互联网充斥着漏洞,这是不足为奇的事。从程序员开始写代码起,他们就必定会犯错。而只要他们犯错,犯罪分子、政府、黑客分子就都能对这些漏洞无所不用其极。
包括谷歌、Facebook、Dropbox、PayPal、微软、雅虎,甚至电动车制造商特斯拉等科技公司如今都有一种悬赏机制,只要黑客发现他们产品存在的漏洞并报告给他们,这些公司就会向这些黑客提供奖金。
这是科技行业对黑客发现漏洞的标准回应方式发生的重大转变。
为安全而攻击,还能领到悬赏
二十年前,向大公司报告漏洞或许可能获得一件对方善意赠送的程序员文化衫,或者一笔小额的奖金。但往往并不是这样,他们很有可能是被无视,甚至面临刑事诉讼。
因 此,一个以兜售“零日漏洞”为主的“黑市”(黑客市场)应运而生。零日漏洞是指存在于厂商的产品或服务中未被发现但容易在毫无症状的情况下被攻击的漏洞。 根据外交政策专家透露,网络犯罪分子和政府都在进行漏洞发现并保留的军备竞赛,他们把漏洞储存起来以用作未来的网络武器。
此前一起网络攻击事件显示出,世界上有大约40个国家的政府还在向越来越多的科技公司购买间谍软件。前美国国家安全局领导Michael V. Hayden表示,这些工具的普及使得网络攻击变成一件门槛更低的事情,它不再像以往那样需要很高级的专业技术才能实现。
因 此,毫无疑问地,我们需要一种新的思维来审视看似不可突破的网络安全问题。根据美国运营商Verizon对去年60%的数据泄露事件的分析,攻击者通常能 在数分钟之内成功盗取被攻击者的数据,而这些被攻击的公司都会来不及发布补丁去修复漏洞。此外,Verizon还发现,在网络攻击发生后,即便供应商已经 向这些公司提供了补丁,但99.9%的受攻击漏洞依旧存在!