零日漏洞价格已提升至100万美元

2015-11-17 22:27:43 大云网  点击量: 评论 (0)
Zerodium漏洞平台的交易显示,市场已经准备好迎接价值100万美元甚至更高的零日漏洞利用代码。法国公司Vupen Security被称为网络军火商,它的主要业务是挖掘漏洞获取赏金,而不是进行修复漏洞。漏洞经销平台Zero

Zerodium漏洞平台的交易显示,市场已经准备好迎接价值100万美元甚至更高的零日漏洞利用代码。

 零日漏洞价格已提升至100万美元

法国公司Vupen Security被称为网络军火商,它的主要业务是挖掘漏洞获取赏金,而不是进行修复漏洞。漏洞经销平台Zerodium则脱胎于Vupen。本月初,Zerodium宣布,它同意为某苹果iOS漏洞利用代码支付100万美金,该漏洞可以完全入侵该移动操作系统。然而漏洞的平均价格仍在数千至数万美元水平上,过去只有极少数交易的价格超过10万美金。100万美元的赏金似乎对于该行业是一个突破性的量级增长。当然,在灰色的地下交易市场中,这样的价格也并非没有出现过,而为其支付巨额购买款的很可能是政府力量。高价格是由供求关系和时机需要而决定的。

虽然没有实际证据表明Zerodium真的付出了100万美元,但考虑到存在某些特定类型的买家,这个金额并不是完全不合情理。而且近年来,寻找和发现漏洞的难度逐渐加大也可能会导致赏金额度的攀升。

收购了原惠普公司漏洞研究团队Zero-Day Initiative的趋势公司全球威胁公关经理克里斯托弗·巴德(Christopher Budd)称:“由于安全性的提升,我们在过去几年中看到的产品已经很难找到漏洞。这影响了供求关系,也提升了研究人员的需求。”

事实上,主流软件中出现并被修复的漏洞反而增加了漏洞的数量。比如,在2012年,谷歌提升了对Chrome浏览器漏洞的赏金额度,表明发现新安全漏洞的难度正在加大。“最终,随着软件变得更加强大,开发者对安全的了解进一步深入,黑客如果想要得到稳定的控制权限,必须同时使用多个漏洞和多项技术。这将需要更高的技能和时间成本,也将提升寻找漏洞能力的价值。”

也有反对此观点的声音。有人认为,尽管在表面上100万美元的赏金表明市场价格正在升高。针对iOS平台这个特定环境而言,高价格可能更多地来源于需求,而不是供给。很有可能的是,买家非常需要入侵iOS设备,并且乐意买账。

谁会乐意为移动端零日漏洞付出100万美金呢?潜在的买家名单非常短。一些安全公司可能乐意付给研究人员这么多钱,购买漏洞的信息,以加强自家安全产品的防御措施。通常而言,对这类漏洞感兴趣的都是安全防御公司,它们寻找稀有,但是非常高优先级的漏洞。虽然可能没有哪一家公司乐意付出100万美金,一项支持数家安全企业的服务可能会为高优先级漏洞支付可观的价格。

尽管对如此大额的赏金而言,最可能的解释是,一个或多个情报机构需要破解特定手机的技术,并且愿意付钱。政府是最有可能的买家。

每次苹果发布新的操作系统版本,比如iOS 9,就会同时修复旧的漏洞,这导致情报机构争相寻找新的漏洞。由于iOS 9的更新率在发布仅三天后就达到了五成,如果无法很快找到新的漏洞,情报机构就真的要「摸黑」了。”

对于所有该漏洞的潜在买家而言,「摸黑」的风险至关重要。如果软件存在漏洞,只要开发人员发布修复,漏洞买家手中的信息就等于无效化了。

比如,这个iOS漏洞的买家可能是苹果公司,他们支付100万美元,以在黑客利用漏洞之前消除危险。然而,只有微软、脸书、谷歌这三家公司曾为了自家产品的漏洞付钱,没有一家曾经付过12万美金以上的价格。

这则100万美元买漏洞的消息引起了安全圈的震动。一些批评者希望苹果能够帮忙修复漏洞,另一些人则指出,无论是漏洞的存在还是交易本身都无法确证,他们认为这次事件属于公关噱头。还有一些人担心此漏洞会让政府更加容易地监控公民。

然而,不论这次的买家究竟是谁,漏洞赏金额度正在提升是不争的事实。

随着信息技术渗透进日常生活的方方面面,利用漏洞渗透进核心软件将成为秘密监控的最好方式。因此防御安全机构和情报机构都能够从零日漏洞中发现巨大的价值。

IT安全企业必须跟上竞业同行的脚步,如果公司不购买最新的漏洞信息,就可能发现自己已经落后于竞争对手。类似的因素也驱使国家购买漏洞。美国政府不再购买零日漏洞可能吗?伊朗呢?朝鲜呢?这个市场主要由国家和政府推动,只要一方购买,其他国家也必须跟进,尤如军备竞赛。

大云网官方微信售电那点事儿

责任编辑:大云网

免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞