上周,加拿大温哥华举行的CanSecWest安全峰会上,两名安全研究员在年度Pwn2Own竞赛中独领风骚,以6项成功黑客手法卷走37.5万美元奖金,其中包括黑进特斯拉 Model 3 的资讯娱乐系统——仅此一项就为他们直接赢下该车作为奖品。
这种不平衡的结果绝非偶然。漏洞研究人员和安全专家就漏洞奖励市场的倾斜状态争来论去也就几个月前的事。漏洞奖励市场上就是极少数菁英研究人员赢得足够生活的赏金,而其他绝大部分参与者经常榜上无名。
麻省理工学院出版社( MIT Press )新书《网络安全新解决方案》的一章中,安全专业人士与来自哈佛大学和麻省理工学院(MIT)的专家联手分析了漏洞奖励市场的经济形势。该研究基于Facebook漏洞奖励项目和漏洞奖励服务公司HackerOne承办的61个项目的数据,发现奖金发放极不均衡。一小部分研究人员成为奖励项目大赢家,而其他绝大部分仅能发现一两个小问题。
《网络安全新解决方案》的作者安全服务公司 Luta Security 创始人兼首席执行官 Katie Moussouris 表示:我们主要研究漏洞狩猎领域和劳动市场的系统动态。居于顶层的只是极少数菁英。
Pwn2Own竞赛很好地呈现出了这种效应。Fluoroacetate(氟乙酸)团队在大会上展示了6种不同攻击。其他所有团队加在一起也只贡献了另外4个,而且其中一个还只是部分成功而已。(一支团队从特斯拉攻击尝试中退出了。)
毫无疑问,Fluoroacetate团队的两名成员 Richard Zhu 和Amat Cama 赢得比赛是实至名归。而且,该团队不是第一次横扫Pwn2Own比赛了。2018年11月,两人组在东京举办的移动Pwn2Own大赛上就赢得了21.5万美元。去年的Pwn2Own竞赛中Zhu也拿走了12万美元。
漏洞大乐透
Moussouris称,漏洞奖励项目就是研究人员的大冒险。他们投入时间精力,但如果不是第一个提交自己发现的漏洞,就可能看不到任何回报。这些项目奖励的是能快速找出很多漏洞的研究人员。
“
漏洞奖励领域,只要你不是第一个上报漏洞的,你的工作就一文不值,你得不到任何报酬。要么拔得头筹,要么白费功夫。
不过,趋势科技零日计划公关经理 Dustin Childs 强调:虽然漏洞奖励经济中只有薄薄一层足以维生的“中产”研究员,其中产程度还取决于他们生活的地区和漏洞研究占其经济来源的比重。
“
或许你生活在年收入不足10万美元就能过得很好的地区。但我知道我们有些人是全职漏洞猎手,有些则只是作为副业。
但漏洞奖励项目的好处是切实存在的——尽管特斯拉入侵吸引了绝大部分注意力,其他一些很棒的研究没得到太多关注。Fluoroacetate团队展示了微软Edge浏览器的3个漏洞,可通过虚拟客户端在宿主操作系统上执行代码。
“
他们在VMWare客户端里打开Edge浏览器,浏览某个Web页面,仅此一个互动,就能在底层虚拟机管理器上执行代码了。真是一组超级棒的漏洞。
这一漏洞利用链为Fluoroacetate漏洞研究二人组赢得了该竞赛的最高奖:13万美元。
另一名参赛者利用漏洞突破了Oracle的VirtualBox并侵入底层操作系统。
即时JavaScript编译器
另外,竞赛呈现出对新领域漏洞利用代码的关注趋势。
参赛者利用的半数漏洞都存在于浏览器广泛使用的即时 (JIT)JavaScript 编译器中。比如说,Fluoroacetate团队就通过一个JIT漏洞加一个堆溢出,利用苹果的Safari 浏览器跳出了沙箱。
另一位参赛者 Niklas Baumstark 利用 Mozilla Firefox 的JIT编译器和一个逻辑漏洞,逃逸出了浏览器的沙箱。而且,研究人员黑进特斯拉资讯娱乐系统也利用了用户界面渲染组件中的即时编译器漏洞。
在浏览器和类浏览器组件内部执行代码依赖JIT并不奇怪。对黑客来说,JIT就好像新的释放后使用漏洞。曾经,释放后使用漏洞到处都是。如今,JIT漏洞遍地开花,尤其是在JavaScript中。
《网络安全新解决方案》文章地址:
https://mitpress.mit.edu/books/new-solutions-cybersecurity
领取专属 10元无门槛券
私享最新 技术干货