零日漏洞就是廠商未修復(fù)且可被利用來(lái)當(dāng)作網(wǎng)絡(luò)攻擊武器的安全缺陷，威力強(qiáng)大但卻脆弱。出于軍事、情報(bào)和司法目的，各國(guó)政府會(huì)尋找、購(gòu)買(mǎi)和使用零日漏洞。這是個(gè)充滿矛盾的操作，因?yàn)闀?huì)讓發(fā)現(xiàn)了相同漏洞的其他攻擊者也掌握有危害社會(huì)的能力。

[[234824]]

在黑市上，零日漏洞屬于高價(jià)商品，但有漏洞獎(jiǎng)勵(lì)項(xiàng)目鼓勵(lì)安全人員發(fā)現(xiàn)并向廠商報(bào)告這些安全漏洞。修復(fù)危機(jī)意味著零日漏洞重要性日趨下降，而所謂的老(0ld-days)漏洞變得幾乎與零日漏洞效果一樣。

為什么說(shuō)零日漏洞很危險(xiǎn)

零日漏洞得名于漏洞發(fā)現(xiàn)時(shí)補(bǔ)丁存在的天數(shù)：零天。一旦廠商發(fā)布了安全補(bǔ)丁，漏洞就不再屬于零日范圍，而加入到無(wú)窮無(wú)盡的可修復(fù)卻未修復(fù)的老漏洞行列。

在過(guò)去，比如說(shuō)7年之前吧，一個(gè)零日漏洞就足以實(shí)現(xiàn)遠(yuǎn)程入侵，令發(fā)現(xiàn)和擁有零日漏洞顯得極具威力。

而今天，Windows 10 或iOS這些消費(fèi)級(jí)操作系統(tǒng)中的安全緩解措施，讓攻擊者不得不聯(lián)合使用數(shù)個(gè)甚至數(shù)十個(gè)小零日漏洞才能完全控制給定目標(biāo)。也因此，黑市上iOS的遠(yuǎn)程執(zhí)行零日漏洞價(jià)格才會(huì)達(dá)到天文數(shù)字級(jí)別。

零日漏洞黑市

想要漂亮賺得150萬(wàn)美元?那就找出給力的iPhone零日漏洞再賣(mài)給Zerodium漏洞獎(jiǎng)勵(lì)項(xiàng)目吧!它網(wǎng)站上宣稱(chēng)的可是會(huì)給出市場(chǎng)最高的漏洞獎(jiǎng)金喲。像Zerodium這樣的漏洞代理商只會(huì)將漏洞賣(mài)給軍事間諜機(jī)構(gòu)，但專(zhuān)制政府的秘密警察也會(huì)購(gòu)買(mǎi)零日漏洞來(lái)攻擊記者和迫害持不同政見(jiàn)者。

與僅出售給少數(shù)政府的灰色市場(chǎng)不同，黑市則是完全不限制買(mǎi)家身份：犯罪團(tuán)伙、販毒集團(tuán)和像朝鮮/伊朗這樣被灰色市場(chǎng)排斥的買(mǎi)主也可以在黑市購(gòu)得零日漏洞。

《瓦森納協(xié)定》一直以來(lái)都限制不了黑/灰色市場(chǎng)上的零日漏洞交易，至少到目前為止是這樣的。

《瓦森納協(xié)定》禁止向禁運(yùn)國(guó)家出口鈾濃縮之類(lèi)的軍民兩用技術(shù)。2013年一項(xiàng)對(duì)可被用于惡意目的的技術(shù)加以控制的提案遭到了反對(duì)，很多人認(rèn)為該提案反而會(huì)讓形勢(shì)惡化。

如今，盡管規(guī)定就擺在那兒，但任何動(dòng)機(jī)夠強(qiáng)烈的政府或犯罪集團(tuán)都可以染指黑客工具，包括零日漏洞利用。

漏洞獎(jiǎng)勵(lì)項(xiàng)目 vs. 協(xié)同漏洞披露

毫不顧忌自己發(fā)現(xiàn)的零日漏洞會(huì)成為政治迫害幫兇的黑帽子們，能夠從黑市或灰色市場(chǎng)上攫取大量金錢(qián)。有良心的安全研究員們則能以向廠商報(bào)告漏洞的方式獲取回報(bào)。任何規(guī)模的組織都應(yīng)公布漏洞發(fā)現(xiàn)過(guò)程，公開(kāi)承諾對(duì)安全問(wèn)題進(jìn)行無(wú)害的善意報(bào)告，并在內(nèi)部對(duì)所報(bào)告的問(wèn)題進(jìn)行分類(lèi)。這就是現(xiàn)今 ISO 29147 和 ISO 30111 中標(biāo)準(zhǔn)化過(guò)的最佳實(shí)踐。

為鼓勵(lì)零日漏洞報(bào)告，各類(lèi)組織可以選擇推出漏洞獎(jiǎng)勵(lì)項(xiàng)目，通過(guò)向道德安全研究員提供大額金錢(qián)回報(bào)來(lái)激勵(lì)漏洞研究與披露。這些報(bào)酬比不上黑市高價(jià)，只是用于獎(jiǎng)勵(lì)做了正確事情的安全研究員的。

政府囤積零日漏洞遭質(zhì)疑

NSA、CIA和FBI都在找尋、購(gòu)買(mǎi)和使用零日漏洞，也由此引發(fā)了諸多批評(píng)。這些政府機(jī)構(gòu)利用零日漏洞攻擊犯罪分子，而不是將漏洞報(bào)告給廠商以實(shí)施修復(fù)。這樣一來(lái)，找到或偷到同樣漏洞的罪犯和外國(guó)間諜，便能夠利用這些漏洞危害整個(gè)社會(huì)了。批評(píng)者就認(rèn)為，如果政府的任務(wù)是保護(hù)人民，那他們應(yīng)該大力防御而非攻擊。

在美國(guó)，漏洞平衡策略(VEP)就是美國(guó)政府當(dāng)前用以評(píng)估零日漏洞披露的機(jī)制，而這一機(jī)制是不完善的。VEP試圖平衡攻擊與防御，決定哪些安全漏洞應(yīng)報(bào)告給廠商而哪些要被政府留作攻擊用途。

影子經(jīng)紀(jì)人泄露的一系列漏洞利用，包括流傳甚廣變種甚多的永恒之藍(lán)，引發(fā)了對(duì)政府扣住漏洞不公布的更多質(zhì)疑。影子經(jīng)紀(jì)人據(jù)傳言屬朝鮮或俄羅斯情報(bào)機(jī)構(gòu)，盜取了NSA黑客工具并放到了網(wǎng)上供免費(fèi)取用。犯罪分子拿到這些強(qiáng)大的NSA網(wǎng)絡(luò)武器后投入犯罪惡行，引發(fā)的混亂至今仍有余波。

修復(fù)是比漏洞更大的問(wèn)題

零日漏洞性感迷人，但如今也不像以前那么性感了。補(bǔ)丁的發(fā)布并不意味著帶漏洞的設(shè)備就會(huì)被修復(fù)。很多情況下，IoT設(shè)備之類(lèi)的東西本就是“帶病”出廠，而此后也再不接受修復(fù)。有時(shí)候則是物理上就無(wú)法修復(fù)設(shè)備。如果不能在生產(chǎn)中應(yīng)用補(bǔ)丁，那廠商發(fā)布補(bǔ)丁也沒(méi)什么用處。

因此，對(duì)攻擊者而言，無(wú)論是政府網(wǎng)軍還是網(wǎng)絡(luò)罪犯，用老漏洞足矣。很多情況下手握零日漏洞利用的攻擊者還不愿意使用自己手中的零日漏洞，反而以老漏洞代之，因?yàn)槿魧?duì)技術(shù)高超的防御者使用了零日漏洞，反而容易暴露。這就讓零日漏洞利用變成了扛不住揍的脆弱武器，尤其是在當(dāng)下網(wǎng)絡(luò)空間國(guó)家博弈的環(huán)境下。

【本文是51CTO專(zhuān)欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文