最近，國(guó)際知名的即時(shí)通訊工具WhatsApp的網(wǎng)絡(luò)版已暴露于安全漏洞。通過(guò)此漏洞，黑客可以傳播任何危險(xiǎn)的惡意程序來(lái)感染用戶的計(jì)算機(jī)。黑客可以利用漏洞來(lái)實(shí)現(xiàn)其目標(biāo)，從而使漏洞變得獨(dú)特。根據(jù)攻擊的程度，不同漏洞的價(jià)格會(huì)有所不同。例如，一個(gè)iOS系統(tǒng)漏洞，黑市交易最低價(jià)格也在3萬(wàn)美元左右，漏洞挖掘可與掘金相媲美。

圖：WhatsApp的Web版本暴露于安全漏洞

漏洞是獲取系統(tǒng)控制權(quán)的大門，也是網(wǎng)絡(luò)安全從業(yè)者挖掘，研究和模擬攻防的主題。在2015年中國(guó)互聯(lián)網(wǎng)安全大會(huì)（ISC 2015）上，“漏洞挖掘和源代碼安全論壇”將重點(diǎn)關(guān)注六個(gè)主要問(wèn)題，如開(kāi)源代碼安全的痛苦，瀏覽器攻擊和防御對(duì)抗歷史以及技術(shù)演變。安全行業(yè)廣泛關(guān)注的問(wèn)題。

圖：ISC 2015中國(guó)互聯(lián)網(wǎng)安全大會(huì)側(cè)重于漏洞挖掘和源代碼安全

漏洞黑市交易價(jià)格高，iOS漏洞至少3萬(wàn)美元

任何操作系統(tǒng)，軟件和網(wǎng)站都存在“安全漏洞”。微軟，Adobe和其他國(guó)際巨頭定期發(fā)布漏洞補(bǔ)丁以安全地增強(qiáng)系統(tǒng)和軟件。每次iOS升級(jí)時(shí)Apple都會(huì)修補(bǔ)它。

網(wǎng)絡(luò)安全工程師可以使用安全漏洞成功入侵Jeep，GM，Tesla和其他汽車來(lái)遠(yuǎn)程控制汽車，甚至更多的美國(guó)黑客已經(jīng)在YouTube上發(fā)布了入侵加油站的視頻。漏洞的危害是顯而易見(jiàn)的。

就像美劇《網(wǎng)絡(luò)犯罪調(diào)查》一樣，如果你發(fā)現(xiàn)的漏洞爆炸，會(huì)有很多灰色的組織會(huì)給你一個(gè)橄欖枝。在不久前曝光的著名意大利網(wǎng)絡(luò)軍火商Hacking Team的內(nèi)部數(shù)據(jù)中，存在許多極其危險(xiǎn)的iOS 0Day漏洞，并且該組織在“漏洞市場(chǎng)”中幾乎全部購(gòu)買了許多漏洞。

根據(jù)泄露的數(shù)據(jù)，正常iOS漏洞交易的價(jià)格在3.5美元到45,000美元之間。如果專門出售給黑客團(tuán)隊(duì)，價(jià)格將至少增加兩倍。獨(dú)家iOS漏洞交易獨(dú)家協(xié)議的價(jià)格可能達(dá)到數(shù)十萬(wàn)美元。

雖然交易價(jià)格并不猖獗，甚至利用漏洞賺錢比淘金更快，但交易處于灰色甚至黑色區(qū)域，對(duì)于許多白帽黑客來(lái)說(shuō)。

采礦是為了保護(hù)，ISC 2015側(cè)重于漏洞挖掘和源代碼安全

實(shí)際上，許多使用黑客技術(shù)的工程師利用漏洞來(lái)賺錢，以便轉(zhuǎn)售漏洞。所謂的“未知攻擊，了解防御”。加強(qiáng)信息安全的主動(dòng)防御，采用信息安全攻擊技術(shù)推動(dòng)保護(hù)系統(tǒng)的逆向?qū)W習(xí)是一種實(shí)用的方法。

漏洞是信息安全的基石，受到廣泛攻擊。因此，構(gòu)建軟件漏洞分析基礎(chǔ)架構(gòu)，操作系統(tǒng)漏洞研究，瀏覽器攻防，OAuth協(xié)議安全分析，TrustZone安全攻防，網(wǎng)絡(luò)協(xié)議安全和漏洞分析等是一個(gè)極其重要的安全實(shí)踐方向。

在將于9月28日至9月30日在北京國(guó)家會(huì)議中心舉行的2015中國(guó)互聯(lián)網(wǎng)安全大會(huì)（ISC 2015）上，最后一天將迎來(lái)“漏洞挖掘和源代碼安全論壇”。從軟件漏洞分析基礎(chǔ)架構(gòu)，漏洞研究，瀏覽器攻擊和防御以及網(wǎng)絡(luò)協(xié)議安全性和漏洞分析中探索攻擊性和防御性知識(shí)。包括人民解放軍信息工程大學(xué)副教授/碩士生導(dǎo)師/老板梯隊(duì)成員/Xfocus安全點(diǎn)焦點(diǎn)成員魏強(qiáng)，上海交通大學(xué)王輝博士，清華大學(xué)教授段海新等頂級(jí)行業(yè)專家將出席論壇。

對(duì)于白帽黑客來(lái)說(shuō)，“漏洞挖掘是為了更好的保護(hù)”。因此，在“購(gòu)買天空”等漏洞響應(yīng)平臺(tái)上，每天都會(huì)提交大量白帽，以促使相關(guān)企業(yè)盡快解決。像谷歌這樣的國(guó)際巨頭已經(jīng)非常重視漏洞挖掘。他們?cè)黾恿死寐┒吹膭?dòng)機(jī)，并為研究人員預(yù)付30,000美元以利用漏洞。

雖然白帽不參與像黑客這樣的黑市交易漏洞，但從目前的情況來(lái)看，白帽的合法收入不亞于黑客的黑人收入。除谷歌外，Adobe，微軟，惠普，蘋果，亞馬遜等國(guó)際巨頭也提供現(xiàn)金獎(jiǎng)勵(lì)和公眾感謝提交漏洞的白帽子。除了經(jīng)濟(jì)收益之外，白帽子還將獲得更多的利益，這也將是“經(jīng)濟(jì)收益”。漏洞挖掘”放在陽(yáng)光下。

據(jù)報(bào)道，在即將舉行的2015年中國(guó)互聯(lián)網(wǎng)安全大會(huì)（ISC 2015）上，世界排名前120位的世界級(jí)安全智囊團(tuán)和安全專家，包括前美國(guó)國(guó)家安全局和五角大樓網(wǎng)絡(luò)，將迎來(lái)美國(guó)，以色列和韓國(guó)。該命令的第一任指揮官基斯·亞歷山大將軍以及其他頂級(jí)國(guó)際專家和學(xué)者。 ISC 2015將是美國(guó)網(wǎng)絡(luò)空間安全智囊團(tuán)首次公開(kāi)會(huì)議，以進(jìn)行網(wǎng)絡(luò)空間安全對(duì)話。

« 《火炬之光：前線》與寵物戰(zhàn)斗的角色的新預(yù)告片 | 《生活大爆炸》最后一個(gè)賽季的最后一集將播出16五月！ »