时间:2021-09-22 作者:奇安信
20世纪70年代末,当时年仅15岁传奇黑客米特尼克,仅凭一台电脑和一部调制调节器,成功黑入了北美空中防务指挥部的计算机系统主机。
当时的他无论如何也很难想到,他攻破计算机系统所仰赖的漏洞,在短短数十年之后,竟变得和普通商品一样,在市场上买卖。
尽管在第二次社会大分工中,商品经济已然出现,不过在漫长的人类历史长河中,自给自足的自然经济长期居于核心位置。
直到1492年,航海家哥伦布“发现”美洲大陆之后,国际贸易一跃成为当时西欧的主要经济增长点,自此商品经济开始逐渐取代自然经济,成为主要的经济活动形式。
说起漏洞这把高悬在计算机系统上的达摩克里斯之剑,它最早记载于1947年:一只小飞蛾不慎飞进了Mark II计算机的继电器中,导致整个机器发生故障。
70多年后的现在,计算机再也不可能飞进飞蛾,但漏洞却伴随着信息技术的应用飞速增长,从最底层的芯片到上层的Web应用,无一幸免。
有漏洞的地方就有江湖,行走江湖的人也有黑有白。
最开始这帮江湖人士或许并不想做点什么惊天地泣鬼神的“壮举”,漏洞从挖掘出来后,在他们手中也不过是一种“高级玩具”,用于炫耀谁的技术更加高明。
但商品经济的影响是方方面面的。
漏洞利用对信息系统的巨大破坏力,让一些不怀好意的人嗅到了金钱的味道:一枚关键的漏洞可以窃取到大量敏感数据,也可以篡改某些参数,甚至可以造成目标系统瘫痪,如果放到黑市上去买卖,应该有很大的市场空间。
借助暗网的保护伞,一笔笔非法漏洞交易裹挟着不可告人的目的,每天都在发生。交易的内容也不局限于漏洞本身,还包括黑客服务、攻击代码以及恶意样本等。一个名为“TheRealDeal(真实交易)”的暗网黑市,就是地下漏洞产业的缩影。
在“TheRealDeal”黑市,所有漏洞都被明码标价,譬如前两年的时候,入侵iCloud账号的方法的明码标价为17,000美金,一种在线IE浏览器的攻击方法价值8000美金的比特币。
而所有参与漏洞黑市交易的人群中,不乏网络犯罪团伙、APT组织甚至是网络军火商的身影。
例如,以色列著名的网络军火商NSO一直都在做这么一件事情:从黑市中收购原始漏洞,然后开发漏洞利用工具制作成网络军火再打包出售,从中攫取利润。前两个月臭名昭著的“飞马”恶意软件,也是出自NSO之手。
漏洞在黑市的广泛交易,大幅降低了网络攻击的门槛,网络攻击团伙不用从头开始进行漏洞挖掘,取而代之的是可以在黑市上购买一整套的漏洞利用工具,以自动化或者半自动化的方式,向目标发动网络攻击。
从最早的“bug”到后来的黑客职业化、漏洞攻击专业化、市场开拓产业化,漏洞带来了巨大的地下经济产业。这让本身就落后半拍的漏洞防护,更是雪上加霜。
在那个安全团队十分稀缺的年代,少数人小作坊式的漏洞挖掘能力,怎么可能与商品化的漏洞黑产相比。而且,漏洞的利用与反制永无止境,这是一场针尖对麦芒的对抗,这种对抗,不是现在才有,也不是未来才有,而是将一直存在。
从这个角度来说,如果有一个平台,能把民间的白帽子给聚集起来,帮助企业找出其中潜在的漏洞,这样才能够最大程度上料敌于先。
于是乎,在黑产的另一面,有一帮正义的白帽子发起了“漏洞赏金计划”,希望能够在黑产发现漏洞之前,就能够把它找出来并完成修复,我们不妨称之为白产吧。
补天平台正是在这种背景下成立的。白帽子可以把挖到的漏洞提交到补天平台上,补天平台再根据漏洞评级,给予白帽子一定的现金奖励,并把漏洞提交给对应的机构,协助他们完成修复。
“漏洞赏金计划”与漏洞响应平台的诞生,给了那些侠肝义胆的白帽子施展本领的舞台。
“大概从2016年开始,我就开始陆陆续续往补天平台提交漏洞了。对我来说,做白帽子挖漏洞是一个既可以锻炼技术,也可以获得收益的行为。”补天风云榜上排名靠前的一名白帽子Kamelo(化名)说到。
从2013年3月收到第一个漏洞到现在,补天平台已经吸引了超过8万名白帽子,报送漏洞超过60万个。在如今的补天平台上,漏洞“交易”也已经变得稀松平常。
黑白两道在漏洞挖掘领域的激烈对抗,让挖洞从少部分人的“自给自足”,朝着社会化大生产的方向迈进。
尽管如此,但阳光不可能同时照亮世界上的每一个角落——你一定会在某些漏洞的挖掘中处于落后位置,导致那些不怀好意的人率先掌握了某种不为人知的攻击方法。
即便是“撞洞”了(即黑白两道同时挖到同一个漏洞),在漏洞修补之前,黑产仍然处于绝对有利的攻击位置。
更何况,黑产的巨大经济诱惑,着实让不少心怀不轨的人蠢蠢欲动。
在所有漏洞中,最受欢迎的,要属影响范围广并且触发方式简单的漏洞了,尤其是当它还是0day的时候。这样一枚漏洞动辄可以卖到数十万甚至上百万美元的价格。更要命的是,这枚漏洞可以在黑市中被反复交易N多次,直到大部分用户完成修复后失去利用价值。
2014年4月首次曝光的OpenSSL心脏滴血漏洞,早在2012年就被引入到软件中,没人知道这两年间,这个漏洞被私下交易过多少次,也无法评估黑客利用这个漏洞,到底窃取了多少敏感数据。
但可以肯定,凭借心脏滴血的影响范围和破坏力,这枚漏洞在被挖掘出来后的首次交易价格,基本能够达到漏洞黑市的天花板级别。
正因如此,漏洞在黑产中的交易要更加广泛。或许是受其影响,或许还有其他什么原因,今年上半年0day的在野利用显得格外多。
据奇安信威胁情报中心发布的《全球高级持续性威胁(APT)2021年中报告》显示,仅2021年上半年,APT组织在野利用的0day漏洞数量超过40个,在网络安全历史上堪称空前。而且,这种攻击呈现出“以Windows平台为基础,Chrome/Safari浏览器为主流向着多平台延伸”的趋势。
如果说所有的APT组织都会花费大量人力物力,去挖掘目标系统的0day,这好像有点不太现实。
更让人头痛的是,黑产与白产之间,并没有一道特别明显的界限,总有人在黑白之间“反复横跳”。
毕竟同样一枚漏洞,放在黑市上交易与提交给补天平台获得的赏金,可能相差不少。
向钱看,无疑是商品经济时代最重要的参考准则之一。正是这样一条准则,让那个漏洞挖掘略显无序的时代,黑白双方的漏洞博弈出现了失衡。
面对这种情况,这几年补天做了两件非常有意义的事情:
第一,通过漏洞奖励计划,众测平台为白帽子尽可能提供足够多的现金奖励;
第二,通过攻防社区、补天白帽大会、漏洞风云榜等,为白帽子提供交流展示的平台,同时营造正向的极客氛围。
在9月17日举行的补天白帽大会上,补天平台就邀请了各路白帽大神,分享他们开发或者惯用的渗透工具,通过工具化的方式更快的发现漏洞,帮助厂商更快速的建设防御体系。
“但我相信,出于正义感,大多数的白帽子会把漏洞提交给SRC或者是补天平台,而不是为了利益交给黑产。”补天白帽子Kamelo坚定地说。
话虽如此,这个事情还是需要一定的规范。
9月1日,工业和信息化部、国家互联网信息办公室、公安部联合印发的《网络产品安全漏洞管理规定》(简称:《规定》)正式施行。
而《规定》的初衷之一,就在于禁止拿漏洞作恶。
《规定》特别强调,不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动;不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。
说白了,白帽子在挖到了漏洞之后,不能随便公开,尤其是不能交给境外人士。在网络军火商广泛参与的漏洞交易黑市,搞不好就被制作成了攻击我国的网络武器。
这样一来,《规定》就很大程度上限制了漏洞的黑市交易。想搞事,你得自己有本事挖掘0day。
在奇安信攻防社区,一名白帽子如此评论道:“《规定》的出台,与其说是强压责任,不如说是通过明晰权责,树立边界感,在合规的条件下,让白帽子的社会价值发挥至极致。”
与此同时,《规定》还有释放了一个非常重要的信号。
奇安信集团副总裁、补天漏洞响应平台主任张卓认为,这是我国将首次以产品视角来管理漏洞,通过对网络产品漏洞的收集、研判、追踪、溯源,立足于供应链全链条,对网络产品进行全周期的漏洞风险跟踪,实现对我国各行各业网络安全的有效防护。
图 补天漏洞响应平台主任张卓
基于软件供应链的攻击形式,正在变得愈加危险,因此引起了全社会的高度重视。
根据奇安信威胁情报中心的监测,供应链攻击的主要目标更侧重于在供应链中负责提供服务的公司。就连网络安全公司,也很难幸免于难。
这就意味着,利用一枚漏洞,就有可能攻破在供应链下游的一片公司。
今年4月,黑客劫持了密码管理系统Passwordstate的更新服务器,并下发了添加了恶意代码的软件,该软件被2万9千个公司约合37万安全和IT人员使用。
从这个角度来看,《规定》的实施给了补天平台很大的机会,并且鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞,还“鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制。
为了尽可能覆盖更多品类的漏洞,在2019补天白帽大会上,补天平台发布了“补天五星计划”,将漏洞响应范围从原来的Web漏洞为主,升级化为Web应用、移动APP、IoT、工控、操作系统等五大方向,成为国内少数覆盖全品类漏洞的第三方漏洞响应平台。
与此同时,这些年补天一直在优化自身的流程。从授权到漏洞定价、审核、验证再到漏洞提交以及协助修复,补天把这段漏洞空窗期的时间,至少缩短了90%。
对此张卓也曾表态,补天平台将根据规定要求,不断优化提升平台能力,也有意愿帮助各大网络产品厂商,建设和运营符合要求的产品漏洞收集平台,或者像服务现有6000多家入驻企业一样,为广大厂商代收漏洞。
落实《规定》的细则,尽可能帮助更多企业摆脱供应链安全危机,补天平台一直在路上。
对于白帽子来说,他们把漏洞提交到补天平台之后,就可以坐等奖金了;但补天的使命还远远没有结束。
随着攻防对抗的不断升级,一方面,白帽子应当具备发现高级安全漏洞的能力,如浏览器、操作系统内核漏洞等;另一方面,除了漏洞挖掘之外,白帽子还必须具备在实战化的业务环境下,实现漏洞有效利用的能力,这就要求白帽子具有社工能力、协作能力、业务分析能力等多种安全能力。
根据补天平台对数百名白帽子的调研显示,目前国内白帽子的实战化能力还很不全面,存在诸多短板。绝大多数白帽子的能力集中于Web漏洞的挖掘与利用这样的初级或中级能力,而对于系统层漏洞挖掘、CPU指令集、编写POC或EXP等中高级能力,则存在明显的人才缺失。
巨量的人才缺口以及缺乏进阶安全技能,也是造成漏洞博弈不平衡的重要原因之一。
在发布“五星计划”的同时,补天平台曾表示,过去、现在和将来,补天平台只做三件事情:维护企业网络安全、降低漏洞被利用的风险、培养网络安全人才。
不过,人才培养从来不是一个非常容易的事情。
这些年,大量的白帽子一直在补天平台上活跃着、成长着,工作人员也热情的称他们为“带头大哥”。其背后的寓意是为网络安全带头冲锋。
“在域名扫描没什么发现之后,我想到了社会工程学的方法,伪装成一名在校生,借到了校内网的登录口令。我使用一个弱口令暴破进去后,就成功上传了木马,同时获取了一大堆内网ip,紧接着我发现打印机、路由器这些设备都是弱口令……”回忆起在补天平台的初次渗透经历,Kamelo如数家珍,“那时候我也刚成为大家口中的白帽子,技术比较菜,于是想到了用这种笨办法。”
尽管如今的Kamelo已经在补天平台上拥有一众忠实的粉丝,二进制、Web应用无所不通,但他却依然比较谦虚。社会工程学在实战中的应用非常普遍,并不是什么笨办法。况且,谁还不是从菜鸟过来的呢。
“我很庆幸,在初入行的时候遇到了不少前辈大神,很多渗透技巧都是跟他们学的。” Kamelo笑着说。
白帽社区、白帽大会,在这些补天平台搭建的学习场所,到处都有白帽子的身影。
当然,Kamelo只是补天平台上八万多名白帽子的一个缩影,对于以90后甚至00后为主力的他们,补天还有很多事情要做。
只因有一点,漏洞黑产绝对不会停止。
95015服务热线
微信公众号