“全球黑客年会”(CanSecWest security conference)日前于温哥华落幕,而会中最令人嘱目的焦点之一,就是Google自2010年起举办的“Chrome黑客大赛”(Pwnium contest)。
Google研发的Chrome曾在2011年黑客年会被颁为最安全的浏览器,在这个黑客大赛中,只要找出Chrome的漏洞或抓到程序臭虫,就可以得到最高六万美元的奖金。今年的奖金得主总共有两位,其中一位是来自俄罗斯的大学生Sergey Glazunov ,他提交了一个重大的“零时漏洞”(Zero-Day exploit),通过它抓到了10只程序臭虫。在历时三天的竞赛截止前几小时,另一位未满20岁、化名为“粉红小马碧琪” (Pinky Pie)的天才骇客,找到了六个从未被发现过的系统弱点。
Google称赞他们的黑客侵入成果犹如“艺术品等级”,心甘情愿地为这两位天才洋溢的黑客付出了巨款。并在24小时内防堵了这些漏洞,重新建立了新的安全机制。
软件商为了防堵安全漏洞与臭虫,付钱给“独立资讯安全研究者”交换他们的秘密,最早可回溯到1995年的Netscape。但自2004年Mozilla基金会的FireFox浏览器开始悬赏抓虫,随后Facebook、 PayPal、Google等公司也陆续跟进后,才成为软件业界加强资讯安全的正式方案。
截自目前为止,Mozilla基金会已经送出75万美元的奖金,Google也付出高达120万美元的代价。
但不是每个软体公司都使用臭虫奖金方案,几家最大的公司如Microsoft、Adobe、Apple ,就不替回报的臭虫付出酬劳。即使一般咸信,这些公司从独立研究者与开放源码社群的工作成果中得到了不少好处。
Microsoft有一套名为BlueHat的资讯安全方案,付给自聘的资讯安全专家高额薪资建立安全防御,以阻挡特定方式的攻击,而非对每只臭虫都付出酬劳。因为公司政策认为从长远来看,这样更符合使用者的利益。
然而悬赏抓虫虽行之有年,似乎没有一个可以量化的测试结论,支持悬赏抓虫方案可以让网路环境更为安全。因为对软体公司来说,资讯安全的增强除了防堵漏洞以外,还需要建立积极性防卫。
不过大多数的业内人士普遍认为,随着安全漏洞被一一防堵,骇客只会更难发动攻击。以发现iPhone与其它Apple产品重大漏洞而闻名的安全专家Charlie Miller表示:“每项产品内含的臭虫都是有限的,每砍一只,它就会更 ??完美一点。”
例如自从Google举办“ Chrome骇客大赛”之后,臭虫猎人们发现新的漏洞愈来愈难找到,负责Chromium(Chrome浏览器的先行工程版本)的资讯安全工程师Chris Evans说:“虽然很难量化,但是回报的Chromium臭虫明显减少。”Google内部除虫小组也证实了这个可喜的现象。
但不是每家公司都懂得如何善意对待这些一方面是自发性的资讯安全研究者,另一方面却是黑客的族群。2009年,Patrick Webster提醒管理他退休金帐户的澳洲投顾公司First State Super,他们的网站有重大安全漏洞,可以让使用者任意查询其他77万个退休金帐目。为了证明这点,Webster写了一个脚本,并下载500个帐户资料当作佐证。不料First State Super完全不领情,竟马上报警要求查封他的电脑。于是以Miller为首的一批资讯安全研究者,发起“臭虫不再免费”(No More Free Bugs)抗议行动,指责那些收到安全报告不付钱,甚至采取法律行动的企业。
大多数的公司对于外人窥探他们的网站漏洞,甚至审视原始码,都会感到非常紧张。但是Facebook认为公布原始码,透过悬赏抓虫,能够帮助他们发现撰写程式时没被顾及的面向,并且让网站变得更安全。因为企业外的审视是“全面性的”,内部人员却常常见树不见林。首开业界之先,今年七月Facebook宣布,臭虫奖金将不限于Facebook网站,回报与他们连结的其他网络服务错误也同样有效。
臭虫奖金看起来像是解决安全问题的万灵丹,不过也只有软件品质够成熟、资源够丰富的软体公司,才有本钱发起这样子的计划。否则蜂拥而入的臭虫报告,可是会带来付不完的帐单。
匿名用户
