厂商准备众创安全:从"找茬"到借力极客进行修补

25.10.2015  11:17

  原标题: 众创安全,中国厂商准备好了吗(附照片)

选手们演示如何利用新发现的漏洞攻破一款在线支付POS机。何宇轩 摄

  昨天,上海举行了全球唯一聚焦智能生活的安全极客大会(GeekPwn)。最新的华为手机、小米路由器被几位民间高手当众破解,观众席上,华为与小米公司的代表乐观其成。另几位安全极客利用一款美甲App的漏洞为账户免费充值后不久,支付宝公开声明,认可漏洞,并呼吁行业合作、排查问题。

   众创安全”渐行渐近

  从过去将第三方漏洞披露视为“找茬”,到如今领先厂商纷纷愿意借力极客修补漏洞,国内网络的安全观正在发生深刻变化,“众创安全”的时代渐行渐近。

  昨天被破解的智能软硬件超过40款,除了华为、小米,还包括其他一批响当当的名字:大疆无人机、海尔智能生活套件、拉卡拉POS机、Thinkpad笔记本,以及大量摄像头、路由器和O2O生活服务类App。来自全国各地的安全极客——包括清华、上海交大等名校的学生,IT企业的安全研究者轮番上阵,展示他们废寝忘食几周甚至几个月,最终才捕捉到的系统漏洞。

  GeekPwn主办方、曾数次代表中国夺得世界信息安全比赛冠军的Keen团队领军人物王琦说,漏洞不代表不安全,关键要看谁能先找到漏洞。无论是苹果、谷歌还是微软的系统,都有漏洞;但只要厂商能比非法攻击者早一步发现并加以弥补,就可以保证安全。

  在国外,跨国公司早就把自己的安全构筑在社会化的漏洞发现机制上,视第三方信息安全研究者为伙伴。比如,苹果公司定期修复的漏洞中,大量都来自第三方。今年早些时候,因为上海的几位安全研究者向他们提交了一个能远程控制电动汽车的软件漏洞,特斯拉安全负责人专程赶到上海致谢。

   需依靠并整合草根的力量

  此外,引入“众创模式”也是信息安全的技术特性使然。漏洞往往藏身于人们熟视无睹的环节,需要大量创新者拿出奇思妙想,打破思维惯性,在看似完美无缺的部分找到纰漏。要达到这样的目的,最具效率的方式或许就是依靠并整合草根的力量。

  以昨天被破解的许多O2O生活类App为例,支付宝表示,相关漏洞“将影响后端所有支付类应用”。根据极客们初步公布的漏洞内容,这些App似乎都犯了同一类低级错误——有些像是装了高级门锁却忘记拧螺丝,但之前谁也没想过“通常的做法”是否早就有了问题。

  第三方安全研究过去并没有得到现在这般重视,认为它们是“故意找茬”的厂商大有人在。不过,与其说厂商故意拒绝“众创安全”,不如说他们还需要时间去适应。去年,一些安全研究者向一家大型互联网公司免费提交了漏洞,对方一度坚决否认漏洞存在,但一周后,随着事实逐渐明晰,他们坦率承认了极客的工作并致谢。国外IT厂商与第三方研究者的合作已形成成熟的模式,国内则需要完善基本的规则,以此赢得业界更广泛的信任。以GeekPwn为例,王琦说,极客们昨天展示的漏洞,其技术细节将严格对外保密,并在几天内完整、彻底地提供给相应厂商。

  领先企业已认可“众创安全”模式,华为甚至愿支付额外的奖金,但也有一些企业仍然心怀抗拒。昨天,有一家政类O2O公司以中断所有服务的方式,阻挠安全研究者验证新发现的漏洞。长远来看,此举并没有维护公司形象,反倒是让他们的用户受损,因为这个漏洞无法验证,从而失去了尽快弥补的机会。

   相关链接 齐聚上海,极客们破解了什么

  热点1:移动支付——由于涉及财产安全,金融支付工具的安全威胁影响面更广。昨天的演示中,极客们利用SSL互联网底层协议的未公开漏洞,能在用户不知不觉中查询账户余额和消费记录。

  热点2:O2O服务——极客们现场演示了如何利用某美甲App的充值系统漏洞,通过在手机上调用支付宝,在实际支付1分钱的情况下,完成任意价格的订单充值。

  热点3:“劫机”——一架大疆无人机在大会评委的操作下起飞,随后,无人机的遥控器被放置在一边,但极客选手却在场外利用电脑截获无人机的操控权,让其按意愿飞行。

  热点4:路由器——十个主流品牌的路由器被攻破,使用者打开正常的网站,实际上却被链接到另外一个被攻击者控制的页面。

  热点5:智能家居——现场演示表明,智能摄像头被破解后,其拍摄的画面将被截取、外泄;一台智能烤箱被破解后,攻击者能随意调节其温度。一套智能家居控制器被破解后,与其相连的设备将失控。