首页 | 安全文章 | 安全工具 | Exploits | 本站原创 | 关于我们 | 网站地图 | 安全论坛
  当前位置:主页>安全文章>新闻>安全新闻>文章内容
白帽子谈云安全:Google驶于黑客共舞的最前沿
来源:vfocus.net 作者:vfocus 发布时间:2012-10-17  

Paypal公司与以色列著名黑客组织白帽子达成网络安全性上的全方位合作,作为最新选择与黑客合作的公司无疑是明智的。在这些与黑客共舞的公司中(Facebook、Mozilla、Twitter等),Google无疑走在了最前沿。如果你认为把数据托付给云是件很令人放心的事,那么三个以色列黑客会给你一个明确的忠告:云是不安全的,完完全全的不值得信赖。

 

云到底有多不安全?黑客Ben Hayak说:“这是如此的不安全以至于在亲测它安全之前我甚至都不会向PayPal里面添加一张信用卡。好在我之前也没有如此做过(添加信用卡……),他们一直存在一个很大的安全漏洞,而这个漏洞也是于不久前才关闭的。”

Hayak可以去测试PayPal云的安全性要特别感谢该公司的“漏洞赏金”项目 — 通过支付酬金给黑客来发现自生的安全缺陷。

通过Paypal的首席信息安全官Michael Barrett的博客了解到:安全性已经成为任何云商业公司的首要议程,但是仅仅依靠公司独自完成是不可能的。

因此该公司展开与“white hat”(黑客世界的佼佼者)黑客的全面合作,欲以发现XXS、CSRF、SQL资料隐码攻击及Authentication Bypass上的安全漏洞。

Barrett在博客中写到:“开始时,我还对给其它研究员提供漏洞的有偿研究持保留意见,但是呈现的数据完全显示出我的想法是错误的 — 我很乐意去接受此项意见。而且不得不承认这是个吸引研究者注意网络服务安全的有效手段,也必将发现更多安全性隐患。”

取而代之的让黑客们针对你,Paypal成为最新与黑客达成合作的云计算公司一员。其它拥有类似项目的公司还有Facebook、Mozilla及 Twitter,然而第一个正式与黑客达成合作的公司却是Google — 从2010年底就启动了漏洞赏金项目(官方称为Vulunerability Reward Program)。

至今已有成百上千个黑客揭露了Goolge代码中的上万个安全漏洞,囊括了Google全范围产品,从Gmail到Google Docs,再到Blogger。

以色列的白帽子过去一直积极于Google项目;Hayak和Shai Rod(黑客)曾被评为Google 2012年度顶级漏洞揭发者。而黑客Nir Goldshlager更是Google 0x0a目录上创纪录的4黑客之一,这个目录基于漏洞发现的数量以及Google开出去的奖金。

他们3个共同效力于以色列的安全公司Avnet — 测试以色列企业网站建设的安全漏洞。而Google方面则是3个黑客的业余工作 — 但是却让他们赚了满盆满罐(每人基本上大几万美元),每个漏洞的发现Google都会付出500-3000美元不等。尽管来自世界各地的上千人都在盯着这个项目,但是他们3个仍旧如鱼得水 — Google是如此之大,有足够多的漏洞去探寻。

Hayak说:“最近,Shai给我们演示了通过 Google Calendar上的动作来取得Google服务器的控制权。我们同样也可以通过Gmail来进入Goolge服务器,而且在我们潜入Google的 Blogger.com后,我们还发现了让我们取得所有服务日志权限的代码。这些漏洞存在于服务器的设计,可以直接的利用获得上面所说的权限。”

他们人都表示,他们一直会充当白帽黑客,而且永远都不会从事“黑暗方面”的事情 — 然而Google的项目同样吸引了一些黑帽黑客。

Goldshlager透露:“我们了解到许多情况下黑客发现了漏洞之后都会通过黑市交易给一些犯罪团伙,接着转身又卖给了Google。”

这也是Hayak把数据托付给Google的一个原因 — 在某种程度下,他甚至会使用Gmail。他说:“有了这些通过发现漏洞获得酬金的人,所有存在的问题都会被很迅速的发现;从而即使某个漏洞掀起了波澜,漏洞带来的损失也会被控制在一定的程度上。”他还补充说,Google从2010年中国黑客全方位攻破它的安全网后就开始了这个项目。

Hayak 说,从那(Google开启漏洞赏金项目)以后Google的安全事件有着显著的降低。但云仍然不是个安全的地方。Rod说,“我不信任它”,Avnet 黑客团队的第三个成员。“付费的服务一般会物有所值。但是假如你使用免费的服务,那么你必须面对一堆的攻击。”

Rod谈到,免费和付费账户安全性是一样的 — 最起码开始时是这样的。但是公司总是莫名其妙的觉得他们对付费用户数据的安全有着更大的责任。他说:“这甚至不仅体现在安全性上,还有隐私方面的问题。我认为在阅读过许多网络服务的TOS(服务条款)后,肯定有许多人在接受前会反复的思考。公司留着入侵用户账户的机会越多(比如扫描用户的信息,以便给他们发送更有针对性的广告),安全漏洞出现的可能性就越大。”

Hayak还说,单纯的就黑客而言:像Google这样拥有漏洞赏金项目的公司比那些没有的处境要好多了。他还说:“我不能告知你关于App Store与Amazon的安全性怎样,是因为我没有合法的测试途径。但是事实上Google、Paypal及其他拥有漏洞赏金项目的公司愿意让像我们这样的人去测试它的系统,就说了他们对于安全性重视程度。”

Goolge漏洞赏金项目支出表


 
[推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
匿名评论
评论内容:(不能超过250字,需审核后才会公布,请自觉遵守互联网相关政策法规。
 §最新评论:
  热点文章
·几个常见的CGI攻击方法
·RAdmin 服务端高级配置
·linux/x86 add root user r00t w
·利用SSL漏洞 专家几分钟攻破微软
·二代身份证可能导致身份信息泄露
·外泄Windows代码者来自微软合作
·呵呵~今天换服务器了
·美国老牌黑客往事:控制电台全部
·支付宝控件漏洞——到底是谁在撒
·Halflife 3.1.1.1 - Remote expl
·我国首破病毒大案 熊猫烧香作者
·“互联网之父”建议深入研究安全
  相关文章
·美国老牌黑客往事:控制电台全部
·研究人员演示如何在Android上安
·中国黑客发现iOS11漏洞:可远程
·微软研究员演示轻量级的Rootkit
·颠覆传统架构:硬件黑客打造模块
·微软发布七月份六个安全补丁 三
·二代身份证可能导致身份信息泄露
·安全研究人员在黑帽安全大会上演
·微软按承诺发布IE浏览器安全补丁
·电磁辐射使键盘“偷听”变简单
·Adobe公布Flash Player受“click
·黑帽大会创始人 Jeff Moss 访谈
  推荐广告
CopyRight © 2002-2022 VFocuS.Net All Rights Reserved