零日漏洞:強大又脆弱的武器
所有軟件都存在漏洞,其中一些漏洞是能被武器化的安全漏洞。
零日漏洞定義
零日漏洞就是供應商尚未修復的安全漏洞,可被攻擊者轉化為強力武器加以利用。出于軍事、情報和司法目的,某些政府會找尋、購買和使用零日漏洞。但這種操作頗引爭議,因為其他攻擊者若發現相同漏洞,整個社會都會因政府的隱瞞不報而面臨風險。零日漏洞在黑市奇貨可居,往往能賣得高價,漏洞獎勵項目則旨在鼓勵發現安全漏洞并向供應商報告。修復危機意味著零日漏洞重要性降低,所謂的“舊日漏洞” (old-day) 也幾乎同樣有效。
為什么零日漏洞十分危險?
零日漏洞因漏洞補丁存在天數為零而得名。一旦供應商發布安全補丁,漏洞就不再稱之為零日漏洞。此后,該安全漏洞便加入了可修復但沒修復的舊日漏洞大軍。大約十年前,一個零日漏洞就足以執行遠程入侵。發現和持有任何一個零日漏洞都能讓你感覺自己是網絡之神。如今,不聯合使用幾個乃至幾十個小零日漏洞,往往都無法突破 Windows 10 或蘋果 iOS 等消費級操作系統中的安全緩解措施,更別提獲取目標的完全控制權了。所以,當前黑市上遠程執行零日漏洞的價格堪稱天價。
零日漏洞舉例
然而,不是所有的零日漏洞都很復雜或昂貴。流行視頻會議軟件 Zoom 就存在一個很惱人的零日漏洞,任何網站都可以利用該漏洞強拉用戶進入 Zoom 視頻會議,不經用戶允許就啟動用戶的攝像頭。不僅如此,利用該漏洞,網頁可通過不停強拉用戶進入非法視頻會議而對 Mac 主機實施拒絕服務 (DoS) 攻擊。Zoom 的 Mac 客戶端還會在用戶筆記本電腦上安裝 Web 服務端,即便清除了該軟件,仍能在用戶不知道的情況下重新安裝 Zoom 客戶端。真的是一個非常煩人的零日漏洞。更糟的是,這么大的安全漏洞,Zoom 這么大個公司竟然響應遲緩,逼研究人員不得不直接釋放零日漏洞。(注:“釋放零日”指的是公布安全漏洞的細節以迫使拖沓的供應商修復他們的漏洞。)能讓攻擊者遠程開啟麥克風和攝像頭這么簡單的安全漏洞卻尤其危險,因為這種漏洞給了罪犯窺探受害者所處環境的眼睛和耳朵,受威脅的不僅僅是電腦上的信息。這種漏洞在黑市和灰市上尤為緊俏。
零日漏洞黑市
想一舉入賬 150 萬美元?找出合適的 iPhone 零日漏洞賣給 Zerodium,這家漏洞獎勵項目領頭羊的網站上宣稱會支付“漏洞市場最高獎金”。Zerodium 這樣的漏洞代理商只服務軍事-情報機構,但專制政權的秘密警察也會購買零日漏洞利用程序去黑記者和迫害異議分子。與限制僅可銷售給獲準政府的灰市不同,黑市不限制買家,犯罪組織、毒梟和朝鮮或伊朗這些被灰市排斥的買家也可以在黑市買到想要的漏洞利用。至少目前來看,《瓦森納協議》難以監管零日漏洞利用黑/灰市。《瓦森納協議》限制離心機等軍民兩用技術出口至禁售國。2013 年一項控制可作惡意用途商品的提案被否決,很多人都認為該提案弊大于利。如今,只要足夠有心,任何政府或犯罪組織都能弄到黑客工具,包括零日漏洞利用。監管形同虛設。
漏洞獎勵項目 vs. 協同漏洞披露
毫不顧忌自己的零日漏洞可能助紂為虐的黑帽子,可以從黑市或灰市賺取夠高傭金。有良心的安全研究員,可以通過向供應商報告零日漏洞致富。有點規模的公司企業都應設立漏洞披露過程,公開承諾會暫留安全問題的善意報告,并內部分析所報告的問題。這種操作如今已是 ISO 29147 和 ISO 30111 標準中的最佳實踐了。為鼓勵零日漏洞報告,公司企業可以選擇提供漏洞獎勵項目,通過支付給道德安全研究人員的大筆經濟獎勵,來刺激零日漏洞研究與披露。獎金數額跟黑市賣價沒法比,但旨在褒獎行正義之事的安全研究人員。
政府應該囤積零日漏洞嗎?
美國國家安全局 (NSA)、中央情報局 (CIA) 和聯邦調查局 (FBI) 均在找尋、購買和使用零日漏洞利用,該爭議性行為招致了廣泛批評。使用零日漏洞反黑罪犯,而不是報告給供應商以做修復,會令全體國民都無力面對可能發現或盜取這些零日漏洞的罪犯或外國間諜,因而讓整個國家陷入危險境地。批評家稱,政府的工作就是保護國民,理應堅持防御而不是主動攻擊。《漏洞公平裁決程序》(VEP),就是美國政府當前用來評估零日漏洞披露與否的機制。VEP 試圖平衡攻擊與防御,決斷哪些安全漏洞應報告給供應商做修復,哪些應被囤積以作攻擊用途。黑客團伙“影子經紀人”( Shadow Brokers) 曾放出大量漏洞利用程序,其中就包括曾廣為流行的“永恒之藍” (EternalBlue),將政府應不應該囤積漏洞的問題推上了風口浪尖。影子經紀人據稱隸屬俄羅斯情報機構,盜取 NSA 黑客工具后將之放到了網上,免費供人下載使用。犯罪分子拿到這些強大的 NSA 網絡武器后紛紛展開犯罪行動,所引發的混亂到現在都還有余波。
修復的問題比零日漏洞本身還大
零日漏洞固然迷人,但實際上其效力已不比當年。供應商發布了補丁未必意味著脆弱設備就已被修復。很多情況下,比如物聯網設備之類的東西,零部件出廠時就有漏洞,然后從未得到修復。有時候是因為物理上無法修復這些設備。而如果從未部署到生產環境,供應商發布的安全補丁就毫無用處。因此,無論攻擊者是罪犯還是政府,往往舊日漏洞便已足夠。很多情況下,持有零日漏洞利用的攻擊者更傾向于不用零日漏洞,而走舊日漏洞路線,因為若用零日漏洞利用程序攻擊有技術能力的防御者,很有可能將該零日漏洞暴露出來。因此,零日漏洞利用程序強大而又脆弱,尤其是部署在網絡領域國家間秘密角力場上的時候。
