互聯網時代的阿喀琉斯之踵 挖掘漏洞哪家強？

互聯網不缺乏漏洞 而是缺乏發現漏洞的眼睛。

近段時間來，iCloud豔照門事件、新浪微博支付系統漏洞事件，再到雅虎疑似被黑客借“shell shock”破殼漏洞入侵事件。“漏洞”正在用一次次網絡安全事件刷新着存在感。而以智能設備安全挑戰為內容的GeekPwn賽事更是“火上澆油”，讓“漏洞”這個詞不斷閃現在我們眼前。

漏洞是什麼？

“漏洞是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。”百度百科上是這樣描述漏洞的，但因載體的不同，造成的影響不同，漏洞也是分類型、分等級的。

蒼蠅不盯無縫的蛋，入侵者只要找到複雜的計算機網絡中的一個縫，就能輕而易舉地闖入系統。所以瞭解這些縫都有可能在哪裏，對於修補它們至關重要。軟件編寫存在bug、系統配置不當、口令失竊、嗅探未加密通訊數據、設計存在缺陷、系統攻擊等都屬於漏洞的範疇。

全球最大的電腦軟件提供商微軟將系統漏洞嚴重程度從低到高定義為注意、警告、重要、嚴重四個等級，重要與嚴重級別的漏洞的影響力遠遠超過注意、警告級別的漏洞。

Windows系統發佈以來，隨着全球的白帽子黑客的共同努力，系統中存在的漏洞會不斷被發現，這些漏洞會不斷被微軟修補，或在以後發佈的新版本系統中得以糾正。新的系統漏洞也會不斷出現，系統漏洞問題會長期存在，成為互聯網時代的阿喀琉斯之踵。既然無法一勞永逸的解決，儘早發現並且修復漏洞才能將影響降到最低。

挖掘漏洞哪家強？

就像醫生診斷病人的病情一樣，安全界的白帽子黑客便是專業挖掘漏洞的人，那麼問題來了：挖掘漏洞到底哪家強?

人們普遍有一個思維定勢，認為與信息安全相關的技術自然是外國人更厲害，或者是做殺毒軟件的公司，但事實上，最強的漏洞挖掘專家和團隊鮮為人知。據媒體報道和權威數據資料顯示，這一殊榮當屬於一支中國團隊——KEEN公司安全研究團隊Keen Team。

Keen Team被媒體評價為中國最佳的白帽子黑客團隊，其向微軟、蘋果、谷歌等全球知名廠商提交了數百個“嚴重”級別的安全漏洞，是全世界範圍內發現並報告安全漏洞最多的團隊。該團隊發現的全球主流軟件的高危漏洞超過三百多個，被福布斯雜誌評價“發現的蘋果漏洞是蘋果整個安全團隊的兩倍還多”，而國內赫赫有名的某美國上市的安全巨頭髮現的嚴重漏洞數目只有四十多個，如此相比，其“段位”可想而知。

值得一提的是，曾連續三年獲得全球計算機漏洞挖掘白金獎，入選Google安全名人堂，被稱為世界漏洞發現第一人的吳石正是Keen Team的首席科學家。

為了更直觀的解釋漏洞等級問題，KEEN公司CEO、Keen Team安全研究團隊負責人王琦在一次媒體見面會上表示：“如果將漏洞比喻成人們身上的疾病，普通的網站漏洞就相當於‘感冒’一樣，而以我們團隊的挖掘漏洞能力，同樣的“病人”我們可以看出他們是不是得了‘癌症’。“

盤點目前發現的所有漏洞可以看出，應用軟件中的漏洞遠遠多於操作系統中的漏洞，特別是WEB應用系統中的漏洞更是佔信息系統漏洞中的絕大多數。在國內著名的烏雲上漏洞報告平台上，每天都有相當數量底層漏洞被白帽子黑客、黑客技術愛好者，甚至在校大學生髮現並提交給廠商進行修復。

用醫生瞧病做個比方，大多數被發現的漏洞更像是普通的感冒發燒，而嚴重級的系統級漏洞則是傷及健康，甚至威脅生命的兇險病況，需要Keen Team這樣的專家團隊來診療，但這樣的專家團隊國內併為數不多，寥寥可數。可以説，漏洞分級，黑客有別。

然而，除了像Keen Team、烏雲、綠盟這樣的好“醫生”外，“黑心”醫生的數量更是驚人。一個嚴重漏洞被沒有道德黑客利用實施網絡攻擊，危害可能會更大。根據B2B International聯合卡巴斯基實驗室進行的2013全球企業IT安全風險調查，遭遇網絡攻擊後，給大型企業造成的平均損失為64.9萬美元。

可想而知，如果企業引入先進的安全管理方法，採用了高質量的IT安全解決方案，並對IT基礎設施進行了適當的保護，很多安全漏洞可以被避免，或者及時發現和修復。但是像Keen Team安全研究團隊在世界上最安全的系統平台上具有挖掘高級別安全漏洞能力的團隊還是太少。

據悉，由KEEN公司安全研究團隊Keen Team主辦的GeekPwn(極棒)極客嘉年華活動將於10月24日在北京舉辦。KEEN公司CEO王琦表示，GeekPwn旨在通過活動吸引一流的極客發現智能設備存在的安全問題，推動設備廠商及時修復存在的問題，從而進一步增強產品的安全性，為普通消費者使用安全提供保障。