中国的漏洞利用:为什么政策忽然变化?
要么这只是一个暂时的改变,中国队不久后将再次统治 pwn2own;或者这是一个非常聪明的社交工程策略,以发展中国本土的进攻性网络能力
在过去的几年里,中国的漏洞研究团队一直主导着世界各地的黑客竞赛。这是因为中国主要科技公司一直在争夺中国的网络安全市场。他们使用 CVE 任务、利用竞争获胜和主要软件供应商的认可,来证明他们在网络攻防方面的专业知识。大致与20世纪90年代的 Bugtraq 相似。
为了鼓励他们的团队进入并赢得漏洞利用竞赛,这些公司有各种激励结构,例如一些公司会为获奖作品支付奖金。对于许多黑客来说,这些都是梦寐以求的机会:全职研究; 高薪; 大笔的奖金; 国际旅行和业界认可。
这些公司也为他们的投资获得了价值,他们的营销部门能够充分利用国际认可。漏洞研究团队与公司之间存在明确的双赢关系。这就是为什么民间独立组织无法获得这些技术人士的合作。
今年则发生了明显的变化。安全部队告知参与国际漏洞利用竞赛的主要公司,漏洞处理规则已发生变化:没有第三方,只能直接向供应商提供。对于那些不熟悉富裕社会环境如何运作的人来说,这可能听起来像是一个嚼舌的律师狡辩关于第三方定义的机会。但这种想法充其量是错误的。
首先必须认识到,这不是一项新法律,而是警方发布的政策变化。这意味着警方有权解释某项行为是否违反了该政策。从根本上说,这意味着“遵守新政策的意图”,因为没有“法律条文”可循。对于西方人来说,这似乎令人困惑,要理解政策的措辞不如去理解发布政策的官员的意图更重要。
这就提出了一个更有趣的问题:这项新政策的目的是什么?重要的是要知道这是否是一项临时措施,由于官员们已经决定现在是敏感时段,他们不想引起注意;或者,这是否是一项永久性的政策变更,并将在很长一段时间内保持不变。
如果这是暂时的(比如一年或更短),那么效果可能会很小。公司和研究人员只需等待它结束,然后出现更多的漏洞来展示。但是,如果这是一个永久性的变化,那么其影响非常值得警惕了。为了论证,我们假设这是一个长期政策。这对中国网络安全社区意味着什么?
一阶效应将影响公司和研究人员。这些公司将失去一个重要的营销媒介,维持庞大的研究团队将只能意味着财务流失,几乎没有投资回报率。减少漏洞研究团队的规模将具有良好的财务意义。研究人员还将失去很多主要的额外津贴:国际旅行和认可、以及大部分带回家的工资。
作为一家无法参与漏洞利用竞争的公司的研究员,他们就没必要再留下来了。在一家小型政府部门的“国家安全”网络防御公司工作,将能获得相同的全职研究机会,还显得你爱国,并能获得更有利可图的收入。
因此,如果政策变化是长期的,那么最直接的影响将是:激励受过培训和具有积极性的漏洞研究团队离开他们现有的角色,并成为 natsec 结构的一部分。同时,雇用这些庞大团队的公司将受到激励,以减少研究单位的规模,使其符合 “11pt Arial font” 营销的投资回报率。
所以,要么这只是一个暂时的改变,中国队不久后将再次统治 pwn2own,或者这是一个非常聪明的社交工程策略,以发展中国本土的进攻性网络能力。时间会证明一切。
有一种很好的方法可以检测出政策变化对中国研究团队的影响,因为他们输出直接可用于主要供应商的安全漏洞。随着旧的报告漏洞被清除,将会出现滞后,但如果中国团队在微软、安卓和苹果安全建议的确认数量下降,那么外部观察者就可以衡量其影响。这是现在要关注的指标:安全更新中的确认。◾️