【51CTO 1月11日外電頭條】又過了一個月，又有一個零日漏洞被報告，而惡意攻擊者借助惡意軟件，發(fā)動了鉆這個漏洞空子的攻擊，充分利用了機(jī)會窗口。由于某軟件開發(fā)商讓數(shù)以百萬計的用戶幾個星期"敬請關(guān)注"，網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)中關(guān)于零日漏洞方面的誤區(qū)和猜測越來越多。

零日漏洞是壞人們一直在尋找的目標(biāo)嗎？零日漏洞攻擊在這伙人的"經(jīng)營模式"當(dāng)中到底有多普遍？零日漏洞是否關(guān)系到針對性攻擊的成??？

下面就讓我們一一揭穿零日漏洞方面的七大誤區(qū)；我們借助了可公開獲得的數(shù)據(jù)，對于網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)內(nèi)幕的了解，當(dāng)然還有常識（比如現(xiàn)在的惡意攻擊者似乎具備的常識）。

一、零日漏洞是推動網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)發(fā)展的主要因素

離真相十萬八千里。

2010年，推動網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)發(fā)展的主要因素是，數(shù)以百萬計的最終用戶和公司用過時的第三方應(yīng)用程序和插件來使用互聯(lián)網(wǎng)。由于當(dāng)前的趨勢由原來利用針對特定操作系統(tǒng)的漏洞，轉(zhuǎn)為利用客戶端的漏洞，或者是老式的社會工程學(xué)攻擊，而最終用戶/公司對于當(dāng)前的安全威脅狀況又相當(dāng)缺乏深謀遠(yuǎn)慮，這導(dǎo)致惡意攻擊者普遍能夠得逞。如此說來，如果說壞人們依靠的不是零日漏洞，作為其經(jīng)營模式基礎(chǔ)的又是什么呢？那就是全球普遍缺乏安全意識，結(jié)果導(dǎo)致用戶屢屢點擊中招（那是由于壞人們輪換著采用社會工程學(xué)伎倆），眾多不安全的應(yīng)用程序/插件在普通的聯(lián)網(wǎng)個人電腦上運行，以及當(dāng)前的網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)出現(xiàn)了自己動手（DIY）或網(wǎng)絡(luò)犯罪即服務(wù)的狀況，從而讓毫無經(jīng)驗的攻擊者也能獲得高級的攻擊工具，這一切促成了生態(tài)系統(tǒng)的蓬勃發(fā)展。

二、零日漏洞是網(wǎng)絡(luò)犯罪分子們一直在尋找的目標(biāo)

如果零日漏洞真是他們一直在尋找的目標(biāo)，那么網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)也許永遠(yuǎn)不會發(fā)展成熟、變成今天這樣的高效賺錢機(jī)器。

為什么？從根本上來說，壞人們突然意識到了一點，那就是：不光劫持足夠多特定流量的可能性很大，從而可以攻擊數(shù)量眾多的用戶；而且不費吹灰之力就能找到零日漏洞，那樣他們就可以把時間和資源用在其他方面。這對一些人來說是邊緣思想（marginal thinking），而對另一些人來說是保持簡單（KISS）原則；總之，這是目前推動網(wǎng)絡(luò)犯罪經(jīng)營模式發(fā)展的動因--行動準(zhǔn)則基于嚴(yán)酷的現(xiàn)實，而不是設(shè)想打上完美補丁的世界應(yīng)該是什么樣。之所以會有零日漏洞是壞人們一直在尋找的目標(biāo)這個誤區(qū)，那是源自零日漏洞黑市這個概念；這個市場與幾年前相比得到了極大的發(fā)展。以前是針對特定的操作系統(tǒng)，而現(xiàn)在針對特定的客戶端；這個市場現(xiàn)在很注重實際，一切以利用互聯(lián)網(wǎng)應(yīng)用程序的漏洞為中心。壞人們之所以轉(zhuǎn)移關(guān)注的目標(biāo)，唯一的原因是由于前面第一點提到的他們幡然醒悟；也就是說，他們現(xiàn)在認(rèn)識到了數(shù)以百萬計的用戶存在過時的漏洞，很容易遭到攻擊；于是他們將目標(biāo)鎖定流行的互聯(lián)網(wǎng)應(yīng)用程序，那樣他們就可以發(fā)動大規(guī)模的SQL注射攻擊或者針對特定應(yīng)用程序的攻擊，從而劫持流量，這正是他們目前感興趣的方面。#p#

三、零日漏洞關(guān)系到針對性攻擊/高級持續(xù)威脅活動的成敗

雖然零日漏洞乍一看似乎是成功闖入重要網(wǎng)絡(luò)的基礎(chǔ)。

重要網(wǎng)絡(luò)本該比普通網(wǎng)民使用的個人電腦得到更好的保護(hù)，但還是有眾多案例表明情況并非如此。也許最近討論最廣泛的其中一個案例就是谷歌因間諜事件而退出中國。與惡意攻擊者過招，想做到先發(fā)制人，就要想其所想。為什么他們不試圖發(fā)現(xiàn)谷歌自己的瀏覽器Chrome當(dāng)中的漏洞呢？這款瀏覽器應(yīng)該是該公司合理的瀏覽器選擇。毫無疑問，那是由于眾多個人電腦還在使用IE6瀏覽器，攻擊者就可以搜集這些電腦上的信息。不過，我要說的是這個可能性很大：利用Adobe的產(chǎn)品中普遍存在的漏洞，同樣可以利用正好運行IE6瀏覽器的這些個人電腦。為什么？那是由于谷歌覺得IE6不安全，而正是缺乏安全審計使得IE6無法在谷歌的主機(jī)上運行。至于針對性攻擊/高級持續(xù)威脅類型的活動，每個季度都會有犯罪團(tuán)隊顯然熱衷于感染高價值目標(biāo)，重新策劃發(fā)布ZeuS犯罪軟件的活動，完全以政府和軍方網(wǎng)站為攻擊對象。這些活動在零日漏洞環(huán)境下的特別之處在于，它們借助放在受危及網(wǎng)站上的二進(jìn)制代碼，依靠目標(biāo)用戶的人工交互，而不是依靠零日漏洞。雖然零日漏洞是"所希望的"，但是在我看來，它們并不是針對性攻擊得逞的關(guān)鍵。

四、針對特定操作系統(tǒng)的漏洞比第三方應(yīng)用程序比/插件的漏洞更廣泛被利用

事實上恰恰相反。

據(jù)美國系統(tǒng)網(wǎng)絡(luò)安全協(xié)會（SANS Institute）發(fā)布的《2009年幾大網(wǎng)絡(luò)安全風(fēng)險》報告顯示，應(yīng)用程序方面打補丁的步伐要比操作系統(tǒng)方面慢得多，不過客戶端的漏洞在網(wǎng)絡(luò)威脅領(lǐng)域仍然占主體。微軟自己的《安全情報報告第8卷》也指出，據(jù)他們的數(shù)據(jù)顯示，第三方漏洞比專門針對Windows操作系統(tǒng)的漏洞更廣泛被利用。只要看一下BLADE Defender的實驗室實時感染數(shù)據(jù)，就可以得出類似結(jié)論，特別容易被壞人盯上的是應(yīng)用程序，而不是瀏覽器。此外，容易被壞人利用是一回事，實際的感染率完全是另一回事。舉例來說，Secunia公司最近發(fā)布的報告表明，從2005年到2010年間，產(chǎn)品中漏洞數(shù)量最多的是蘋果公司。而即使我們不考慮Mac OS X的市場份額與微軟Windows的市場份額相比明顯存在差異，從理論上來說，蘋果的用戶也應(yīng)該不斷受到來自各方面的攻擊。為什么我們沒有看到這一幕呢？原因很簡單，一個嚴(yán)酷的現(xiàn)實是，壞人們以前采用的攻擊手法是針對特定的開發(fā)商或應(yīng)用程序，而現(xiàn)在采用了"針對所有開發(fā)商/應(yīng)用程序"的攻擊手法；也就是說，感染率的高低并不是取決于擁有最多漏洞的開發(fā)軟件/產(chǎn)品，而是取決于最終用戶方面沒有打補丁。從根本上來說，就算某家開發(fā)商的漏洞數(shù)量相對較少，但用戶沒有打補丁，或者開發(fā)商缺乏一條完善的溝通渠道，這些用戶也會被成功感染。因而，有的開發(fā)商很容易中招，但事實上不常中招；而有的開發(fā)商因用戶沒及時打上補丁而不斷中招，區(qū)別就在于后者與用戶之間的溝通模式存在著缺陷。

五、一旦發(fā)布了針對某個漏洞的補丁，就完事了

零日漏洞方面最常見的一個誤區(qū)就是，一旦發(fā)布了補丁，對開發(fā)商來說就完事了，因為現(xiàn)在它在處理這個漏洞方面已經(jīng)盡到了責(zé)任。

緊接著微軟正版驗證計劃（WGA）開展的用戶溝通是整個過程的第二個階段，但正是由于用戶溝通工作未得到優(yōu)先考慮，才導(dǎo)致了目前的這種情形：世界上規(guī)模最龐大的僵尸網(wǎng)絡(luò)之一Conficker在繼續(xù)添加新的主機(jī)，盡管已經(jīng)發(fā)布了相應(yīng)補丁。多家軟件開發(fā)商上演了同樣的一幕，它們的用戶絲毫不知道自己因半年前已發(fā)布了補丁的漏洞而受到感染。從Mozilla基金會令人肅然起敬的舉動上，最能看出第二個階段缺乏溝通的這個問題：Mozilla基金會為最終用戶竭力提供保護(hù)，開展了插件檢查（Plugin Check）之類的計劃；插件檢查計劃還為使用與之競爭的其他瀏覽器的用戶提供插件檢查服務(wù)。從安全意識的角度來看，只有那些流量很大的網(wǎng)站也有同樣關(guān)注社會的觀念，才完全有可能比其他任何網(wǎng)站更能帶來大范圍的積極影響。

六、為了促使開發(fā)商給漏洞打上補丁，全面披露有助于社區(qū)及用戶

雖然實踐證明，這個做法可以促使開發(fā)商開始優(yōu)先考慮漏洞的存在（它們之前不相信漏洞存在），但是第五點討論的開發(fā)商與用戶之間存在缺陷的溝通實際上破壞了這個做法的效果。

為什么會這樣？原因很簡單。如果最終用戶半年來一直在用過時的第三方應(yīng)用程序和瀏覽器插件來使用互聯(lián)網(wǎng)，他們還會繼續(xù)這么用下去，哪怕他們認(rèn)為自己意識到"補丁星期二"。由于最終用戶對反病毒解決方案的效果抱著過高的期望，還會繼續(xù)成為受害者，卻忘了預(yù)防勝于治療的這個道理。由于缺乏操作系統(tǒng)之外的"軟件資產(chǎn)管理"，或者說缺乏安全意識，沒有認(rèn)識到壞人們采用的廣泛使用的感染手法，這無形中幫助他們每天在有效地感染成千上萬個新用戶。

七、數(shù)據(jù)泄密事件之所以急劇增長，零日漏洞起到了關(guān)鍵作用

據(jù)韋里遜公司（Verizon）最近發(fā)布的《數(shù)據(jù)泄露調(diào)查報告》顯示，真相實際上要比這有意思得多。

報告指出，依據(jù)韋里遜的數(shù)據(jù)樣本，"沒有哪一起得到證實的入侵事件利用了某個可以打上補丁的漏洞"。那么，壞人們又是在如何危及這些網(wǎng)絡(luò)/服務(wù)器，導(dǎo)致數(shù)十萬條的敏感記錄泄露出去呢？其手段就是盡量簡單，瞄準(zhǔn)配置不安全的互聯(lián)網(wǎng)應(yīng)用程序，使用定制的惡意軟件，或者基本上采取其余各種方法，但是側(cè)重于發(fā)現(xiàn)和利用零日漏洞來達(dá)到目標(biāo)。

本文的目的絕不是要否定零日漏洞對于潛在攻擊者、甚至對于網(wǎng)絡(luò)間諜的重要性。相反，本文旨在客觀如實地剖析這個真相：網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)在繼續(xù)蓬勃發(fā)展，不需要零日漏洞的參與；只要數(shù)以百萬的最終用戶繼續(xù)因半年前的漏洞而受到危及，那么這個生態(tài)系統(tǒng)就會常盛不衰。

文章來源：http://www.zdnet.com/blog/security/seven-myths-about-zero-day-vulnerabilities-debunked/7026?tag=content

【51CTO.com獨家譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請注明原文出處及出處！】

【編輯推薦】

1. 針對IE零日漏洞 微軟推出解決方案
2. 賽門鐵克提示用戶注意針對IE6及IE7的新型零日漏洞
3. Firefox暴嚴(yán)重零日漏洞 已被攻擊者利用
4. 蠕蟲攻擊微軟零日漏洞 利用USB設(shè)備大肆傳播