你一定要知道的安全秘密 : 黑客揭秘失衡的数字军火发展

现在人们在听到越来越多的恶意攻击事件，越来越多的0day漏洞，“有没有搞错，真的比以前多？”原因何在？

在趋势科技CloudSec2015网络安全大会上，中国台湾地区HITCON CTF领队李伦铨为我们揭示了其中的秘密。

2013年发现14个0day漏洞，2014年发现25个0day漏洞，2015年7月为止已经发现15个0day漏洞。安全圈内某些很厉害的“好孩子”黑客表示，被发现的0day漏洞会越来越多。企业服务器漏洞、学校系统漏洞、游戏外挂漏洞……漏洞真的很多、很多，而当被发现的漏洞反馈给相关企业、学校、游戏厂商人员时，大多被忽视、被推卸。漏洞被发现了不可怕，但不被重视、不被及时封堵、不建立相关防护机制才是最可怕的。而这也促使某些本来仅仅是喜欢研究网络安全技术的“好孩子”，变成了真正的骇客。

还记得近期曝出的HackingTeam遭遇攻击400G资料泄漏事件么？“这些资料使得地下骇客们的技术前进了3年。”曾几何时，对犯罪嫌疑人进行监控，需要在室外电话线上外挂线路才能实现监听。而今不用那么复杂了，借助0day漏洞，通过在智能手机上做些“小小的手脚”植入RCS，就可以轻松实现对一个人全部日常行动的监控。之所以会如此，仅仅是由于这个“人”用智能手机浏览了某个特殊的网页。Hacking Team正在做的就是这类事情，当然他们做的更大一些。

Stuxnet让人们知道：“原来真有这种事”——来自某知名黑客对伊朗核设施攻击事件的评论。

能够奢侈的用4个0day发起攻击，不会是普通的地下黑色产业链集团里的骇客，只有国家级网络攻击才会如此“奢华”。Hacking Team所暴露出来的资料，再次确认数字军火的发展正在失去平衡。许多国外政府已经花费数百万美元从Hacking Team购买了N多0day漏洞，用来做什么？这个问题就不需要回答了吧。

原厂对于黑客帮助其发现0day漏洞的奖金，与地下黑色产业链甚至Hacking Team这类企业对于0day漏洞的高价收购，造就了不对称的产业价值、不对称的安全意识，正是因此使得0day越来越多。

好在有些企业已经将对漏洞发现者的奖励从一件T恤增加到了数百万美元的奖金。美国政府也在开出大笔奖金寻求安全研究人员、白帽子黑客等帮助其解决各类网络安全问题。

金钱并不一定就能彻底解决安全漏洞问题，但恰当的漏洞发现奖金等激励机制的建立，能够减少0day漏洞被恶意利用，这样不仅能从根源上就解决安全问题，还是对用户最为负责任的举措。