世界會(huì)從小范圍戰(zhàn)爭(zhēng)再度上演世界大戰(zhàn)嗎?電影里上演的人工智能機(jī)器最終反抗人類在未來(lái)會(huì)成為現(xiàn)實(shí)?世界范圍內(nèi)的流行病得不到有效控制?外星智慧生物入侵地球……這些當(dāng)然虛幻，而最現(xiàn)實(shí)的威脅在筆者眼里正是來(lái)自于我們現(xiàn)在所接觸的，無(wú)時(shí)無(wú)刻不讓我們覺(jué)得便利，幫助我們生活和工作的互聯(lián)網(wǎng)，也許互聯(lián)網(wǎng)作為人類有史以來(lái)目前最偉大的造物，但或許……它的安全性問(wèn)題會(huì)比其它任何一種能夠摧毀我們的力量更早一步讓我們自我毀滅。

　　令人不安的漏洞 安全公司在行動(dòng)

　　這種擔(dān)心源自于漏洞，源自于因漏洞而產(chǎn)生的破壞，漏洞這個(gè)硬件、軟件系統(tǒng)的錯(cuò)誤“基因”，是入侵系統(tǒng)最便捷的途徑，其危害可以被無(wú)限放大，無(wú)限接近具有毀滅性的力量!只是目前少有觸碰禁區(qū)的報(bào)告，或是以未知形式存在于我們涉足不到的領(lǐng)域。事實(shí)上在去年12月份烏克蘭電力系統(tǒng)遭到黑客攻擊帶來(lái)大范圍停電事件被公布于眾之后，之前我們所臆想的界限也不再存在，那些原本只出現(xiàn)在電影里的情節(jié)，已經(jīng)向現(xiàn)實(shí)走來(lái)。

　　據(jù)了解，烏克蘭電力系統(tǒng)遭到黑客攻擊就是由漏洞作為突破口所引起，從而在內(nèi)部系統(tǒng)安裝了惡意軟件，行業(yè)人士分析稱如入侵黑客愿意，不排隊(duì)可令電力過(guò)載等產(chǎn)生進(jìn)一步造成人身傷亡等更可怕后果。

　　現(xiàn)實(shí)的互聯(lián)網(wǎng)也真的是千瘡百孔，就像前不久人們統(tǒng)計(jì)了微軟、谷歌、蘋果、Adobe過(guò)去一年里的漏洞數(shù)據(jù)，僅是以官方致謝形式被白帽子(正面的黑客)們糾出來(lái)的就800多個(gè)，要知道這僅僅是整個(gè)互聯(lián)網(wǎng)組成的一部分而已(基礎(chǔ)系統(tǒng)、設(shè)備提供者及制造商)，看似安全的系統(tǒng)，可能隨時(shí)會(huì)被惡意入侵造成不可估計(jì)的后果，正因如此，互聯(lián)網(wǎng)的安全性正無(wú)時(shí)不刻不讓某一些人感到不安。

　　Fooying就是懷有這種不安情緒的其中一員，作為知道創(chuàng)宇安全研究員，他現(xiàn)在主要負(fù)責(zé)管理Sebug漏洞社區(qū)，F(xiàn)ooying每天都要面對(duì)白帽子們提交上來(lái)的新增安全漏洞，通過(guò)審核，在Sebug上發(fā)布出來(lái)。

　　除了沉迷于技術(shù)之中，他更多的是一層憂慮，因?yàn)槊恳粋€(gè)漏洞都是一個(gè)威脅，但他不曾懷疑他所從事的工作，Sebug把它們公布出來(lái)，就是要讓更多的人們看到，好對(duì)現(xiàn)有系統(tǒng)進(jìn)行修補(bǔ)提升安全性，以盡可能地避免因漏洞所產(chǎn)生的入侵攻擊。這相當(dāng)于一種消除錯(cuò)誤基因的工作，在為健康的網(wǎng)絡(luò)環(huán)境貢獻(xiàn)力量。

　　同時(shí)對(duì)于編程人員來(lái)說(shuō)，通過(guò)學(xué)習(xí)掌握已有漏洞的利用辦法，在接下來(lái)的工作中就可以避免同樣的問(wèn)題再次出現(xiàn)，同時(shí)技能的學(xué)習(xí)和訓(xùn)練在網(wǎng)絡(luò)安全人才培養(yǎng)方面也具有極高意義。

　　筆者認(rèn)識(shí)Fooying，還是在2015年8月知道創(chuàng)宇舉辦的KCon·2015黑客大會(huì)上，那時(shí)他在會(huì)上詳細(xì)介紹了知道創(chuàng)宇漏洞社區(qū)計(jì)劃(Kcon+Sebug+ZoomEye)，并對(duì)全新上線的Sebug漏洞交易平臺(tái)作了相應(yīng)介紹。再見(jiàn)之時(shí)已過(guò)半年，而從Fooying口中得知，在這半年時(shí)間里Sebug發(fā)展迅速并已完成了品牌升級(jí)，現(xiàn)已正式更名為Seebug(以下除非必要，將不再稱Sebug)。

　　順勢(shì)而為 Seebug飛速發(fā)展升級(jí)蛻變

　　半年前Seebug全新上線之時(shí)，知道創(chuàng)宇技術(shù)副總裁余弦宣布啟動(dòng)了百萬(wàn)現(xiàn)金獎(jiǎng)勵(lì)計(jì)劃，據(jù)Fooying介紹，這半年時(shí)間里，Seebug總計(jì)已發(fā)放出80余萬(wàn)現(xiàn)金獎(jiǎng)勵(lì)，已經(jīng)成為白帽子的福利平臺(tái)。正是白帽子們的踴躍參與，在這半年時(shí)間里，Seebug得到了飛速的發(fā)展，從8月份到現(xiàn)在用戶提交漏洞達(dá)6000多個(gè)，累計(jì)漏洞數(shù)量突破5萬(wàn)大關(guān)，同時(shí)新增高質(zhì)量PoC近2000個(gè)。

　　同時(shí)基于知道創(chuàng)宇安全團(tuán)隊(duì)的強(qiáng)大能力，Seebug在核心功能漏洞挖掘及影響披露上也獨(dú)具優(yōu)勢(shì)，相比整年，下半年爆發(fā)的漏洞相對(duì)更多，Seebug全新改版上線過(guò)后每逢重大漏洞被爆出，知道創(chuàng)宇安全團(tuán)隊(duì)?wèi)?yīng)急之后，詳細(xì)信息都會(huì)被收錄到Seebug之中，這一先天優(yōu)勢(shì)也讓其保持了高度的行業(yè)活力。

　　“我們還不滿足于此，Seebug還可以做得更多，后來(lái)我們?cè)谏鐓^(qū)上上線了照妖鏡、綿羊墻功能，Seebug一直緊跟最新漏洞動(dòng)態(tài)，基于知道創(chuàng)宇安全研究團(tuán)隊(duì)及社區(qū)的力量，我們針對(duì)一些重點(diǎn)漏洞進(jìn)行應(yīng)急，除了發(fā)布漏洞分析文檔、PoC外，借助我們ZoomEye的力量，每一次我們也將漏洞的影響情況進(jìn)行發(fā)布，照妖鏡和綿羊墻功能的上線，則為相關(guān)的廠商、單位帶來(lái)了漏洞預(yù)警功能，這樣任何人都可以隨時(shí)跟進(jìn)行業(yè)最新的漏洞，來(lái)對(duì)現(xiàn)有系統(tǒng)進(jìn)行修補(bǔ)了。”Fooying在談到Seebug這半年發(fā)生的變化，臉上充滿了興奮的表情。

　　據(jù)悉，綿羊墻是西方舉行各種黑客大會(huì)或者安全大會(huì)上經(jīng)常出現(xiàn)的趣味活動(dòng)，它將用戶設(shè)置的不安全的用戶名與密碼公布在墻上，用來(lái)警醒人們。對(duì)于Seebug來(lái)說(shuō)，上線綿羊墻功能的初衷也是這樣的，對(duì)重大漏洞影響到的網(wǎng)絡(luò)平臺(tái)進(jìn)行部分遮擋上墻，達(dá)到一定的預(yù)警、警醒作用。“綿羊墻上線后，整體反饋不錯(cuò)，原來(lái)的漏洞應(yīng)急公示、預(yù)警，對(duì)于漏洞危害、影響等大家沒(méi)有更直觀的感受，但是有了綿羊墻之后，大家可以看到有許多廠商受到影響，對(duì)漏洞的認(rèn)知更加直觀了，之后我們將根據(jù)反饋，來(lái)豐富綿羊墻的展示和功能。”

　　至于照妖鏡，在神話里，照妖鏡的用處是照出妖怪原型，而對(duì)于Seebug來(lái)說(shuō)，F(xiàn)ooying解釋是幫助廠商照出漏洞。“在知道創(chuàng)宇安全團(tuán)隊(duì)長(zhǎng)期的漏洞應(yīng)急中，我們發(fā)現(xiàn)，每次進(jìn)行漏洞應(yīng)急、預(yù)警，能讓很多的廠商意識(shí)到漏洞的重要性，但是對(duì)于很多廠商來(lái)說(shuō)，沒(méi)有漏洞自檢能力，也不懂如何去照出自家產(chǎn)品、平臺(tái)中的漏洞，于是照妖鏡就上線了，它是一個(gè)在線檢測(cè)功能，我們希望借助Seebug提供的照妖鏡，幫助相關(guān)的運(yùn)營(yíng)人員、廠商更容易地發(fā)現(xiàn)、檢測(cè)漏洞，從而再利用Seebug漏洞詳情中公布的修復(fù)方式進(jìn)行修復(fù)。”

　　據(jù)Fooying給出的數(shù)據(jù)顯示，照妖鏡于2015年11月中旬上線，到目前為止，已經(jīng)累計(jì)被使用34000多次，幫助眾多廠商在漏洞爆發(fā)的第一時(shí)間發(fā)現(xiàn)自己的安全問(wèn)題，反饋良好。并且他表示要將這一功能持續(xù)地做下去，在更多漏洞爆發(fā)的第一時(shí)間盡可能地上線照妖鏡功能，以更好地幫助大家發(fā)現(xiàn)及解決安全問(wèn)題。

　　除了與行業(yè)保持親密，Seebug在全新改版的這半年里還將自己的另外一個(gè)功能完美地進(jìn)行了延伸，那就是他們啟動(dòng)的人才培養(yǎng)計(jì)劃，而這一計(jì)劃采用的是多線程同步進(jìn)行，這包括與i春秋合作錄制課程、《Seebug 校園幫幫幫》高校行、《PoC 培訓(xùn)沙龍》等活動(dòng)，這一系列的活動(dòng)旨在培養(yǎng)下一代網(wǎng)絡(luò)技術(shù)人才，給高校同學(xué)、行業(yè)同仁分享自己的第一線經(jīng)驗(yàn)，為安全行業(yè)人才成長(zhǎng)貢獻(xiàn)一份力量。

　　通常而言，一個(gè)成熟的品牌是不會(huì)輕易更換的，那么Seebug為什么在2016年去做這樣一件品牌升級(jí)的事呢?

　　為此Fooying解釋說(shuō)：“當(dāng)2016年到來(lái)之時(shí)，也將迎來(lái)Seebug 10周年誕辰，我們將Sebug品牌升級(jí)為Seebug，應(yīng)該說(shuō)是眾多因素結(jié)合在一起的結(jié)果。我們不再滿足于漏洞平臺(tái)這一定位，Seebug原來(lái)的名稱Sebug，這里的Se是 Search，也就是搜索的意思，Sebug即搜索Bug，搜索漏洞的意思，而在2015年8月，Seebug正式改版公測(cè)的那一刻起，Seebug已經(jīng)不僅限于是一個(gè)漏洞庫(kù)，她是一個(gè)漏洞社區(qū)，整個(gè)平臺(tái)除了是一個(gè)富有生命力的權(quán)威漏洞平臺(tái)外，還是一個(gè)開放的漏洞分享與交換社區(qū)，眾多白帽子在Seebug上貢獻(xiàn)漏洞，加上半年來(lái)我們發(fā)生的一系列功能角色上的拓展，所以我們做出了這樣的決定。而最終在2016年Sebug第一個(gè)動(dòng)作，Beebeeto并入之時(shí)，Sebug品牌被正式更名為了Seebug。這里的See為洞悉、看見(jiàn)、發(fā)現(xiàn)、關(guān)注的意思，洞悉漏洞，讓你掌握第一手漏洞情報(bào)!這是Seebug新品牌的含義。”

　　據(jù)了解，并入Seebug的Beebeeto也是一個(gè)PoC/Exp分享社區(qū)，并且在行業(yè)內(nèi)算是一個(gè)比較早將PoC/Exp進(jìn)行社區(qū)化的平臺(tái)。據(jù)Fooying介紹，Beebeeto其實(shí)是在知道創(chuàng)宇實(shí)習(xí)生宿舍誕生的，一直以來(lái)，Beebeeto由知道創(chuàng)宇小伙伴創(chuàng)建的一個(gè)安全組織來(lái)運(yùn)營(yíng)。一個(gè)10年品牌的漏洞平臺(tái)，一個(gè) PoC/Exp 社區(qū)化先驅(qū)者!Beebeeto累積的用戶及社區(qū)化經(jīng)驗(yàn)，在并入Seebug之后，也讓Seebug更加專業(yè)與權(quán)威。

　　品牌升級(jí)再增百萬(wàn)獎(jiǎng)金關(guān)注工控安全獎(jiǎng)勵(lì)加大

　　Seebug的品牌升級(jí)，有一種水到渠成的必然性，是自身功能良性發(fā)展與壯大的一種釋放。據(jù)筆者了解，隨著新品牌的啟用，知道創(chuàng)宇也宣布將注入第二筆百萬(wàn)現(xiàn)金獎(jiǎng)勵(lì)。

　　“隨著更多的人參與到Seebug社區(qū)，大家提交量不斷增加，相關(guān)提交的內(nèi)容也不斷變得更有質(zhì)量，Seebug不斷提高獎(jiǎng)勵(lì)標(biāo)準(zhǔn)，第一期百萬(wàn)獎(jiǎng)金也很快就要用完了，但是大家不用擔(dān)心，品牌升級(jí)之后我們也正式開放了第二期百萬(wàn)獎(jiǎng)金，我們希望在此表達(dá)一個(gè)態(tài)度，這仍然不是我們獎(jiǎng)金終點(diǎn)，大家對(duì)Seebug社區(qū)的貢獻(xiàn)參與，提交的內(nèi)容都可以得到補(bǔ)貼獎(jiǎng)勵(lì)!”Fooying對(duì)筆者表示。

　　同時(shí)筆者注意到，Seebug在2016年還上線了“工控相關(guān)漏洞懸賞”，這一領(lǐng)域的懸賞要比普通漏洞更高，將采用最少2倍以上的獎(jiǎng)勵(lì)標(biāo)準(zhǔn)。據(jù)悉，國(guó)內(nèi)對(duì)工控領(lǐng)域有專業(yè)研究的人才相對(duì)來(lái)說(shuō)要更為稀缺，而工控領(lǐng)域的安全性問(wèn)題則更讓人神經(jīng)緊張。

　　為此Fooying表示：“前不久烏克蘭斷電事件知道創(chuàng)宇安全團(tuán)隊(duì)也做了應(yīng)急分析，并向上級(jí)部門遞交了相關(guān)報(bào)告，用于避免同樣可怕的事件在我國(guó)上演，國(guó)家現(xiàn)在非常重視工控領(lǐng)域的安全，我們推出這樣的懸賞，就是要讓白帽子們也注意到這一問(wèn)題，最終形成一個(gè)良好的氛圍，來(lái)培養(yǎng)更多的工控安全人才，一起來(lái)為國(guó)家安全盡一份義務(wù)和責(zé)任。為此我們特意加大了在這方面的懸賞，也希望大家能夠參與進(jìn)來(lái)，同時(shí)知道創(chuàng)宇自身也計(jì)劃在適時(shí)的時(shí)候發(fā)表自身工控研究成果，大家可以一同學(xué)習(xí)進(jìn)步。”

　　寫在最后

　　春節(jié)過(guò)后Fooying再度投入到了緊張的安全工作當(dāng)中，在接受筆者采訪時(shí)，他也不忘隨時(shí)查看白帽子們提交到Seebug上的漏洞信息，在采訪結(jié)束后，他便全身心的投入到某型號(hào)打印機(jī)的一個(gè)設(shè)計(jì)缺陷造成的內(nèi)網(wǎng)密碼泄露的漏洞提交上。Fooying也沒(méi)想到，春節(jié)剛剛過(guò)去就有人提交0day漏洞，只不過(guò)這一漏洞相對(duì)的利用性不是那么大而已，但是如果所有打印機(jī)廠商在設(shè)計(jì)上都這么疏忽，那就變的可怕了，所以Fooying也決定要在適當(dāng)?shù)臅r(shí)候公布出來(lái)，對(duì)打印廠商也算是一種警示。

　　Fooying直言Seebug品牌升級(jí)之后從搜索漏洞到洞悉漏洞的轉(zhuǎn)變，從平臺(tái)到社區(qū)的轉(zhuǎn)變，感覺(jué)自己的責(zé)任也更重了，但是也讓他更有成就感，他表示升級(jí)后的Seebug除了在漏洞上保持專注與白帽子們互動(dòng)外，還會(huì)基于知道創(chuàng)宇的安全能力開放更多的功能與平臺(tái)，真正的構(gòu)建一個(gè)足夠完善的漏洞社區(qū)，同時(shí)Seebug還會(huì)繼續(xù)堅(jiān)持把人才培養(yǎng)計(jì)劃做下去，現(xiàn)在國(guó)家需要大量的安全人才，知道創(chuàng)宇漏洞社區(qū)也希望盡自己的最大努力來(lái)做些什么。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。