[[198913]]

哈佛大學發布的最新研究結論表明，零日漏洞這類軟件安全缺陷被二次發現的速度要遠快于以往安全人員們的想象。

零日漏洞二次發現的危害

事實上，零日漏洞的二次發現率對于美國的網絡安全政策存在很大影響。這是因為美國情報機構在發現零日漏洞后，相關人員往往會采取秘而不宣的作法，并借此通過網絡行動窺探他國競爭對手。但二次發現率高企則會迫使相關人員重新考慮如何對這些漏洞進行修復或者保密。

哈佛大學貝爾弗中心博士后研究員崔伊·赫爾指出，“如果二次發現率如此之高，那么應當下調用于網絡行動的‘秘密保留’漏洞的具體數量，或者進行更為積極的相關安全審查。”

除了赫爾之外，安全技術大師布魯斯·施奈爾與哈佛大學工程學院研究助理克里斯托弗·莫里斯也一同參與了上周研究結果的發表，他們還將在本周于拉斯維加斯舉行的美國黑帽大會上公布這份已經經過同行長期評議的報告。

由于全球軟件市場的固有性質，即世界各地的人員與企業皆采用相同的軟件程序。這種高企的漏洞二次發現率意味著美國發現并保有的安全漏洞很可能被國外情報部門乃至網絡犯罪分子以獨立方式再次發現，從而搶在相關供應商將其修復之前利用此對抗美國。

赫爾解釋稱，相關數據表明，黑客“實際使用的零日漏洞當中，有三分之一”可能美國機構已秘密知曉。他同時指出，這意味著在被網絡間諜或者犯罪分子用于攻擊行動之前，這些安全漏洞本可以得到及時修復。

另一些研究人員則提出質疑，認為這樣的結論并無法從研究人員們提供的數據當中確切得出。

白宮網絡安全局長羅伯·喬伊斯即抱有這樣的疑問。他目前正在對“漏洞公平裁決程序”進行審查，這項政策負責決定發現零日漏洞的美國企業是否應當向相關供應商披露信息，抑或選擇將其保留并用于執行網絡攻擊。不過白宮方面并沒有回應關于此次新數據的評論請求。

二次漏洞相關數據

哈佛大學研究人員們在論文當中提及的數字較此前小規模研究披露的對應數字高出幾倍，作者希望這樣的結果能夠迫使“漏洞公平裁決程序”對具體要求作出重新考量。

各位作者分析了來自四套bug追蹤數據庫的安全漏洞報告，其中記錄有研究人員在目前世界范圍內使用最為廣泛的各類開源軟件中發現的安全漏洞，具體包括：

Mozilla公司的火狐瀏覽器2012年到2016年版本。

Open SSL代碼庫2014年到2016年版本。

Android操作系統2015年到2016年版本。

谷歌Chromium瀏覽器(即Chrome的開源版本，二者共享大部分源代碼)2009年到2016年版本。

最后一套數據庫則提供了全部8698個安全漏洞中的超過四分之三比例。

為了縮小數據范圍，作者們僅關注最為嚴重的漏洞，即4307項被評為“危險”或者“高危”的安全漏洞。

赫爾在接受采訪時指出，這是因為問題嚴重程度越高，相關記錄就越是詳盡(為了更加準確地反映情報機構需要尋找并利用的相關漏洞)。

赫爾指出，“對我們來說，相關數據的可訪問性相當驚人”，而且大部分直接公開。但他同時補充稱，“但整理工作非常麻煩，需要投入大量精力進行歸納。”

2016二次發現概率逼近20%

總結來講，報告指出最近七年以來，每年零日漏洞的二次發現率都保持在15%到20%之間，但這一水平正在穩步提升，且在去年幾乎逼近20%。

今年3月RAND公司發布的研究報告則顯示，其整理200項零日漏洞后得出的二次發現率低于6%。而曾任奧巴馬政府資深網絡安全官員的安迪·奧贊特則在2005年發布的研究結果中指出，2002年到2004年當中與微軟相關之零日漏洞二次發現率為8%。其它研究同樣認為此類漏洞的二次發現率低于10%。

漏洞二次發現的實際概率高于現有數據

赫爾表示，這些研究主要基于規模較小且多樣性較差的樣本，且通常并未直接涉及二次發現問題。

他在評論RAND研究報告時指出，“這是一份出色的論文，但問題在于其探究方向有所不同。這篇論文的主旨在于‘零日漏洞的秘密能夠保持多久?’有些偏見可能會對數據的具體解讀產生扭曲。”

而最具爭議的是，哈佛方面的論文在計劃當中，選擇計算已經被發現實際應用的零日漏洞同美國情報機構可能已經秘密掌握的漏洞間的比值。

根據哥倫比亞大學的杰森·海利此前估算得出的國安局零日漏洞掌握數量，再配合賽門鐵克公布的相關數據，即2015年內共有54項零日漏洞被用于實際攻擊。最終發現“政府保有之零日漏洞在2015年年內的二次發現率大約在7.5%到33%之間。”

然而這些數字正面臨著其他研究人員的挑戰。

要想分析真實數據巨困難

網絡安全企業Immunity公司CEO大衛·阿泰爾在接受郵件采訪時指出，“我認為具體數據并不像他們想象的那么廣泛，這對于一篇學術報告來說非常致命。”

在此后的一篇博文當中，他進一步補充稱研究人員們在數據集中納入的不少漏洞似乎都是通過混淆方式(這是一種相對基本的黑客技術)所發現。他同時強調道，“對此類數據進行分析非常困難，需要對安全漏洞擁有深入了解，同時亦需要進行大量無聊的數據分析工作。”

在Twitter上，阿泰爾指出這項研究結合了由“Bug賞金獵人”及白帽黑客發現的bug，再加上另外一組存在巨大差異的數據集：“你的對手可能發現的bug”。

但他同時承認，要想找到這個問題的完美答案，即同時為美國及國外情報機構或者其他攻擊者所掌握的零日漏洞數量，基本上是不可能的。

他在郵件當中解釋稱，“對美國、中國與俄羅斯三方掌握的零日漏洞進行匯總，需要三國同時介入并給予協助。”

赫爾則認為，無論具體數字如何，這一問題已經非常嚴重且亟待解決，況且“每年超過10項零日漏洞已經足以構成嚴重的安全威脅。