互联网安全“挖漏洞”暗战 腾讯2016年上半年大爆发

【听杨姐说】

国内挖掘技术哪家强——2016年上半年是腾讯强！

这互联网安全问题大会说，小会说，但还是年年爆发大事件，什么心脏滴血啦，什么隐私泄密啦，什么艳照满天飞啦，总是那么一不经意，就给你整出个幺蛾子，漏洞问题就是一个道高一尺魔高一丈的“死循环”！

不过这些年，国内的互联网安全厂商也没有闲着，表面上风平浪静的江湖，其实暗中波涛汹涌，什么战略入股个对手的对手啊，什么高薪挖对方个墙角啊，双方都没消停过。这不，在安全领域还有一块战场，就是找漏洞。

这块领域可不看钱也不看脸，是真的拼技术吃饭的，2016年上半年刚过去，最新的统计已经出炉，腾讯的成绩已经稳居国内第一！

看，有图有真相，姐用红色把腾讯标出来了：

2015年跟今年没法比，公开的统计只有Adobe和微软两家的安全漏洞致谢，Google排第一；360排第二；腾讯的比较分散（因为有好几个做安全的部分）……我也没能统计全！

当然，如果你去问国内任何一家安全厂商，他们都会说：我们最大的竞争对手是自己，我们没有跟对方比数量，我们只是为广大网民谋福利，我们……

切，谁信啊，不过你们承不承认都没关系，姐就是这么认为的！没有竞争就没有进步，竞争越激烈，你们找到的漏洞越多，俺们老百姓就越安全！所以，尽情滴较劲吧，不用在乎我们的感受……hiahiahia

大家如果觉得杨姐我言过其实——那说明您真的不懂这些漏洞的价值。来，姐给大家再唠十块钱的。

漏洞金矿

看看下面这个：

菜心们，这个可不是元素周期表，这是一个国际著名的黑产组织——法国zerodium的漏洞收购价格表。对于那种flash漏洞，同时又可以突破达到最高权限的，可以稳定利用的漏洞收购价格大概是8万美元左右。而程序员如果是拿到黑市去卖的话，能拿到系统权限的漏洞肯定是超过10万美元的。

这些漏洞报给Adobe公司的话，是没有奖励的，一分钱都没有！因此，在利益的诱惑下，黑客的节操很重要！当然，程序员还可以去安全大赛上得奖金，但最终这个漏洞还是要提交给厂商。而打比赛最高规格的，就是加拿大温哥华Pwn2Own，但也只能拿到6万左右美元的奖金，且它每年只举行一次。

然而这些漏洞的危害是巨大的：浏览器的漏洞，或者其他一些产品的漏洞，最终可以被黑产利用去攻击用户的电脑，对用户造成损伤这种案例其实还是蛮多的。

去年在互联网安全领域比较大的事是Hacking team事件，这是意大利有一家专门从事网络中间商的一家公司，它的数据泄密之后，当时就曝光了两个非常严重的flash漏洞，一些0day漏洞被公开，而且是有完整的ESP，坏人拿到之后，简单改一改就能够直接拿去用。

名词解释1，0day漏洞，零日漏洞，指的是厂商还没有提供补丁的漏洞，也就是还没有修复的漏洞，若黑客利用0day漏洞进行攻击，会造成大面积的危害。

名词解释2，exp，exploitation，漏洞利用代码，或者说漏洞攻击代码，指的是编写程序代码，通过漏洞一步一步获得系统的控制权。可以这样理解：漏洞相当于城墙上的一个孔，而exp则相当于藏宝图，告诉你从这个孔进去后怎么走，以及如何躲过层层守卫，并最终找到宝藏。

所以黑客如果直接挖出了0day漏洞，在利益的诱惑下直接去卖钱，就会给企业和用户带来极大的危险，这时候安全厂商的重要性就凸显出来了，一是因为有能力，二是因为有责任，腾讯等安全厂商，会利用自身的能力去帮助其他一些企业或厂商发现漏洞，把危害值降到最低。

腾讯大爆发

其实，3Q大战之后，腾讯这些年在安全上花了不少功夫，为QQ，也为今天的微信保驾护航——后来，除了关注自身漏洞外，腾讯的团队也把这种能力就扩展到了整个业界，给四大厂商找漏洞，除了微软、Google、苹果外，还有Adobe。之所以给这四家公司找漏洞，是因为这四家公司都是国际比较知名的厂商，他们产品的覆盖度是非常高的。

2016年上半年的漏洞，主要是电脑管家和玄武实验室“挖掘”的。

（根据公开新闻整理）

巧了，昨天正好是腾讯宣布“安全联合实验室”的成立，它由七大实验室构成——反病毒实验室、反诈骗实验室、移动安全实验室、科恩实验室、玄武实验室、湛泸实验室、云鼎实验室，组成了一个矩阵。

从昨天发布的这七大实验室来看，腾讯这是要在安全领域里最大限度地“拿下”白帽黑客们。

据悉，按照现在的七大实验室架构，各安全实验室团队的“白帽黑客”可以分工协作，从各自擅长的角度和技术手法来挖掘系统漏洞、技术研究。“白帽黑客”们只需要将精力聚焦在研究上，而腾讯会为其调配和整合其所需要的相关资源，并将其研究成果进行价值转化。

21世纪的竞争核心是什么——人才！

如果说被替代的职业中有媒体、金融、医生等行业的职业，但黑客这个毫无标准化的行业必然是未来人才最稀缺的领域之一。所以我猜，在整个安全领域里的不平衡利益分配可能早就是腾讯在研究对策的领域之一。

此次推出的七大实验室，也是有点在与黑产抢人才的意思——当然，还有竞争对手们。

没有硝烟的战争

在杨姐的记忆中，国内的各大安全厂商在漏洞上真正较劲，是从一、两年前开始的，导火线是2014年微软不再提供XP补丁。那时网信办从国家的层面鼓励安全厂商在漏洞这块加大投入，一方面为海量的XP用户提供更安全的产品，另外一方面也是希望在漏洞其他一些综合能力上都会有一些提升。

那时还举办过一个XP挑战赛，年中和年尾各一次。当时XP挑战赛的规则是介样的：一台电脑上安装各家的安全产品，开放注册给白帽子，让白帽子在某一天某一个时间点去攻击这些电脑，当时腾讯、360、百度以及其他厂商也都参加了，每次都没有被攻破的就只有腾讯和360。

嘿嘿，在杨姐看来，差不多就是从那时起，安全上场在漏洞这块开始暗自较劲。包括今年3月份在温哥华举办的Pwn2Own黑客大赛，除了韩国队之外(他们也相当厉害)，也就是腾讯和360两家成绩比较突出。最终是腾讯凭总比分第一拿到了比赛的“Master of Pwn”（“破解大师”称号）。

挖漏洞是个技术活，现在国内人才济济的现象也是蛮好的，为什么这么说？杨姐统计了一下，现在全球的安全漏洞有四分之一是咱中国人挖出来的！

【小白不菜】微信号：xiaobaibucai521

荣获2014年最佳自媒体

媒体训练营2014最佳自媒体

百度知道认证专家

2015媒体训练营年度媒体之星

您可以在百度百家、今日头条、QQ公众账号、腾讯新闻客户端、网易新闻客户端、网易云阅读……等平台同时阅读

您也可以通过以下来搜索杨姐所有文章中的关键词：

http://dev.shareg.cn/selectxt/xiaobaibc/