高额的奖金支持,推动安全漏洞的研究工作形成一个获利丰厚的市场,进而又促成更多的漏洞研究工作。近日召开的Pwn2Own黑客大赛上,参赛者发现了30多个主流浏览器及其插件上的漏洞。因此可以说安全不是最终目标,而是一个旅程。 Pwn2Own黑客竞赛的规则是,来自世界各国的安全研究人员小组在最新的操作系统上寻找四种不同浏览器的漏洞,胜者将把被攻破的笔记本带回家,并且最高可获得10万美元的奖金。本次大赛上,8个安全研究小组报告了35个漏洞,大赛组织者将把这些漏洞报送给相关厂商以得到修补。 高额的奖金支持,推动安全漏洞的研究工作形成一个获利丰厚的市场,进而又促成更多的漏洞研究工作。2013年黑客大赛上,参赛人员拿走了共计超过85万美元的奖金。 一般来说,攻击成功需要发现两个漏洞。一个用来突破保护系统的“沙盒”,另一个用来提升权限,从浏览器到操作系统内核。这种分成两个阶段的入侵已经成为新的攻击形式,但在几年前仅使用一个漏洞便可以掌控系统内核,这说明安全防护水平已经提高,入侵过程更加困难。 安全公司VUPEN在此次大赛上,独自揽入40万美元奖金。先后攻破了Adobe的阅读器、Flash,微软的IE,Mozilla的Firefox以及谷歌的Chrome。 大量的漏洞表明,操作系统和服务器的安全性依然令人担忧,软件厂商的努力虽然取得了一定成果,加大了入侵的困难和成本,但并没有杜绝安全问题的出现。好的一面是,毕竟这35个漏洞将很快得到修复。而且找到漏洞根源的话,还能帮助软件开发者进一步改善他们的编程工作。(编译/小瑞)
