您当前的位置: 首页 > 科技

杜绝还是防御维护网络安全不能一味的修复漏洞

2018-11-23 15:21:01

互联网充斥着漏洞,这是不足为奇的事。从程序员开始写代码起,他们就必定会犯错。而只要他们犯错,犯罪分子、政府、黑客分子就都能对这些漏洞无所不用其极。

包括谷歌、Facebook、Dropbox、PayPal、微软、雅虎,甚至电动车制造商特斯拉等科技公司如今都有一种悬赏机制,只要黑客发现他们产品存在的漏洞并报告给他们,这些公司就会向这些黑客提供奖金。

这是科技行业对黑客发现漏洞的标准回应方式发生的重大转变。

为安全而攻击,还能领到悬赏

二十年前,向大公司报告漏洞或许可能获得一件对方善意赠送的程序员文化衫,或者一笔小额的奖金。但往往并不是这样,他们很有可能是被无视,甚至面临刑事诉讼。

因此,一个以兜售“零日漏洞”为主的“黑市”(黑客市场)应运而生。零日漏洞是指存在于厂商的产品或服务中未被发现但容易在毫无症状的情况下被攻击的漏洞。根据外交政策专家透露,网络犯罪分子和政府都在进行漏洞发现并保留的军备竞赛,他们把漏洞储存起来以用作未来的网络武器。

此前一起网络攻击事件显示出,世界上有大约40个国家的政府还在向越来越多的科技公司购买间谍软件。前美国国家安全局领导Michael V. Hayden表示,这些工具的普及使得网络攻击变成一件门槛更低的事情,它不再像以往那样需要很高级的专业技术才能实现。

因此,毫无疑问地,我们需要一种新的思维来审视看似不可突破的网络安全问题。根据美国运营商Verizon对去年60%的数据泄露事件的分析,攻击者通常能在数分钟之内成功盗取被攻击者的数据,而这些被攻击的公司都会来不及发布补丁去修复漏洞。此外,Verizon还发现,在网络攻击发生后,即便供应商已经向这些公司提供了补丁,但99.9%的受攻击漏洞依旧存在!

在经历了一连串严重的黑客攻击事件后,现在,Facebook和微软公司发起了一个叫“网络漏洞美国悬赏”(Internet Bug Bounty)的项目,由来自安全部门的志愿者运营。该项目主要目的是向报告漏洞的白帽子黑客支付奖金。

到目前为止,积极维护互联网安全的是谷歌。该公司除了会给白帽子一笔巨额的奖金,还安排自家的安全分析师组成一个互联网安全项目“零点计划”(Project Zero)。该项目组织了一群黑客精英,专门负责揭露出谷歌及整个互联网的安全漏洞。

而“零点计划”的目标就是,让那些犯罪分子和政府储存着的漏洞武器一无用处。“零点计划”负责人、特斯拉首席安全官Chris Evans表示,人们需要的是无需担心会遭受任何攻击的互联网使用环境,包括政府的监控、不法分子的信息盗取。

但事实上,我们根本无法确切地知道“零点计划”是否真的挫伤了各国国家的间谍工具。而且,谷歌的行动并非没有争议,尤其是面对那些尚不肯向白帽子提供奖金的公司,比如苹果,谷歌已然揭露了苹果产品超过60个的安全漏洞。此外,还有微软。去年,因为微软未在谷歌限定的90天内修复漏洞,谷歌于是公开了Windows中的一个漏洞,并受到微软的指责。谷歌后来宽限了公司修复漏洞的时间。

正确的姿势是战胜漏洞,而非抢先

但是,要指出的是,漏洞悬赏项目并不是只有科技巨头才有。世界上总会存在对立的两面。

新兴的像HackerOne和BugCrowd这样的创业团队,他们就联手组件了一个巨大的黑客网络,设置专门赏金来扩大网络“捉虫”活动。他们竟还说服了众多科技公司接受黑客攻击,以测试产品漏洞,从而获取赏金。他们的创想很简单:科技巨头永远不可能凭一己之力去发现所有漏洞,他们必须投资研究人员去寻找漏洞。

安全专家则表示,漏洞悬赏计划固然有效,但显得被动。他们认为,要做这场猫抓老鼠的游戏中的途径是,鼓励开发者在设计中结合安全编码实践。

“今时今日,漏洞悬赏计划是一个不错的亡羊补牢的方式。但长远来说,为保障整个互联网的健全我们还需要更好地投资。”Linux Foundation及其他组织指出,开发者应该专注于安全编码技能,而非潜在里担忧漏洞的出现。“国家和组织总会有源源不断的间谍工具,但如果你能让安全防御更上一层楼,那么至少那些工具入侵的难度也会加大。”就是说,科技公司的策略应是战胜,而非抢先。

如今网络安全的现实是,无论采用的是消灭漏洞还是HTTP加密的防御方式,黑客总能轻而易举地入侵用户的网络,包括计算机程序、手机通信,甚至车载系统、智能家居。所以,各公司仍需更加严肃对待网络安全防御。

科学技术的进步永无止境,错误也不会消失。而且,对黑客来说,的事物莫过于错误。

推荐阅读
图文聚焦