一功能持续地做下去,在更多漏洞爆发的第一时间尽可能地上线照妖镜功能,以更好地帮助大家发现及解决安全问题。

  除了与行业保持亲密,Seebug在全新改版的这半年里还将自己的另外一个功能完美地进行了延伸,那就是他们启动的人才培养计划,而这一计划采用的是多线程同步进行,这包括与i春秋合作录制课程、《Seebug校园帮帮帮》高校行、《PoC培训沙龙》等活动,这一系列的活动旨在培养下一代网络技术人才,给高校同学、行业同仁分享自己的第一线经验,为安全行业人才成长贡献一份力量。

  通常而言,一个成熟的品牌是不会轻易更换的,那么Seebug为什么在2016年去做这样一件品牌升级的事呢?

  为此Fooying解释说:“当2016年到来之时,也将迎来Seebug10周年诞辰,我们将Sebug品牌升级为Seebug,应该说是众多因素结合在一起的结果。我们不再满足于漏洞平台这一定位,Seebug原来的名称Sebug,这里的Se是Search,也就是搜索的意思,Sebug即搜索Bug,搜索漏洞的意思,而在2015年8月,Seebug正式改版公测的那一刻起,Seebug已经不仅限于是一个漏洞库,她是一个漏洞社区,整个平台除了是一个富有生命力的权威漏洞平台外,还是一个开放的漏洞分享与交换社区,众多白帽子在Seebug上贡献漏洞,加上半年来我们发生的一系列功能角色上的拓展,所以我们做出了这样的决定。而最终在2016年Sebug第一个动作,Beebeeto并入之时,Sebug品牌被正式更名为了Seebug。这里的See为洞悉、看见、发现、关注的意思,洞悉漏洞,让你掌握第一手漏洞情报!这是Seebug新品牌的含义。”

  据了解,并入Seebug的Beebeeto也是一个PoC/Exp分享社区,并且在行业内算是一个比较早将PoC/Exp进行社区化的平台。据Fooying介绍,Beebeeto其实是在知道创宇实习生宿舍诞生的,一直以来,Beebeeto由知道创宇小伙伴创建的一个安全组织来运营。一个10年品牌的漏洞平台,一个PoC/Exp社区化先驱者!Beebeeto累积的用户及社区化经验,在并入Seebug之后,也让Seebug更加专业与权威。

  品牌升级再增百万奖金关注工控安全奖励加大

  Seebug的品牌升级,有一种水到渠成的必然性,是自身功能良性发展与壮大的一种释放。据笔者了解,随着新品牌的启用,知道创宇也宣布将注入第二笔百万现金奖励。

  “随着更多的人参与到Seebug社区,大家提交量不断增加,相关提交的内容也不断变得更有质量,Seebug不断提高奖励标准,第一期百万奖金也很快就要用完了,但是大家不用担心,品牌升级之后我们也正式开放了第二期百万奖金,我们希望在此表达一个态度,这仍然不是我们奖金终点,大家对Seebug社区的贡献参与,提交的内容都可以得到补贴奖励!”Fooying对笔者表示。

  同时笔者注意到,Seebug在2016年还上线了“工控相关漏洞悬赏”,这一领域的悬赏要比普通漏洞更高,将采用最少2倍以上的奖励标准。据悉,国内对工控领域有专业研究的人才相对来说要更为稀缺,而工控领域的安全性问题则更让人神经紧张。

  为此Fooying表示:“前不久乌克兰断电事件知道创宇安全团队也做了应急分析,并向上级部门递交了相关报告,用于避免同样可怕的事件在我国上演,国家现在非常重视工控领域的安全,我们推出这样的悬赏,就是要让白帽子们也注意到这一问题,最终形成一个良好的氛围,来培养更多的工控安全人才,一起来为国家安全尽一份义务和责任。为此我们特意加大了在这方面的悬赏,也希望大家能够参与进来,同时知道创宇自身也计划在适时的时候发表自身工控研究成果,大家可以一同学习进步。”

  写在最后

  春节过后Fooying再度投入到了紧张的安全工作当中,在接受笔者采访时,他也不忘随时查看白帽子们提交到Seebug上的漏洞信息,在采访结束后,他便全身心的投入到某型号打印机的一个设计缺陷造成的内网密码泄露的漏洞提交上。Fooying也没想到,春节刚刚过去就有人提交0day漏洞,只不过这一漏洞相对的利用性不是那么大而已,但是如果所有打印机厂商在设计上都这么疏忽,那就变的可怕了,所以Fooying也决定要在适当的时候公布出来,对打印厂商也算是一种警示。

  Fooying直言Seebug品牌升级之后从搜索漏洞到洞悉漏洞的转变,从平台到社区的转变,感觉自己的责任也更重了,但是也让他更有成就感,他表示升级后的Seebug除了在漏洞上保持专注与白帽子们互动外,还会基于知道创宇的安全能力开放更多的功能与平台,真正的构建一个足够完善的漏洞社区,同时Seebug还会继续坚持把人才培养计划做下去,现在国家需要大量的安全人才,知道创宇漏洞社区也希望尽自己的最大努力来做些什么。

特别提醒:本网信息来自于互联网,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。
0
相关文章