零日漏洞就是厂商未修复且可被利用来当作网络攻击武器的安全缺陷,威力强大但却脆弱。出于军事、情报和司法目的,各国政府会寻找、购买和使用零日漏洞。这是个充满矛盾的操作,因为会让发现了相同漏洞的其他攻击者也掌握有危害社会的能力。
在黑市上,零日漏洞属于高价商品,但有漏洞奖励项目鼓励安全人员发现并向厂商报告这些安全漏洞。修复危机意味着零日漏洞重要性日趋下降,而所谓的老(0ld-days)漏洞变得几乎与零日漏洞效果一样。
为什么说零日漏洞很危险
零日漏洞得名于漏洞发现时补丁存在的天数:零天。一旦厂商发布了安全补丁,漏洞就不再属于零日范围,而加入到无穷无尽的可修复却未修复的老漏洞行列。
在过去,比如说7年之前吧,一个零日漏洞就足以实现远程入侵,令发现和拥有零日漏洞显得极具威力。
而今天,Windows 10 或iOS这些消费级操作系统中的安全缓解措施,让攻击者不得不联合使用数个甚至数十个小零日漏洞才能完全控制给定目标。也因此,黑市上iOS的远程执行零日漏洞价格才会达到天文数字级别。
零日漏洞黑市
想要漂亮赚得150万美元?那就找出给力的iPhone零日漏洞再卖给Zerodium漏洞奖励项目吧!它网站上宣称的可是会给出市场最高的漏洞奖金哟。像Zerodium这样的漏洞代理商只会将漏洞卖给军事间谍机构,但专制政府的秘密警察也会购买零日漏洞来攻击记者和迫害持不同政见者。
与仅出售给少数政府的灰色市场不同,黑市则是完全不限制买家身份:犯罪团伙、贩毒集团和像朝鲜/伊朗这样被灰色市场排斥的买主也可以在黑市购得零日漏洞。
《瓦森纳协定》一直以来都限制不了黑/灰色市场上的零日漏洞交易,至少到目前为止是这样的。
《瓦森纳协定》禁止向禁运国家出口铀浓缩之类的军民两用技术。2013年一项对可被用于恶意目的的技术加以控制的提案遭到了反对,很多人认为该提案反而会让形势恶化。
如今,尽管规定就摆在那儿,但任何动机够强烈的政府或犯罪集团都可以染指黑客工具,包括零日漏洞利用。
漏洞奖励项目 vs. 协同漏洞披露
毫不顾忌自己发现的零日漏洞会成为政治迫害帮凶的黑帽子们,能够从黑市或灰色市场上攫取大量金钱。有良心的安全研究员们则能以向厂商报告漏洞的方式获取回报。任何规模的组织都应公布漏洞发现过程,公开承诺对安全问题进行无害的善意报告,并在内部对所报告的问题进行分类。这就是现今 ISO 29147 和 ISO 30111 中标准化过的最佳实践。
为鼓励零日漏洞报告,各类组织可以选择推出漏洞奖励项目,通过向道德安全研究员提供大额金钱回报来激励漏洞研究与披露。这些报酬比不上黑市高价,只是用于奖励做了正确事情的安全研究员的。
政府囤积零日漏洞遭质疑
NSA、CIA和FBI都在找寻、购买和使用零日漏洞,也由此引发了诸多批评。这些政府机构利用零日漏洞攻击犯罪分子,而不是将漏洞报告给厂商以实施修复。这样一来,找到或偷到同样漏洞的罪犯和外国间谍,便能够利用这些漏洞危害整个社会了。批评者就认为,如果政府的任务是保护人民,那他们应该大力防御而非攻击。
在美国,漏洞平衡策略(VEP)就是美国政府当前用以评估零日漏洞披露的机制,而这一机制是不完善的。VEP试图平衡攻击与防御,决定哪些安全漏洞应报告给厂商而哪些要被政府留作攻击用途。
影子经纪人泄露的一系列漏洞利用,包括流传甚广变种甚多的永恒之蓝,引发了对政府扣住漏洞不公布的更多质疑。影子经纪人据传言属朝鲜或俄罗斯情报机构,盗取了NSA黑客工具并放到了网上供免费取用。犯罪分子拿到这些强大的NSA网络武器后投入犯罪恶行,引发的混乱至今仍有余波。
修复是比漏洞更大的问题
零日漏洞性感迷人,但如今也不像以前那么性感了。补丁的发布并不意味着带漏洞的设备就会被修复。很多情况下,IoT设备之类的东西本就是“带病”出厂,而此后也再不接受修复。有时候则是物理上就无法修复设备。如果不能在生产中应用补丁,那厂商发布补丁也没什么用处。
因此,对攻击者而言,无论是政府网军还是网络罪犯,用老漏洞足矣。很多情况下手握零日漏洞利用的攻击者还不愿意使用自己手中的零日漏洞,反而以老漏洞代之,因为若对技术高超的防御者使用了零日漏洞,反而容易暴露。这就让零日漏洞利用变成了扛不住揍的脆弱武器,尤其是在当下网络空间国家博弈的环境下。
【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】