Zimperium启动漏洞利用收购项目,目标为iOS和安卓N日漏洞,对零日漏洞毫无兴趣。
漏洞奖励项目的存在,就是为了鼓励研究人员找到并报告零日漏洞。其中理论在于,漏洞被补上,而威胁随之而逝。但事实上,零日漏洞往往会成为N日漏洞利用。此处的“N”,指的是从补丁放出到部署的间隔天数。在此期间,N日漏洞利用的危险程度,堪比零日。
移动世界里该问题尤其突出,因为数百万用户都会因为根本覆盖不到大多数手机的糟糕的部署过程,而在相当长的时间里处于危险之中。现在,2015年2月获得1200万美元B轮融资的Zimperium公司,宣布成立zLab,并拿出150万美元投入N日漏洞利用收购项目,希望能提升移动世界的安全状况。
CTO兼创始人祖克·亚伯拉罕解释称:“不幸的是,手机操作系统的安全补丁过程非常滞后,让公司和个人面对几十个安全威胁束手无策。通过zLab的新漏洞利用收购项目,我们的客户、合作伙伴和网络安全社区其他团体,都将收到这些漏洞的通告,得以提供最高水平的可能防护。”
祖克·亚伯拉罕
实际和期望效果有很多。首先就是,一旦某N日漏洞利用曝光,将会对手机生态系统造成压力,促成安全过程更新的重新思考和改善。其次,它可以鼓励和奖励那些,在漏洞奖励环境下,一旦漏洞被厂商获知就让利用程序开发努力秒变无用功的研究人员们。
再次,这将促成一个更安全的手机市场。有了研究人员的认可,漏洞利用程序将被发布给Zimperium手机联盟(ZHA)的成员。该联盟包括了三星、软银、特斯拉、黑莓,及超过30家全球著名手机厂商和移动运营商。Zimperium将在1到3个月后公开发布归功于研究人员的漏洞利用。
第四,就是Zimperium自己的奖励了。它将利用那些漏洞利用程序及其中蕴含的技术,来增强它自己的机器学习z9威胁检测引擎的能力。这将使客户能在补丁发布和部署前就能扛住这些漏洞利用。
对出产相关N日漏洞利用的研究人员来说,报告过程相对简单。在nothuman.ninja上给ninja_exploits发邮件,描述漏洞利用程序,引用CVE编号,解释漏洞利用链的工作机制,然后声明愿不愿意公开发布代码并接受报酬。
然后,漏洞利用将接受zLab委员会的评估,给出研究人员应得的报酬额度。作为规则,关键漏洞——比如说完整的远程漏洞利用链,将收到比本地漏洞利用更多的报酬。如果能够触发更老机型/OS上的漏洞,也会给出相应的提示。
2月1日的博文中,亚伯拉罕写道:“这很简单,我们会购买除最新iOS/安卓版本之外任何版本的远程和本地漏洞利用。”
有一点可能会引发争议:通过鼓励N日漏洞利用的开发,并将其解决方案集成到z9检测引擎中,Zimperium其实是在增加非Zimperium用户的风险。亚伯拉罕反驳此种论点称:“虽然个人手机用户不能立即看出该项目的好处,但我们真的是在尽力加固用户接收安全更新的方式。”
高明的攻击者,不会等到该项目来研究月度安全通报。这些漏洞已经存在且被高端黑客探索利用了。向Zimperium手机联盟贡献这些漏洞,然后安全社区也会知晓,这样漏洞被利用于针对性攻击的机会就会降低了,增加了运营商阻止此类攻击的机会,以及厂商分配资源提供更新的机会,有益于整个生态系统。 |
实际上,该模式是对Zimperium已经着手的事务的规范化与补强。2015年9月,Zimperium公布了一个安卓Stagefright的关键漏洞利用。该漏洞已经被谷歌打上补丁,但一个已公开的漏洞利用的存在,迫使安卓供应商部署该补丁。
减少N日漏洞利用存活期的任何努力,无疑都是有益的。但如果150万美元都花光了会怎么样呢?“那就有大问题了。取决于项目的成功程度,可能会增加投入吧。”