如果发现一个产品的漏洞越多,它的安全性就越差。按照这个逻辑,苹果的iOS系统,微软的Windows系统,谷歌的Android系统都已经被公开破解了,而且这些公司还会定期发布补丁修复大量的安全漏洞,那么他们的产品安全性不是很差。
然而恰恰相反,他们是世界上产品安全性最好的一群公司。
所以暴露出来的漏洞和漏洞数量并不能说明一个产品的安全水平。
可能有读者会问:“在这种情况下,有什么指标可以衡量一个产品的安全水平?”
衡量一个产品安全程度的指标应该是“破解它的难度”。原因很简单。如果一个产品很难破解,那么它的安全性一定要做好。
有两种简单的方法可以知道产品的破解难度:
第一,看漏洞公开收购价格,市场是最好的标尺。
比如国外有一个叫Zerodium的“漏洞军火商”,日常就是公开购买常用的系统和软件漏洞,再转卖给安全公司、政府和其他不可名状的组织。
Zerodium的漏洞价格表基本可以用来衡量一个产品的破解难度,也就是安全级别。
下面是一个手机软件的“悬赏报价”。左边一排是价格,从1.5万到150万美元不等。其他是项目名称:
(枪眼军火商Zerodium的报价,点击大图)
可以看到,iPhone漏洞分别以150万美元和100万美元的价格垄断了前两行(见图片右上角),可见iPhone比其他软件和系统更难破解(安全)。
我在这个价格表的第三排左侧找到了QQ,位于第三排,位置很高,说明QQ也很难破解,安全性很好。
第二种方法是看各大黑客会议/破解大赛:
但出现在黑客顶级发布会上的产品,即使当场公开破解,安全性也一定不低。
因为只有当一个产品的安全性足够高的时候,破解它是非常困难的,黑客用户才会公开展示破解来证明自己的实力。
相反,如果一个产品的安全性很差,破解难度很低,竞争对手是不会让它登场的,因为不值得,黑客玩家根本不会展示出来,因为在同行面前会很尴尬——“你怎么敢说?”
国外有个“手机Pwn2Own”破解大赛,专门破解苹果、三星、谷歌的智能手机。
从去年开始,华为加入了“破解豪华午餐”,与苹果三星一起被玩家破解。但是,我不认为华为的安全性差是因为它被破解了。相反,恰恰说明华为手机的安全性可以达到和苹果、谷歌一样的水平。
回到大破解比赛,每年选手都会现场破解很多智能设备。大创始人“大牛蛙”王琦说,“安全研究人员是厂商的‘好朋友’,希望帮助他们修补漏洞,提高安全水平。”
但是,有些厂商似乎并不买账。
每年都有一些厂商带着敌意来质疑王琦,他们认为黑客的人公开破解他们家的东西是“打他们脸”。
为了不当众“出丑”,有的厂家甚至派人盯着精彩的现场。一旦自己的产品出现,他们会立即联系技术人员,暂时关闭自己的服务器,不管正常用户,让玩家当场无法展示,防止“被当众打脸”。
三、然而,破解真的是一记耳光吗?
厂商只是担心用户知道自己的产品被破解了,质疑产品的安全性。但是今天我要告诉你,被选手破解不一定是一件丢人的事。
相反,能够在一些网络安全活动中被有实力的玩家公开破解,恰恰说明这些产品的安全性做得很好,破解难度不小,值得列为竞赛项目。
厂商对“破解”讳莫如深,其实也能理解。毕竟公众对网络安全的认识和了解需要一个过程。但是为了维护所谓的面子而伤害用户,不仅可耻而且可耻。
从上海到北京的一次极好的旅行后,我没有更换家里那把疑似被破解的智能门锁,因为我知道那是因为很难破解,所以变成了一场比赛。而且有一批专业的安全研究人员在帮我“测试”,让我很放心。
我也悄悄记下了没有破解成功的智能门锁的品牌名称。
据现场裁判介绍,当时厂商临时关闭了服务器,导致破解失败。我把这个厂家拉进了我的购物黑名单,打算以后不碰他的产品。
