所有軟件都存在漏洞，其中一些漏洞是能被武器化的安全漏洞。

[[275823]]

零日漏洞定義

零日漏洞就是供應(yīng)商尚未修復(fù)的安全漏洞，可被攻擊者轉(zhuǎn)化為強(qiáng)力武器加以利用。出于軍事、情報(bào)和司法目的，某些政府會(huì)找尋、購(gòu)買(mǎi)和使用零日漏洞。但這種操作頗引爭(zhēng)議，因?yàn)槠渌粽呷舭l(fā)現(xiàn)相同漏洞，整個(gè)社會(huì)都會(huì)因政府的隱瞞不報(bào)而面臨風(fēng)險(xiǎn)。零日漏洞在黑市奇貨可居，往往能賣(mài)得高價(jià)，漏洞獎(jiǎng)勵(lì)項(xiàng)目則旨在鼓勵(lì)發(fā)現(xiàn)安全漏洞并向供應(yīng)商報(bào)告。修復(fù)危機(jī)意味著零日漏洞重要性降低，所謂的“舊日漏洞” (old-day) 也幾乎同樣有效。

為什么零日漏洞十分危險(xiǎn)?

零日漏洞因漏洞補(bǔ)丁存在天數(shù)為零而得名。一旦供應(yīng)商發(fā)布安全補(bǔ)丁，漏洞就不再稱(chēng)之為零日漏洞。此后，該安全漏洞便加入了可修復(fù)但沒(méi)修復(fù)的舊日漏洞大軍。大約十年前，一個(gè)零日漏洞就足以執(zhí)行遠(yuǎn)程入侵。發(fā)現(xiàn)和持有任何一個(gè)零日漏洞都能讓你感覺(jué)自己是網(wǎng)絡(luò)之神。如今，不聯(lián)合使用幾個(gè)乃至幾十個(gè)小零日漏洞，往往都無(wú)法突破 Windows 10 或蘋(píng)果 iOS 等消費(fèi)級(jí)操作系統(tǒng)中的安全緩解措施，更別提獲取目標(biāo)的完全控制權(quán)了。所以，當(dāng)前黑市上遠(yuǎn)程執(zhí)行零日漏洞的價(jià)格堪稱(chēng)天價(jià)。

零日漏洞舉例

然而，不是所有的零日漏洞都很復(fù)雜或昂貴。流行視頻會(huì)議軟件 Zoom 就存在一個(gè)很惱人的零日漏洞，任何網(wǎng)站都可以利用該漏洞強(qiáng)拉用戶(hù)進(jìn)入 Zoom 視頻會(huì)議，不經(jīng)用戶(hù)允許就啟動(dòng)用戶(hù)的攝像頭。不僅如此，利用該漏洞，網(wǎng)頁(yè)可通過(guò)不停強(qiáng)拉用戶(hù)進(jìn)入非法視頻會(huì)議而對(duì) Mac 主機(jī)實(shí)施拒絕服務(wù) (DoS) 攻擊。Zoom 的 Mac 客戶(hù)端還會(huì)在用戶(hù)筆記本電腦上安裝 Web 服務(wù)端，即便清除了該軟件，仍能在用戶(hù)不知道的情況下重新安裝 Zoom 客戶(hù)端。真的是一個(gè)非常煩人的零日漏洞。更糟的是，這么大的安全漏洞，Zoom 這么大個(gè)公司竟然響應(yīng)遲緩，逼研究人員不得不直接釋放零日漏洞。(注：“釋放零日”指的是公布安全漏洞的細(xì)節(jié)以迫使拖沓的供應(yīng)商修復(fù)他們的漏洞。)能讓攻擊者遠(yuǎn)程開(kāi)啟麥克風(fēng)和攝像頭這么簡(jiǎn)單的安全漏洞卻尤其危險(xiǎn)，因?yàn)檫@種漏洞給了罪犯窺探受害者所處環(huán)境的眼睛和耳朵，受威脅的不僅僅是電腦上的信息。這種漏洞在黑市和灰市上尤為緊俏。

零日漏洞黑市

想一舉入賬 150 萬(wàn)美元?找出合適的 iPhone 零日漏洞賣(mài)給 Zerodium，這家漏洞獎(jiǎng)勵(lì)項(xiàng)目領(lǐng)頭羊的網(wǎng)站上宣稱(chēng)會(huì)支付“漏洞市場(chǎng)最高獎(jiǎng)金”。Zerodium 這樣的漏洞代理商只服務(wù)軍事-情報(bào)機(jī)構(gòu)，但專(zhuān)制政權(quán)的秘密警察也會(huì)購(gòu)買(mǎi)零日漏洞利用程序去黑記者和迫害異議分子。與限制僅可銷(xiāo)售給獲準(zhǔn)政府的灰市不同，黑市不限制買(mǎi)家，犯罪組織、毒梟和朝鮮或伊朗這些被灰市排斥的買(mǎi)家也可以在黑市買(mǎi)到想要的漏洞利用。至少目前來(lái)看，《瓦森納協(xié)議》難以監(jiān)管零日漏洞利用黑/灰市。《瓦森納協(xié)議》限制離心機(jī)等軍民兩用技術(shù)出口至禁售國(guó)。2013 年一項(xiàng)控制可作惡意用途商品的提案被否決，很多人都認(rèn)為該提案弊大于利。如今，只要足夠有心，任何政府或犯罪組織都能弄到黑客工具，包括零日漏洞利用。監(jiān)管形同虛設(shè)。

漏洞獎(jiǎng)勵(lì)項(xiàng)目 vs. 協(xié)同漏洞披露

毫不顧忌自己的零日漏洞可能助紂為虐的黑帽子，可以從黑市或灰市賺取夠高傭金。有良心的安全研究員，可以通過(guò)向供應(yīng)商報(bào)告零日漏洞致富。有點(diǎn)規(guī)模的公司企業(yè)都應(yīng)設(shè)立漏洞披露過(guò)程，公開(kāi)承諾會(huì)暫留安全問(wèn)題的善意報(bào)告，并內(nèi)部分析所報(bào)告的問(wèn)題。這種操作如今已是 ISO 29147 和 ISO 30111 標(biāo)準(zhǔn)中的最佳實(shí)踐了。為鼓勵(lì)零日漏洞報(bào)告，公司企業(yè)可以選擇提供漏洞獎(jiǎng)勵(lì)項(xiàng)目，通過(guò)支付給道德安全研究人員的大筆經(jīng)濟(jì)獎(jiǎng)勵(lì)，來(lái)刺激零日漏洞研究與披露。獎(jiǎng)金數(shù)額跟黑市賣(mài)價(jià)沒(méi)法比，但旨在褒獎(jiǎng)行正義之事的安全研究人員。

政府應(yīng)該囤積零日漏洞嗎?

美國(guó)國(guó)家安全局 (NSA)、中央情報(bào)局 (CIA) 和聯(lián)邦調(diào)查局 (FBI) 均在找尋、購(gòu)買(mǎi)和使用零日漏洞利用，該爭(zhēng)議性行為招致了廣泛批評(píng)。使用零日漏洞反黑罪犯，而不是報(bào)告給供應(yīng)商以做修復(fù)，會(huì)令全體國(guó)民都無(wú)力面對(duì)可能發(fā)現(xiàn)或盜取這些零日漏洞的罪犯或外國(guó)間諜，因而讓整個(gè)國(guó)家陷入危險(xiǎn)境地。批評(píng)家稱(chēng)，政府的工作就是保護(hù)國(guó)民，理應(yīng)堅(jiān)持防御而不是主動(dòng)攻擊?！堵┒垂讲脹Q程序》(VEP)，就是美國(guó)政府當(dāng)前用來(lái)評(píng)估零日漏洞披露與否的機(jī)制。VEP 試圖平衡攻擊與防御，決斷哪些安全漏洞應(yīng)報(bào)告給供應(yīng)商做修復(fù)，哪些應(yīng)被囤積以作攻擊用途。黑客團(tuán)伙“影子經(jīng)紀(jì)人”( Shadow Brokers) 曾放出大量漏洞利用程序，其中就包括曾廣為流行的“永恒之藍(lán)” (EternalBlue)，將政府應(yīng)不應(yīng)該囤積漏洞的問(wèn)題推上了風(fēng)口浪尖。影子經(jīng)紀(jì)人據(jù)稱(chēng)隸屬俄羅斯情報(bào)機(jī)構(gòu)，盜取 NSA 黑客工具后將之放到了網(wǎng)上，免費(fèi)供人下載使用。犯罪分子拿到這些強(qiáng)大的 NSA 網(wǎng)絡(luò)武器后紛紛展開(kāi)犯罪行動(dòng)，所引發(fā)的混亂到現(xiàn)在都還有余波。

修復(fù)的問(wèn)題比零日漏洞本身還大

零日漏洞固然迷人，但實(shí)際上其效力已不比當(dāng)年。供應(yīng)商發(fā)布了補(bǔ)丁未必意味著脆弱設(shè)備就已被修復(fù)。很多情況下，比如物聯(lián)網(wǎng)設(shè)備之類(lèi)的東西，零部件出廠時(shí)就有漏洞，然后從未得到修復(fù)。有時(shí)候是因?yàn)槲锢砩蠠o(wú)法修復(fù)這些設(shè)備。而如果從未部署到生產(chǎn)環(huán)境，供應(yīng)商發(fā)布的安全補(bǔ)丁就毫無(wú)用處。因此，無(wú)論攻擊者是罪犯還是政府，往往舊日漏洞便已足夠。很多情況下，持有零日漏洞利用的攻擊者更傾向于不用零日漏洞，而走舊日漏洞路線，因?yàn)槿粲昧闳章┒蠢贸绦蚬粲屑夹g(shù)能力的防御者，很有可能將該零日漏洞暴露出來(lái)。因此，零日漏洞利用程序強(qiáng)大而又脆弱，尤其是部署在網(wǎng)絡(luò)領(lǐng)域國(guó)家間秘密角力場(chǎng)上的時(shí)候。