设为首页 - 加入收藏 ASP站长网(Aspzz.Cn)- 科技、建站、经验、云计算、5G、大数据,站长网!
热搜: 数据 手机 公司
当前位置: 首页 > 服务器 > 安全 > 正文

什么样的漏洞买得起北京二环一套房?

发布时间:2017-04-05 12:00 所属栏目:53 来源:雷锋网
导读:本文作者:李勤,小编网络安全专栏作者,入错行的八卦爱好者。 今天中午,我们编辑小李看到了一篇令人悲伤的新闻——《北京二环一套房,可买美国一个镇》。看到这个标题,小李立马掰着指头数了数自己的工资,在二环买房,起码要几个生命的轮回。 不过,小

本文作者:李勤,小编网络安全专栏作者,入错行的八卦爱好者。

今天中午,我们编辑小李看到了一篇令人悲伤的新闻——《北京二环一套房,可买美国一个镇》。看到这个标题,小李立马掰着指头数了数自己的工资,在二环买房,起码要几个生命的轮回。

什么样的漏洞买得起北京二环一套房?

不过,小李买不起,不代表黑客买不起。想起前一阵子,Pwn2Own比赛刚落幕,看到那一项一项的奖金列表,感觉黑客靠挖漏洞拿奖金真是一个发家致富好路径!

真的有这样的漏洞能让你在北京二环买套房吗?为了探究这个问题,小李盘了盘正经黑客靠漏洞挣钱的几个途径。

1.黑客大赛

黑客界享有盛名的几个黑客大赛奖金都比较丰富。

PwnFest 是韩国POC(Power of Community) 主办的黑客破解大赛。2016 年的 PwnFest 赛事不仅总奖金高达 170 万美元,为历届黑客大赛之最,而且每一个单项项目的奖金也刷新比赛历史上的最高记录。以虚拟化软件 VMware 为例,其奖金为 15 万美元,最后冠军队伍拿到了 53 万美元的奖金。

还有一个奖金特别丰富的比赛。据传,Pwn2Own 是全世界最著名、奖金最丰厚的黑客大赛,由美国五角大楼网络安全服务商、惠普旗下 TippingPoint 的项目组 ZDI(Zero Day Initiative)主办,谷歌、微软、苹果、Adobe等互联网和软件巨头都对比赛提供支持,通过黑客攻击挑战来完善自身产品。

说白了,有这么多著名科技公司在背后支持,感觉钞票要满天飞。

什么样的漏洞买得起北京二环一套房?

2017 年的Pwn2Own ,单项破解最高金额是 20 万美元。下图就是2017年的所有参赛战队斩获奖金列表,注意哦!单位是“美元”。

什么样的漏洞买得起北京二环一套房?

【图片来源:安全牛】

2016年,谷歌也宣布了一项黑客竞赛项目 Zero Prize,以 20 万美元奖金奖励其安卓安全的贡献者。第一名可以拿到最高 20 万美元奖励,第二名可以得到 10 万美元的奖励,同时该安卓安全奖励对其他参与者的奖励也至少有5万美元。

如果你嫌弃这些奖金是“两位数”美元,还有三位数在招手!

2016年,美国国内存在时间最长的黑客大会之一DEF CON举办时,美国国防部高级研究计划局(DARPA)为参与网络挑战赛(CGC)的获胜参赛队伍发放共 400万美元的奖金,给第一名提供 200 万美元的奖金。

Capture The Flag( 简称 CTF ),直译为“夺旗赛”,是一种考量选手网络安全知识素养、解决难题能力和攻防技术水平的比赛。选手需要具备的技能包括密码破译、信息隐藏、二进制分析、逆向工程、移动安全、漏洞挖掘与利用、Web渗透、电子取证、程序编程等。在各大 CTF 赛事中,全球最有影响力的莫过于 DEFCON CTF。

2016年,入围的15支参赛队伍在 CGC 平台上开展了CTF 比拼,来自中国的参赛队伍 b1o0p 拿下了第二名,获得冠军的是来自美国的 PPP 战队。

你看,中国黑客离 200 万美元只有一个队伍的差距嘛,想想是不是很激动?

什么样的漏洞买得起北京二环一套房?

这样看来,获得冠军的队伍拿下北京二环的一套普通住宅还是没有问题的!

黑客大赛遍地是奖金,一个项目的奖金不够,一个大赛的奖金不够,多参加几个凭借逆天实力与超强漏洞,还是有希望在北京二环过上美好生活的!

2.各大公司的漏洞奖励计划

微软的 BUG 奖励项目已经存在挺长时间的了,不过在 2015 年,微软宣布要对此项目做个升级——向微软报告一个漏洞,最高奖金可以达到 10 万美元——先前奖金最高是到 5 万美元。

2016年,微软发布了一个高危漏洞的补丁,该漏洞由腾讯玄武实验室创建者于旸(TK教主)发现,并将其命名为“BadTunnel”,是目前Windows历史上影响最广泛的漏洞,从 Win95 到 Win10 都受影响。尤其对于微软已不支持的版本(如Win XP),其用户将面临被秘密监控的危险。因此,微软的漏洞奖励计划为其授予 50000 美元的奖金。

什么样的漏洞买得起北京二环一套房?

【神一样的TK教主】

TK 还和微软的漏洞奖金计划有个小故事,他此前还拿过微软 10万美元的奖金。在图灵访谈里,他是这么自述的:

“2013 年 3 月 8 日,我在 CanSecWest 2013 上介绍了一种通用的绕过 DEP、ASLR 甚至 EMET 的技术,并提出了相应的防御建议——没有直接报告微软是因为此前微软不认为这类问题属于漏洞。

在我公开这个技术后一个多月,微软发布了 EMET v4 Beta,在其中根据我的描述和建议,对这种漏洞利用方法进行了检测防护。但就在新版 EMET 发布后的第二天,我发现这个版本虽然新设计了很多防护功能,但实现上存在重大安全问题,甚至反而会使漏洞利用变的比不装 EMET 更容易。于是我将该问题报告给了微软。

又过了两个月,2013年6月17日,微软发布 EMET v4 正式版,在其中修复了我发现的问题。并在同一天,启动了 Mitigation Bypass Bounty 项目,征集绕过 DEP 和 ASLR 等防御技术的方法,给出了最高 10 万美元的奖金。后来还在官方 Blog 中用我当初提出的技术作为例子,来说明什么样的技术才符合 Mitigation Bypass Bounty 项目的标准。

于是有很多朋友误以微软已经给我发了这个奖,向我表示祝贺。我跟他们说其实没有,并且不太相信微软真的会给奖金,毕竟他们已经坚持了十几年不为漏洞付钱的原则。

但是,2013 年 10 月 8 日,微软公布了 James Forshaw 成为第一个获得 Mitigation Bypass Bounty 的人。我很惊讶,没想到微软转变了风格。然后我告诉老婆:很可能是我之前提出的技术促成微软设立了这个奖,但我却错过了成为第一个拿到奖的人。我老婆表示很可惜,于是我对她说:“你别急,我给你弄一个回来”。

然后我花了一些时间,把之前研究的另一些漏洞利用技术做了实现,发给微软,然后拿回了这个奖。”

TK 曾对我们编辑表示,他把历次漏洞奖金都攒着,作为自家小孩的教育基金,除了医学这种耗钱的学科可能有问题(TK 是大夫出身,人称“妇科圣手”),念别的学科应该绰绰有余了!

你看,人家没提想买二环的房子,是不是已经买了?

什么样的漏洞买得起北京二环一套房?

插一句题外话,4 月我们将邀请TK 和他的小伙伴来开一堂线上公开课,你们会不会很激动?

(编辑:ASP站长网)

网友评论
推荐文章
    热点阅读