根据监督惠普TippingPointZDI零日计划 (Zero Day Initiative)的漏洞研究人员表示,迅速崛起的零日漏洞二级市场和改进的软件编码做法正在合力减少提交到惠普ZDI的漏洞数量。
虽然今年漏洞提交量似乎有所下降,惠普TippingPoint DVLabs管理人员Brian Gorenc坚持认为一群强有力的安全研究人员正向该计划提交关键远程代码执行漏洞。这种漏洞存在于广泛使用的软件中,包括Java、Adobe Reader、IE和Mozilla Firefox浏览器等。
“随着软件开发越来越成熟,漏洞提交量减少了一点点,但我们仍然专注于关键软件的漏洞,”Gorenc在接受SearchSecurity.com的采访中表示,“这些漏洞可能造成大范围的破坏,我们的重点工作就是解决这些漏洞。”在2010年,ZDI计划创纪录地收到300个漏洞,而去年提交量增加到350多个。在2012年,ZDI对其研究人员发现的公开披露的漏洞发表了187次公告。
零日计划(ZDI)创建于2005年,对于严重漏洞,它将为研究人员提供5000美元的奖励。研究人员还可以通过其提交的每个漏洞来赚取积分,从而换取现金奖金或者其他津贴。惠普每年还赞助比赛,为能够展示可行漏洞的研究人员颁发现金奖励。参与该计划的研究人员还可以利用其与软件供应商现有的关系,通过发现漏洞以及解决软件漏洞而得到认可。“这可以让那些独立研究人员专注于他们的工作,”Gorenc表示,“我们可以为他们当中介,让他们得到应得的奖赏。”
Gorenc说:“在解决不断增长的零日漏洞二级市场方面,ZDI计划并没有预期的改变,我们不断看到很多个人想要进行安全研究,只想做自己的研究,并获得相应的奖赏,”Gorenc表示,“零日计划总是有其用武之地,我们将在2013年及以后继续我们的工作。”
漏洞提交量的下降的部分原因在于谷歌、Mozilla、Facebook和PayPal也在运行类似计划,为私下向他们提交严重漏洞的研究人员给予奖赏。安全公司(例如VUPEN)公开承认他们向政府出售漏洞利用,一些公司还通过订阅模式来出售漏洞利用信息。
Gorenc表示,这些软件供应商的计划侧重于特定产品,而ZDI计划试图解决整个软件生态系统存在的漏洞。我们需要追踪这些漏洞在整个系统的走向以及确定这些漏洞是否已被修复。“自ZDI计划开展以来,我们负责任的披露政策一直运作良好。我们直接与供应商打交道,并且我们会确认他们何时解决漏洞。”
一些安全专家对二级市场置之不理,因为他们认为尚不确定其影响。加拿大Sophos高级安全顾问Chester Wisniewski表示,漏洞研究人员应该得到应得的报酬,但转向灰色或者黑色市场是不对的。Wisniewski鄙视那些未将漏洞披露给软件制造商的公司,认为这种做法“不道德”和“不负责任。软件供应商应该根据明确的规定得到公平的对待,这是非常重要的。”
零日保护 移动漏洞提交
惠普还使用ZDI来将零日威胁保护引入其TippingPoint IPS设备产品。VeriSign的iDefense漏洞贡献者计划为iDefense客户提供类似的好处。对于要求介绍其计划现状的采访,Verisign没有作出回复。Gorenc表示,ZDI帮助提高威胁保护,但惠普还有其他机制,包括来自其合作伙伴的威胁保护信息,这也能帮助其提高零日攻击检测。
Web应用漏洞通常占ZDI漏洞提交的大部分。但Gorenc表示,他预计在2013年将提交更多移动漏洞。移动基带(在智能手机上运行蜂窝活动)正在吸引研究人员的注意力,他表示,“我们将看到人们花更多时间来追踪难以得到的目标。”
近场通信(NFC)是为移动支付开发的通信协议,该协议正获得越来越多的关注。移动浏览器错误(主要是Webkit漏洞)越来越常见。研究人员还正在以稳定的步伐提交Java漏洞。Gorenc表示,他预计将会有越来越多的研究人员试图寻找办法来绕过软件制造商部署的缓解措施,例如数据执行保护(DEP)和地址空间布局随机化(ASLR),这些广泛部署的方法让代码执行变得更加困难。