全球十大白帽黑客团体:Google夺魁、三中国团队入选 - 开源中国社区
全球十大白帽黑客团体:Google夺魁、三中国团队入选
oschina 2015年12月29日

全球十大白帽黑客团体:Google夺魁、三中国团队入选

oschina oschina 发布于2015年12月29日 收藏 26 评论 36

有免费的MySQL,为什么还要买? >>>  

网络攻防,漏洞为王。2015年网络空间硝烟不断:一方面,俄罗斯APT28组织攻击美国大型企业、疑似美国Duqu2.0入侵俄罗斯厂商卡巴斯基事件分 别曝光,双方攻击者都使用了Windows内核漏洞作为制胜法宝;另一方面,全球漏洞交易市场活跃,法国Zerodium明码标价收购漏洞,意大利 HackingTeam贩卖漏洞的邮件、攻击代码更是随着400G内部数据泄露而大白于天下,漏洞无疑就是网络空间的精准导弹甚至核武器级别军火。

在攻击者疯狂使用漏洞武器的同时,Windows等系统和软件也在紧锣密鼓地抢修漏洞,更有一批“安全守卫者”黑客将漏洞无偿报告给软件商,帮助厂商打补丁保护用户,而微软等厂商也会对漏洞报告者进行公开致谢。

接下来,我们将对Adobe、Apple、Google、Microsoft四个影响数亿用户的漏洞“大户”进行2015年盘点,看看都有哪些黑客团队荣登这些厂商的漏洞致谢榜。

Adobe:“漏洞之王”的救赎

Adobe 的安全性一向饱受诟病,但由于Adobe Flash Player的跨平台广泛应用,现时仍然“讲不出再见”。在Zerodium公布的漏洞收购价格表 上,Flash漏洞最高可以卖到8万美元!2015年,Adobe送出近300个漏洞致谢。在Flash彻底退出历史舞台之前,但愿守卫者黑客们多帮助 Adobe再抵挡一阵。

2015年Adobe漏洞致谢榜


致谢对象

报告漏洞数量

Goole Project Zero

101

ZDI

55

Qihoo360

55

bilou/NicolasJoly

42

Alibaba

14

Keen Team

8

Trend Micro

5

Fortinet

4

KnownSec

2

Palo Alto Networks

2

FireEye

1

McAfee

1

PKAV

1

Venustech

1

Apple:越狱难度与日俱增

苹果iOS系统的远程越狱漏洞价值百万美金。对越狱爱好者来说,自然不愿意见到漏洞被封堵,但对于普通的苹果用户来说,iOS的安全更新实实在在是一件儿好事,这意味iPhone、iPad等产品安全性不断提升。

2015年苹果漏洞致谢榜


致谢对象

报告漏洞数量

Google Project Zero

44

ZDI

24

TaiG

11

Qihoo360

9

FireEye

7

Alibaba

5

KeenTeam

4

Tencent

3

Fortine

2

Palo Alto Networks

1

Google:开创漏洞奖励先河

Google 是最早花钱鼓励黑客寻找自家漏洞的企业,但其漏洞信息比较封闭,往往只公布漏洞报告者榜单,不公开具体涉及哪些漏洞。从今年8月和12月开 始,Google的Android系统和Chrome浏览器才分别公开具体漏洞编号。这也是Google致谢的漏洞数量相对较少的重要原因。

2015年Google漏洞致谢榜




致谢对象

Android漏洞

Chrome漏洞

合计

Qihoo360

7

2

9

Trend Micro

5

0

5

Mariusz Mlynski

0

4

4

Google Project Zero

2

0

2

Copperhead Security

2

0

2

Exodus Intelligence

2

0

2

Zimperium

1

0

1

Alibaba

1

0

1

Baidu

1

0

1

Keen Team

1

0

1

Microsoft:免费致谢+赏金计划

微软的漏洞致谢主要来自于每月“补丁星期二”的安全公告,此外微软也推出了赏金计划,专门给Mitigation Bypass(意指绕过系统安全机制的攻击技术)和Edge浏览器等专项产品提供漏洞奖金。

2015年微软漏洞致谢榜





致谢对象

安全公告

漏洞数量

赏金计划

总计


Edge漏洞

绕过技术




ZDI

154

0

1

155

Google Project Zero

93

0

1

94

Palo Alto Networks

34

0

0

34

Qihoo360

22

3

1

26

Baidu

26

0

0

26

Versign iDefense

25

0

0

25

Tencent

14

1

1

16

FireEye

14

1

0

15

Trend Micro

15

0

0

15

Keen Team

11

0

0

11

NSFOCUS

6

0

1

7

Fortinet

7

0

0

7

KnownSec

6

0

0

6

iSight Partners

3

0

0

3

McAfee

2

0

0

2

Venustech Adlab

1

0

0

1

VRV

1

0

0

1

 综合以上四家软件巨头的致谢公告,2015年度全球十大黑客天团如下:

TOP10

Adobe

Apple

Google

Microsoft

总计

Google Project Zero

101

44

2

94

241

ZDI

55

24

0

155

234

Qihoo360

55

9

9

26

99

bilou/Nicolas Joly

42

0

0

42

Palo Alto Networks

1

1

0

34

36

Baidu

0

0

1

26

27

Trend Micro

5

0

5

15

25

Versign iDefense

0

0

0

25

25

Keen Team

8

4

1

11

24

FireEye

1

7

0

15

23

Google Project Zero 当之无愧夺魁。作为Google旗下精英团队,Google Project Zero不光捍卫着Google的安全,也用实际行动促进各大软件厂商提升 产品安全性;排名第二的ZDI(HP’s Zero Day Initiative)与榜首的漏洞致谢数量差距不大,但ZDI的漏洞大多来自收购而不是靠 自身实力挖掘;排名第四的bilou/Nicolas Joly在一年间转战效力于VUPEN、Google Project Zero和微软,因此单独 列出。

360、百度和Keen Team三支中国团队也成功进入十大天团,分别名列第三、第六和第九。360的优势在于跨平台的安全研究实 力,包括Windows、Android、iOS等系统和Chrome、IE、Edge、Adobe Flash Player等软件均挖掘出不少漏洞; 百度则在2015年发力挖掘IE漏洞,凭借26个IE漏洞致谢脱颖而出;Keen Team也属于全能型选手,但没有特别突出的阵地,今年收获的漏洞致谢 数量反而落后于百度。

在全球TOP10以外,阿里巴巴、腾讯、绿盟科技、知道创宇等国内团队也或多或少地出现在各大软件厂商的漏洞致谢名单中。随着国内互联网行业持续加大对安全的投入,相信会有更多中国的安全团队活跃在世界舞台上。

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:全球十大白帽黑客团体:Google夺魁、三中国团队入选
分享
评论(36)
最新评论
0
相对于百度这种流氓来说,360还是相当不错的
0

引用来自“军师”的评论

360是真的在做安全软件,有人,有心,有力。
钱从哪来呢, 答:其他公司, 缺德缺到家门口, 没打过交道没有发言权, 谷歌是技术驱动的, 360不是
0

引用来自“eechen”的评论

360牛逼呀,数字黑的G粉这次怎么黑呢?只能扣五毛的帽子了吧,哈哈。

引用来自“Tary”的评论

数量不等于质量

引用来自“eechen”的评论

上榜就表示牛逼。
牛逼也是流氓, 程序界一片骂声的360和麻花疼
0
360是真的在做安全软件,有人,有心,有力。
0

引用来自“eechen”的评论

360牛逼呀,数字黑的G粉这次怎么黑呢?只能扣五毛的帽子了吧,哈哈。

引用来自“Tary”的评论

数量不等于质量

引用来自“eechen”的评论

上榜就表示牛逼。
上榜就是牛逼
0

引用来自“eechen”的评论

360牛逼呀,数字黑的G粉这次怎么黑呢?只能扣五毛的帽子了吧,哈哈。

引用来自“Tary”的评论

数量不等于质量
上榜就表示牛逼。
0

引用来自“eechen”的评论

360牛逼呀,数字黑的G粉这次怎么黑呢?只能扣五毛的帽子了吧,哈哈。
数量不等于质量
0
Goole Project Zero.....
0
chrome一个拓展的事情
0
现在还用着360, 省心
0
看见了pkav团队
0

引用来自“吴小华”的评论

360浏览器 网页拍照很不错,安装360浏览器不为别的就是这个功能才安装
我也是,觉得这个功能很方便,其实截图软件也可以,但是觉得没必要为了一个功能开2个软件,直接浏览器里面crtl+m,很便捷。
0
360国际版或者用国外的免费的
0
PKAV 果真好样的
0
上面对360洗白的,我只想说,我们公司不允许安装360软件。
0
baidu发现了26个IE漏洞, 而且用自家产品试验证明IE漏洞太TM可怕了
0
你们可以用美帝特供版的360啊,干净的很!!!
0

引用来自“吴小华”的评论

360浏览器 网页拍照很不错,安装360浏览器不为别的就是这个功能才安装
chrome多得是插件做这事
0
360垃圾货,电脑小白只要装上这玩意,过几天去看。肯定被装360全家桶。
0
360牛逼呀,数字黑的G粉这次怎么黑呢?只能扣五毛的帽子了吧,哈哈。
顶部