黑客,一個充滿爭議的群體,就像變形金剛里的“狂派”和“博派”,黑客也分為黑帽子和白帽子,黑帽子是破壞者,白帽子則是網絡安全的建設者。每個月微軟打補丁,修補的漏洞絕大多數并不是微軟發現的,而是來自全世界白帽子的貢獻。
白帽子們并非都是“獨行俠”,有時也會集團作戰。在微軟最新一期安全公告中,微軟用7個補丁修復了66個漏洞。其中22個來自惠普旗下的ZDI漏洞平臺,21個漏洞由美國安全公司Palo Alto Networks發現,19個漏洞由國內的360發現。
另一個不容忽視的力量是Google。作為報告微軟漏洞的大戶,Google安全團隊曾經在一個月中狂刷了37個漏洞,占微軟當月修復漏洞數量的一半以上。
亦敵亦友:Google
Google與微軟之間的恩怨無需贅述,雖然二者競爭交火的領域越來越多,如操作系統、瀏覽器、搜索、云服務等等,但是在幫助微軟提升產品安全性方面,Google安全團隊表現出“大愛無疆”的一面,他們也是微軟安全公告致謝榜上的常客。
說起Google安全團隊,就不能不提Mateusz "j00ru" Jurczyk,這可是黑客界的大神級人物,在內核安全研究領域極具造詣。2013年2月,微軟修補的漏洞有32個是j00ru發現的。此外,Fermin Serna等Google的安全研究人員也都享有盛譽。
東半球第一:360
出乎很多人意料的是,短短五年時間,360已經成為全世界報告微軟漏洞數量最多的安全軟件公司,一些老牌巨頭如賽門鐵克、McAfee、卡巴斯基等都被遠遠甩在身后。這個現象折射出安全理念的差異(殺毒廠商傳統做法是在漏洞被黑客攻擊后再防御,而非主動發現漏洞),但不容忽視的是,360對安全技術人才的積累也起到了決定性的作用。
360漏洞實驗室的領軍人物網名“袁哥”,國內公認頂級的黑客技術精英,2008北京奧運會特聘信息安全專家,他首創的“DVE數據虛擬執行”領先于時代。據袁哥微博爆料,他在360的一項重要任務是培養人才,很多微軟漏洞都是由360漏洞實驗室挖掘和培養的新人發現的。
套用羅永浩的話,360已經是東半球最強大的白帽子軍團。我們希望360把競爭格局放得更高一些,打敗金山瑞星并不足喜,在國際舞臺和世界領先廠商爭鋒才是王道。
雇傭軍——惠普ZDI平臺
ZDI全稱Zero Day Initiative,是惠普公司旗下付費收購0day漏洞的平臺,主要以明碼標價、現金獎勵的形式征集漏洞,全世界的黑客都可以把漏洞賣給ZDI,獲得一筆不菲的收入。ZDI既是不折不扣的多國部隊,也可以稱之為“雇傭軍”。
值得肯定的是,ZDI買漏洞并不是為搞破壞,而是幫助惠普的企業級安全產品(HPTippingPoint NGFW)更及時地防御0day漏洞攻擊,ZDI也會把漏洞信息報告給軟件廠商進行修復。很多安全公司的研究人員發現漏洞后,往往更樂于賣給ZDI獲得收入,再由ZDI報告給微軟。
硅谷實力派——Palo Alto Networks
Palo Alto Networks(PAN),江湖綽號“平底鍋”,是下一代防火墻(NGFW)概念的締造者,產品的主要客戶為IDC和大中型企業,PAN的成功也迫使各家硬件安全廠商紛紛推出了自己的NGFW產品,包括上面提到的惠普。
作為一家誕生于硅谷的公司,PAN的工程師團隊實力強大,擁有狀態檢測(stateful inspection)、入侵檢測(intrusion prevention)等多項技術專利。通過向微軟、Adobe等廠商獨立報告漏洞,PAN也提升了其在安全行業的聲譽。
令人痛惜的是,PAN中不少黑客精英出自中國,另一家風頭正勁的美國安全公司FireEye(主打APT防御)也是如此。安全技術人才大量流失到國外,無疑是中國網絡安全的重大損失,這種情況直到最近數年國內互聯網公司愈發重視安全、大幅提高技術人才待遇之后才有所緩解。
(新聞稿 2014-06-13)