freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

“3Q”从大战四年到互相致谢,有些事值得放下恩怨
2018-06-25 10:48:58

持续四年之久的“3Q大战”(2010.09~2014.10)已经过去了差不多四个年头,这场围绕隐私安全的斗争放到现在来看依然值得品味。如今,腾讯以5800亿美金的市值成为全亚洲市值最高的公司;360回归A股之后市值曾一度暴涨数倍,成为A股首个市值超过4000亿元的互联网上市公司。

timg (1).jpg

腾讯、360几乎完全摆脱“3Q大战”带来的负面影响,屹立在中国互联网版图的顶端。此时此刻,同样面临网络安全问题上,双方却意外的选择了“牵手”,获得网友一致点赞,对比在3Q大战中受伤的情形,这实属用户之幸。

腾讯、360就漏洞问题互相致谢

原本,一个公司漏洞被另一个公司的团队发现并上报,应该是非常常见的事情,但鉴于360和腾讯两家公司的渊源,这件事看起来有更多的话题可寻。月初,腾讯安全应急响应中心在微博发出致谢信称:收到360阿尔法团队漏洞报告,chrome使用的v8引擎暴露一处严重漏洞,利用此漏洞可以实现远程任意代码执行, 部分系统Webview的APP以及手机系统可能都会受到影响。 该漏洞可能会影响腾讯旗下的部分产品,并借此对360阿尔法团队表示感谢。

3.png

但对于该漏洞的具体细节,双方都没有透露更多消息。不过从360方面了解到,该漏洞与2016年发现的ChromeV8引擎的“BadKernal”漏洞影响范围是一致的,两个漏洞均可能对腾讯旗下微信、QQ空间、手机QQ等安卓APP造成影响。

微信截图_20180625111519.png

来而不往非礼也,在六月中旬,360安全应急响应中心也就漏洞问题在微博公开致谢腾讯科恩实验室。据悉,腾讯安全科恩实验室发现的该漏洞,可以在最新安卓版360手机浏览器8.2.0.122版本上触发,实现远程代码执行,并获取360手机浏览器控制权。用户稍有不慎即有可能因该漏洞中招,并可能导致一些不必要的严重损失。

TIM截图20180624144027.jpg

腾讯及360的前后两次就安全漏洞互相致谢,外界反应都一篇祥和,无论是媒体报道还是网友评论。要知道至少在微博上,涉及360或者腾讯的事件,出现一边倒的支持场面着实罕见。

企业对于漏洞比较敏感且谨慎

抛开腾讯、360之间的渊源不谈,任何公司对于安全漏洞都是比较敏感且谨慎的。全球各地都存在着白帽子以及黑帽子,而这“白”与“黑”本在一念之间。举个例子,假设一位赏金猎人挖到了微软或者其他公司的漏洞,一旦利用该漏洞进行攻击或者窃取重要数据,那就是黑;通过正常公开的途径上报漏洞,而没有利用漏洞造成其他危害,那就是白。黑白之间往往存在太大的利益诱惑,对于公司而言,他们必须考虑到,在一个漏洞被发现之时也存在着被利用的风险,因此绝大部分公司对于漏洞都是比较敏感的。

为了建立企业与白帽子之间的信任,也因此衍生出了漏洞盒子等漏洞众测平台。

由于安全漏洞造成重大安全事故,进而影响公司声誉和股价的,已经比较常见。在众多白帽子心中,“乌云网”似乎会一直存在。乌云网事件引发了太多太多的争议,直到现在也仍然值得一说。因漏洞而生,因漏洞而覆灭。这可能是国内企业与白帽子之间发生的最轰动的一次斗争。

如果把360和腾讯看作死敌,双方的这次“拥抱”看起来跨越了很多的障碍,对竞争对手的信任、对漏洞披露过程的信任以及对往日恩怨的忽视,成功的人或企业都需要“拿得起,放得下”。除此之外,作为白帽子对于安全的信念也一定在其中起了很大的推动作用。

黑客是白帽子唯一且共同的敌人

在国内,安全圈真的很小很小。在国内关注度最高的安全新媒体FreeBuf工作,经常有幸参加国内外重大的安全会议,见得多了总会发现,最为人知的白帽子总是那几个人TK、Killer、杨卿等等,而且这些白帽子之间大多互相熟悉甚至交好,即便互为“友商”阵营。

能真正成为白帽子,大多是一群热衷于技术的人。我始终坚信,做技术的人永远是最单纯的。只有这份单纯和执着,才能让他们在技术上得到最大的满足。而所有白帽子单纯和执着的都是,与黑客的斗争和修不完的漏洞,除此之外可能容不下那么多心机与利益,这些也同样存在360和腾讯的白帽子心中。

这一次因为安全漏洞,360和腾讯选择握手致谢,完全没有了昔日凶狠,即便向来强势的周鸿祎,也发出“安全第一,用户的安全最重要,其他都是小事”的感叹。我想,如果3Q大战迟迟没有休止,势必会早早地变成双方白帽子的战争。那么,可能很多人跟我一样好奇一个问题:360和腾讯,哪一家白帽子实力更加强?

众所周知,腾讯有科恩、玄武、云鼎等七大安全实验室,由国内知名白帽子TK、Killer、yuange等大牛坐镇;360则有15大安全研究团队,另设有国家网络安全研究院、企业网络安全研究院、个人网络安全研究院三大研究院,阵容上看起来360更加强大。但在Pwn2Own、Defcone等国内外重大的黑客大会上,两者所获得的荣誉基本不分伯仲。

真如之前设想的那样,3Q大战演变成白帽子之间的斗争,双方安全团队都能给对方造成很大的麻烦。那么这次360上报给腾讯的漏洞便不会发生,由此产生的安全隐患将由用户承担。而无论是腾讯QQ、微信或是360的安全卫士等产品,在国内都拥有着数以亿计的用户,一旦由于漏洞问题引发重大安全事故,其后果不堪设想,可参考Facebook近期数据泄露事件。“水能载舟亦能覆舟”的道理,既适用于帝王之道,也适用于今天腾讯、360依托于庞大用户生态的巨头企业。

另外,以目前的情况来看,任何一家公司都避免不了安全问题的存在,毕竟“人才是最大的漏洞”。微软、苹果、雅虎、腾讯等企业相继推出漏洞赏金计划,激励更多赏金猎人寻找漏洞,以此来完善安全保护。所以,360此次也算是以白帽子的身份提供给腾讯漏洞报告,只不过恰好来自360。

安全面前,需要合作共赢

引申至整个安全行业, 与日俱增的网络攻击以及新的攻击手段、病毒威胁着所有的互联网及传统企业以及用户的网络环境。在安全问题面前,所有企业都无法独善其身,其唯一且共同的敌人就是黑客。近年来,国家也高度关注网络安全,积极推进企业在安全问题上建立统一战线,360和腾讯的这次握手也算是开了一个好头。

借用北京大学法学院教授盛杰民的一句话:竞争并不是非要你死我活,而是可以双赢的,这是盛杰民对3Q大战的总结。如今这句话似乎是得到了验证,3Q大战之后,腾讯、360分别在社交、安全软件的霸主地位依然稳固,甚至是腾讯医生到腾讯电脑管家的进化之后,也让各自产品在竞争中更加完善。

“3Q”从大战四年到面对安全问题的互相致谢,对于国内安全行业来说,是一个巨大的利好。

*本文作者:Allen.i,转载请注明来自FreeBuf.COM

# 360 # 腾讯
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者