揭穿零日漏洞的七大误区

【 1月11日外电头条】又过了一个月，又有一个零日漏洞被报告，而恶意攻击者借助恶意软件，发动了钻这个漏洞空子的攻击，充分利用了机会窗口。由于某软件开发商让数以百万计的用户几个星期”敬请关注”，网络犯罪生态系统中关于零日漏洞方面的误区和猜测越来越多。

零日漏洞是坏人们一直在寻找的目标吗？零日漏洞攻击在这伙人的”经营模式”当中到底有多普遍？零日漏洞是否关系到针对性攻击的成败？

下面就让我们一一揭穿零日漏洞方面的七大误区；我们借助了可公开获得的数据，对于网络犯罪生态系统内幕的了解，当然还有常识（比如现在的恶意攻击者似乎具备的常识）。

一、零日漏洞是推动网络犯罪生态系统发展的主要因素

离真相十万八千里。

2010年，推动网络犯罪生态系统发展的主要因素是，数以百万计的最终用户和公司用过时的第三方应用程序和插件来使用互联网。由于当前的趋势由原来利用针对特定操作系统的漏洞，转为利用客户端的漏洞，或者是老式的社会工程学攻击，而最终用户/公司对于当前的安全威胁状况又相当缺乏深谋远虑，这导致恶意攻击者普遍能够得逞。如此说来，如果说坏人们依靠的不是零日漏洞，作为其经营模式基础的又是什么呢？那就是全球普遍缺乏安全意识，结果导致用户屡屡点击中招（那是由于坏人们轮换着采用社会工程学伎俩），众多不安全的应用程序/插件在普通的联网个人电脑上运行，以及当前的网络犯罪生态系统出现了自己动手（DIY）或网络犯罪即服务的状况，从而让毫无经验的攻击者也能获得高级的攻击工具，这一切促成了生态系统的蓬勃发展。

二、零日漏洞是网络犯罪分子们一直在寻找的目标

如果零日漏洞真是他们一直在寻找的目标，那么网络犯罪生态系统也许永远不会发展成熟、变成今天这样的高效赚钱机器。

为什么？从根本上来说，坏人们突然意识到了一点，那就是：不光劫持足够多特定流量的可能性很大，从而可以攻击数量众多的用户；而且不费吹灰之力就能找到零日漏洞，那样他们就可以把时间和资源用在其他方面。这对一些人来说是边缘思想（marginal thinking），而对另一些人来说是保持简单（KISS）原则；总之，这是目前推动网络犯罪经营模式发展的动因–行动准则基于严酷的现实，而不是设想打上完美补丁的世界应该是什么样。之所以会有零日漏洞是坏人们一直在寻找的目标这个误区，那是源自零日漏洞黑市这个概念；这个市场与几年前相比得到了极大的发展。以前是针对特定的操作系统，而现在针对特定的客户端；这个市场现在很注重实际，一切以利用互联网应用程序的漏洞为中心。坏人们之所以转移关注的目标，唯一的原因是由于前面第一点提到的他们幡然醒悟；也就是说，他们现在认识到了数以百万计的用户存在过时的漏洞，很容易遭到攻击；于是他们将目标锁定流行的互联网应用程序，那样他们就可以发动大规模的SQL注射攻击或者针对特定应用程序的攻击，从而劫持流量，这正是他们目前感兴趣的方面。#p#

三、零日漏洞关系到针对性攻击/高级持续威胁活动的成败

虽然零日漏洞乍一看似乎是成功闯入重要网络的基础。

重要网络本该比普通网民使用的个人电脑得到更好的保护，但还是有众多案例表明情况并非如此。也许最近讨论最广泛的其中一个案例就是谷歌因间谍事件而退出中国。与恶意攻击者过招，想做到先发制人，就要想其所想。为什么他们不试图发现谷歌自己的浏览器Chrome当中的漏洞呢？这款浏览器应该是该公司合理的浏览器选择。毫无疑问，那是由于众多个人电脑还在使用IE6浏览器，攻击者就可以搜集这些电脑上的信息。不过，我要说的是这个可能性很大：利用Adobe的产品中普遍存在的漏洞，同样可以利用正好运行IE6浏览器的这些个人电脑。为什么？那是由于谷歌觉得IE6不安全，而正是缺乏安全审计使得IE6无法在谷歌的主机上运行。至于针对性攻击/高级持续威胁类型的活动，每个季度都会有犯罪团队显然热衷于感染高价值目标，重新策划发布ZeuS犯罪软件的活动，完全以政府和军方网站为攻击对象。这些活动在零日漏洞环境下的特别之处在于，它们借助放在受危及网站上的二进制代码，依靠目标用户的人工交互，而不是依靠零日漏洞。虽然零日漏洞是”所希望的”，但是在我看来，它们并不是针对性攻击得逞的关键。

四、针对特定操作系统的漏洞比第三方应用程序比/插件的漏洞更广泛被利用

事实上恰恰相反。

据美国系统网络安全协会（SANS Institute）发布的《2009年几大网络安全风险》报告显示，应用程序方面打补丁的步伐要比操作系统方面慢得多，不过客户端的漏洞在网络威胁领域仍然占主体。微软自己的《安全情报报告第8卷》也指出，据他们的数据显示，第三方漏洞比专门针对Windows操作系统的漏洞更广泛被利用。只要看一下BLADE Defender的实验室实时感染数据，就可以得出类似结论，特别容易被坏人盯上的是应用程序，而不是浏览器。此外，容易被坏人利用是一回事，实际的感染率完全是另一回事。举例来说，Secunia公司最近发布的报告表明，从2005年到2010年间，产品中漏洞数量最多的是苹果公司。而即使我们不考虑Mac OS X的市场份额与微软Windows的市场份额相比明显存在差异，从理论上来说，苹果的用户也应该不断受到来自各方面的攻击。为什么我们没有看到这一幕呢？原因很简单，一个严酷的现实是，坏人们以前采用的攻击手法是针对特定的开发商或应用程序，而现在采用了”针对所有开发商/应用程序”的攻击手法；也就是说，感染率的高低并不是取决于拥有最多漏洞的开发软件/产品，而是取决于最终用户方面没有打补丁。从根本上来说，就算某家开发商的漏洞数量相对较少，但用户没有打补丁，或者开发商缺乏一条完善的沟通渠道，这些用户也会被成功感染。因而，有的开发商很容易中招，但事实上不常中招；而有的开发商因用户没及时打上补丁而不断中招，区别就在于后者与用户之间的沟通模式存在着缺陷。

五、一旦发布了针对某个漏洞的补丁，就完事了

零日漏洞方面最常见的一个误区就是，一旦发布了补丁，对开发商来说就完事了，因为现在它在处理这个漏洞方面已经尽到了责任。

紧接着微软正版验证计划（WGA）开展的用户沟通是整个过程的第二个阶段，但正是由于用户沟通工作未得到优先考虑，才导致了目前的这种情形：世界上规模最庞大的僵尸网络之一Conficker在继续添加新的主机，尽管已经发布了相应补丁。多家软件开发商上演了同样的一幕，它们的用户丝毫不知道自己因半年前已发布了补丁的漏洞而受到感染。从Mozilla基金会令人肃然起敬的举动上，最能看出第二个阶段缺乏沟通的这个问题：Mozilla基金会为最终用户竭力提供保护，开展了插件检查（Plugin Check）之类的计划；插件检查计划还为使用与之竞争的其他浏览器的用户提供插件检查服务。从安全意识的角度来看，只有那些流量很大的网站也有同样关注社会的观念，才完全有可能比其他任何网站更能带来大范围的积极影响。

六、为了促使开发商给漏洞打上补丁，全面披露有助于社区及用户

虽然实践证明，这个做法可以促使开发商开始优先考虑漏洞的存在（它们之前不相信漏洞存在），但是第五点讨论的开发商与用户之间存在缺陷的沟通实际上破坏了这个做法的效果。

为什么会这样？原因很简单。如果最终用户半年来一直在用过时的第三方应用程序和浏览器插件来使用互联网，他们还会继续这么用下去，哪怕他们认为自己意识到”补丁星期二”。由于最终用户对反病毒解决方案的效果抱着过高的期望，还会继续成为受害者，却忘了预防胜于治疗的这个道理。由于缺乏操作系统之外的”软件资产管理”，或者说缺乏安全意识，没有认识到坏人们采用的广泛使用的感染手法，这无形中帮助他们每天在有效地感染成千上万个新用户。

七、数据泄密事件之所以急剧增长，零日漏洞起到了关键作用

据韦里逊公司（Verizon）最近发布的《数据泄露调查报告》显示，真相实际上要比这有意思得多。

报告指出，依据韦里逊的数据样本，”没有哪一起得到证实的入侵事件利用了某个可以打上补丁的漏洞”。那么，坏人们又是在如何危及这些网络/服务器，导致数十万条的敏感记录泄露出去呢？其手段就是尽量简单，瞄准配置不安全的互联网应用程序，使用定制的恶意软件，或者基本上采取其余各种方法，但是侧重于发现和利用零日漏洞来达到目标。

本文的目的绝不是要否定零日漏洞对于潜在攻击者、甚至对于网络间谍的重要性。相反，本文旨在客观如实地剖析这个真相：网络犯罪生态系统在继续蓬勃发展，不需要零日漏洞的参与；只要数以百万的最终用户继续因半年前的漏洞而受到危及，那么这个生态系统就会常盛不衰。

文章来源：http://www.zdnet.com/blog/security/seven-myths-about-zero-day-vulnerabilities-debunked/7026?tag=content

【.com独家译稿，非经授权谢绝转载！合作媒体转载请注明原文出处及出处！】

【编辑推荐】