世界會從小范圍戰(zhàn)爭再度上演世界大戰(zhàn)嗎?電影里上演的人工智能機器最終反抗人類在未來會成為現(xiàn)實?世界范圍內(nèi)的流行病得不到有效控制?外星智慧生物入侵地球……這些當(dāng)然虛幻，而最現(xiàn)實的威脅在筆者眼里正是來自于我們現(xiàn)在所接觸的，無時無刻不讓我們覺得便利，幫助我們生活和工作的互聯(lián)網(wǎng)，也許互聯(lián)網(wǎng)作為人類有史以來目前最偉大的造物，但或許……它的安全性問題會比其它任何一種能夠摧毀我們的力量更早一步讓我們自我毀滅。

　　令人不安的漏洞 安全公司在行動

　　這種擔(dān)心源自于漏洞，源自于因漏洞而產(chǎn)生的破壞，漏洞這個硬件、軟件系統(tǒng)的錯誤“基因”，是入侵系統(tǒng)最便捷的途徑，其危害可以被無限放大，無限接近具有毀滅性的力量!只是目前少有觸碰禁區(qū)的報告，或是以未知形式存在于我們涉足不到的領(lǐng)域。事實上在去年12月份烏克蘭電力系統(tǒng)遭到黑客攻擊帶來大范圍停電事件被公布于眾之后，之前我們所臆想的界限也不再存在，那些原本只出現(xiàn)在電影里的情節(jié)，已經(jīng)向現(xiàn)實走來。

　　據(jù)了解，烏克蘭電力系統(tǒng)遭到黑客攻擊就是由漏洞作為突破口所引起，從而在內(nèi)部系統(tǒng)安裝了惡意軟件，行業(yè)人士分析稱如入侵黑客愿意，不排隊可令電力過載等產(chǎn)生進一步造成人身傷亡等更可怕后果。

　　現(xiàn)實的互聯(lián)網(wǎng)也真的是千瘡百孔，就像前不久人們統(tǒng)計了微軟、谷歌、蘋果、Adobe過去一年里的漏洞數(shù)據(jù)，僅是以官方致謝形式被白帽子(正面的黑客)們糾出來的就800多個，要知道這僅僅是整個互聯(lián)網(wǎng)組成的一部分而已(基礎(chǔ)系統(tǒng)、設(shè)備提供者及制造商)，看似安全的系統(tǒng)，可能隨時會被惡意入侵造成不可估計的后果，正因如此，互聯(lián)網(wǎng)的安全性正無時不刻不讓某一些人感到不安。

　　Fooying就是懷有這種不安情緒的其中一員，作為知道創(chuàng)宇安全研究員，他現(xiàn)在主要負責(zé)管理Sebug漏洞社區(qū)，F(xiàn)ooying每天都要面對白帽子們提交上來的新增安全漏洞，通過審核，在Sebug上發(fā)布出來。

　　除了沉迷于技術(shù)之中，他更多的是一層憂慮，因為每一個漏洞都是一個威脅，但他不曾懷疑他所從事的工作，Sebug把它們公布出來，就是要讓更多的人們看到，好對現(xiàn)有系統(tǒng)進行修補提升安全性，以盡可能地避免因漏洞所產(chǎn)生的入侵攻擊。這相當(dāng)于一種消除錯誤基因的工作，在為健康的網(wǎng)絡(luò)環(huán)境貢獻力量。

　　同時對于編程人員來說，通過學(xué)習(xí)掌握已有漏洞的利用辦法，在接下來的工作中就可以避免同樣的問題再次出現(xiàn)，同時技能的學(xué)習(xí)和訓(xùn)練在網(wǎng)絡(luò)安全人才培養(yǎng)方面也具有極高意義。

　　筆者認(rèn)識Fooying，還是在2015年8月知道創(chuàng)宇舉辦的KCon·2015黑客大會上，那時他在會上詳細介紹了知道創(chuàng)宇漏洞社區(qū)計劃(Kcon+Sebug+ZoomEye)，并對全新上線的Sebug漏洞交易平臺作了相應(yīng)介紹。再見之時已過半年，而從Fooying口中得知，在這半年時間里Sebug發(fā)展迅速并已完成了品牌升級，現(xiàn)已正式更名為Seebug(以下除非必要，將不再稱Sebug)。

　　順勢而為 Seebug飛速發(fā)展升級蛻變

　　半年前Seebug全新上線之時，知道創(chuàng)宇技術(shù)副總裁余弦宣布啟動了百萬現(xiàn)金獎勵計劃，據(jù)Fooying介紹，這半年時間里，Seebug總計已發(fā)放出80余萬現(xiàn)金獎勵，已經(jīng)成為白帽子的福利平臺。正是白帽子們的踴躍參與，在這半年時間里，Seebug得到了飛速的發(fā)展，從8月份到現(xiàn)在用戶提交漏洞達6000多個，累計漏洞數(shù)量突破5萬大關(guān)，同時新增高質(zhì)量PoC近2000個。

　　同時基于知道創(chuàng)宇安全團隊的強大能力，Seebug在核心功能漏洞挖掘及影響披露上也獨具優(yōu)勢，相比整年，下半年爆發(fā)的漏洞相對更多，Seebug全新改版上線過后每逢重大漏洞被爆出，知道創(chuàng)宇安全團隊?wèi)?yīng)急之后，詳細信息都會被收錄到Seebug之中，這一先天優(yōu)勢也讓其保持了高度的行業(yè)活力。

　　“我們還不滿足于此，Seebug還可以做得更多，后來我們在社區(qū)上上線了照妖鏡、綿羊墻功能，Seebug一直緊跟最新漏洞動態(tài)，基于知道創(chuàng)宇安全研究團隊及社區(qū)的力量，我們針對一些重點漏洞進行應(yīng)急，除了發(fā)布漏洞分析文檔、PoC外，借助我們ZoomEye的力量，每一次我們也將漏洞的影響情況進行發(fā)布，照妖鏡和綿羊墻功能的上線，則為相關(guān)的廠商、單位帶來了漏洞預(yù)警功能，這樣任何人都可以隨時跟進行業(yè)最新的漏洞，來對現(xiàn)有系統(tǒng)進行修補了。”Fooying在談到Seebug這半年發(fā)生的變化，臉上充滿了興奮的表情。

　　據(jù)悉，綿羊墻是西方舉行各種黑客大會或者安全大會上經(jīng)常出現(xiàn)的趣味活動，它將用戶設(shè)置的不安全的用戶名與密碼公布在墻上，用來警醒人們。對于Seebug來說，上線綿羊墻功能的初衷也是這樣的，對重大漏洞影響到的網(wǎng)絡(luò)平臺進行部分遮擋上墻，達到一定的預(yù)警、警醒作用。“綿羊墻上線后，整體反饋不錯，原來的漏洞應(yīng)急公示、預(yù)警，對于漏洞危害、影響等大家沒有更直觀的感受，但是有了綿羊墻之后，大家可以看到有許多廠商受到影響，對漏洞的認(rèn)知更加直觀了，之后我們將根據(jù)反饋，來豐富綿羊墻的展示和功能。”

　　至于照妖鏡，在神話里，照妖鏡的用處是照出妖怪原型，而對于Seebug來說，F(xiàn)ooying解釋是幫助廠商照出漏洞。“在知道創(chuàng)宇安全團隊長期的漏洞應(yīng)急中，我們發(fā)現(xiàn)，每次進行漏洞應(yīng)急、預(yù)警，能讓很多的廠商意識到漏洞的重要性，但是對于很多廠商來說，沒有漏洞自檢能力，也不懂如何去照出自家產(chǎn)品、平臺中的漏洞，于是照妖鏡就上線了，它是一個在線檢測功能，我們希望借助Seebug提供的照妖鏡，幫助相關(guān)的運營人員、廠商更容易地發(fā)現(xiàn)、檢測漏洞，從而再利用Seebug漏洞詳情中公布的修復(fù)方式進行修復(fù)。”

　　據(jù)Fooying給出的數(shù)據(jù)顯示，照妖鏡于2015年11月中旬上線，到目前為止，已經(jīng)累計被使用34000多次，幫助眾多廠商在漏洞爆發(fā)的第一時間發(fā)現(xiàn)自己的安全問題，反饋良好。并且他表示要將這一功能持續(xù)地做下去，在更多漏洞爆發(fā)的第一時間盡可能地上線照妖鏡功能，以更好地幫助大家發(fā)現(xiàn)及解決安全問題。

　　除了與行業(yè)保持親密，Seebug在全新改版的這半年里還將自己的另外一個功能完美地進行了延伸，那就是他們啟動的人才培養(yǎng)計劃，而這一計劃采用的是多線程同步進行，這包括與i春秋合作錄制課程、《Seebug 校園幫幫幫》高校行、《PoC 培訓(xùn)沙龍》等活動，這一系列的活動旨在培養(yǎng)下一代網(wǎng)絡(luò)技術(shù)人才，給高校同學(xué)、行業(yè)同仁分享自己的第一線經(jīng)驗，為安全行業(yè)人才成長貢獻一份力量。

　　通常而言，一個成熟的品牌是不會輕易更換的，那么Seebug為什么在2016年去做這樣一件品牌升級的事呢?

　　為此Fooying解釋說：“當(dāng)2016年到來之時，也將迎來Seebug 10周年誕辰，我們將Sebug品牌升級為Seebug，應(yīng)該說是眾多因素結(jié)合在一起的結(jié)果。我們不再滿足于漏洞平臺這一定位，Seebug原來的名稱Sebug，這里的Se是 Search，也就是搜索的意思，Sebug即搜索Bug，搜索漏洞的意思，而在2015年8月，Seebug正式改版公測的那一刻起，Seebug已經(jīng)不僅限于是一個漏洞庫，她是一個漏洞社區(qū)，整個平臺除了是一個富有生命力的權(quán)威漏洞平臺外，還是一個開放的漏洞分享與交換社區(qū)，眾多白帽子在Seebug上貢獻漏洞，加上半年來我們發(fā)生的一系列功能角色上的拓展，所以我們做出了這樣的決定。而最終在2016年Sebug第一個動作，Beebeeto并入之時，Sebug品牌被正式更名為了Seebug。這里的See為洞悉、看見、發(fā)現(xiàn)、關(guān)注的意思，洞悉漏洞，讓你掌握第一手漏洞情報!這是Seebug新品牌的含義。”

　　據(jù)了解，并入Seebug的Beebeeto也是一個PoC/Exp分享社區(qū)，并且在行業(yè)內(nèi)算是一個比較早將PoC/Exp進行社區(qū)化的平臺。據(jù)Fooying介紹，Beebeeto其實是在知道創(chuàng)宇實習(xí)生宿舍誕生的，一直以來，Beebeeto由知道創(chuàng)宇小伙伴創(chuàng)建的一個安全組織來運營。一個10年品牌的漏洞平臺，一個 PoC/Exp 社區(qū)化先驅(qū)者!Beebeeto累積的用戶及社區(qū)化經(jīng)驗，在并入Seebug之后，也讓Seebug更加專業(yè)與權(quán)威。

　　品牌升級再增百萬獎金關(guān)注工控安全獎勵加大

　　Seebug的品牌升級，有一種水到渠成的必然性，是自身功能良性發(fā)展與壯大的一種釋放。據(jù)筆者了解，隨著新品牌的啟用，知道創(chuàng)宇也宣布將注入第二筆百萬現(xiàn)金獎勵。

　　“隨著更多的人參與到Seebug社區(qū)，大家提交量不斷增加，相關(guān)提交的內(nèi)容也不斷變得更有質(zhì)量，Seebug不斷提高獎勵標(biāo)準(zhǔn)，第一期百萬獎金也很快就要用完了，但是大家不用擔(dān)心，品牌升級之后我們也正式開放了第二期百萬獎金，我們希望在此表達一個態(tài)度，這仍然不是我們獎金終點，大家對Seebug社區(qū)的貢獻參與，提交的內(nèi)容都可以得到補貼獎勵!”Fooying對筆者表示。

　　同時筆者注意到，Seebug在2016年還上線了“工控相關(guān)漏洞懸賞”，這一領(lǐng)域的懸賞要比普通漏洞更高，將采用最少2倍以上的獎勵標(biāo)準(zhǔn)。據(jù)悉，國內(nèi)對工控領(lǐng)域有專業(yè)研究的人才相對來說要更為稀缺，而工控領(lǐng)域的安全性問題則更讓人神經(jīng)緊張。

　　為此Fooying表示：“前不久烏克蘭斷電事件知道創(chuàng)宇安全團隊也做了應(yīng)急分析，并向上級部門遞交了相關(guān)報告，用于避免同樣可怕的事件在我國上演，國家現(xiàn)在非常重視工控領(lǐng)域的安全，我們推出這樣的懸賞，就是要讓白帽子們也注意到這一問題，最終形成一個良好的氛圍，來培養(yǎng)更多的工控安全人才，一起來為國家安全盡一份義務(wù)和責(zé)任。為此我們特意加大了在這方面的懸賞，也希望大家能夠參與進來，同時知道創(chuàng)宇自身也計劃在適時的時候發(fā)表自身工控研究成果，大家可以一同學(xué)習(xí)進步。”

　　寫在最后

　　春節(jié)過后Fooying再度投入到了緊張的安全工作當(dāng)中，在接受筆者采訪時，他也不忘隨時查看白帽子們提交到Seebug上的漏洞信息，在采訪結(jié)束后，他便全身心的投入到某型號打印機的一個設(shè)計缺陷造成的內(nèi)網(wǎng)密碼泄露的漏洞提交上。Fooying也沒想到，春節(jié)剛剛過去就有人提交0day漏洞，只不過這一漏洞相對的利用性不是那么大而已，但是如果所有打印機廠商在設(shè)計上都這么疏忽，那就變的可怕了，所以Fooying也決定要在適當(dāng)?shù)臅r候公布出來，對打印廠商也算是一種警示。

　　Fooying直言Seebug品牌升級之后從搜索漏洞到洞悉漏洞的轉(zhuǎn)變，從平臺到社區(qū)的轉(zhuǎn)變，感覺自己的責(zé)任也更重了，但是也讓他更有成就感，他表示升級后的Seebug除了在漏洞上保持專注與白帽子們互動外，還會基于知道創(chuàng)宇的安全能力開放更多的功能與平臺，真正的構(gòu)建一個足夠完善的漏洞社區(qū)，同時Seebug還會繼續(xù)堅持把人才培養(yǎng)計劃做下去，現(xiàn)在國家需要大量的安全人才，知道創(chuàng)宇漏洞社區(qū)也希望盡自己的最大努力來做些什么。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。