[[198913]]

哈佛大學(xué)發(fā)布的最新研究結(jié)論表明，零日漏洞這類軟件安全缺陷被二次發(fā)現(xiàn)的速度要遠(yuǎn)快于以往安全人員們的想象。

零日漏洞二次發(fā)現(xiàn)的危害

事實(shí)上，零日漏洞的二次發(fā)現(xiàn)率對(duì)于美國(guó)的網(wǎng)絡(luò)安全政策存在很大影響。這是因?yàn)槊绹?guó)情報(bào)機(jī)構(gòu)在發(fā)現(xiàn)零日漏洞后，相關(guān)人員往往會(huì)采取秘而不宣的作法，并借此通過(guò)網(wǎng)絡(luò)行動(dòng)窺探他國(guó)競(jìng)爭(zhēng)對(duì)手。但二次發(fā)現(xiàn)率高企則會(huì)迫使相關(guān)人員重新考慮如何對(duì)這些漏洞進(jìn)行修復(fù)或者保密。

哈佛大學(xué)貝爾弗中心博士后研究員崔伊·赫爾指出，“如果二次發(fā)現(xiàn)率如此之高，那么應(yīng)當(dāng)下調(diào)用于網(wǎng)絡(luò)行動(dòng)的‘秘密保留’漏洞的具體數(shù)量，或者進(jìn)行更為積極的相關(guān)安全審查。”

除了赫爾之外，安全技術(shù)大師布魯斯·施奈爾與哈佛大學(xué)工程學(xué)院研究助理克里斯托弗·莫里斯也一同參與了上周研究結(jié)果的發(fā)表，他們還將在本周于拉斯維加斯舉行的美國(guó)黑帽大會(huì)上公布這份已經(jīng)經(jīng)過(guò)同行長(zhǎng)期評(píng)議的報(bào)告。

由于全球軟件市場(chǎng)的固有性質(zhì)，即世界各地的人員與企業(yè)皆采用相同的軟件程序。這種高企的漏洞二次發(fā)現(xiàn)率意味著美國(guó)發(fā)現(xiàn)并保有的安全漏洞很可能被國(guó)外情報(bào)部門乃至網(wǎng)絡(luò)犯罪分子以獨(dú)立方式再次發(fā)現(xiàn)，從而搶在相關(guān)供應(yīng)商將其修復(fù)之前利用此對(duì)抗美國(guó)。

赫爾解釋稱，相關(guān)數(shù)據(jù)表明，黑客“實(shí)際使用的零日漏洞當(dāng)中，有三分之一”可能美國(guó)機(jī)構(gòu)已秘密知曉。他同時(shí)指出，這意味著在被網(wǎng)絡(luò)間諜或者犯罪分子用于攻擊行動(dòng)之前，這些安全漏洞本可以得到及時(shí)修復(fù)。

另一些研究人員則提出質(zhì)疑，認(rèn)為這樣的結(jié)論并無(wú)法從研究人員們提供的數(shù)據(jù)當(dāng)中確切得出。

白宮網(wǎng)絡(luò)安全局長(zhǎng)羅伯·喬伊斯即抱有這樣的疑問(wèn)。他目前正在對(duì)“漏洞公平裁決程序”進(jìn)行審查，這項(xiàng)政策負(fù)責(zé)決定發(fā)現(xiàn)零日漏洞的美國(guó)企業(yè)是否應(yīng)當(dāng)向相關(guān)供應(yīng)商披露信息，抑或選擇將其保留并用于執(zhí)行網(wǎng)絡(luò)攻擊。不過(guò)白宮方面并沒(méi)有回應(yīng)關(guān)于此次新數(shù)據(jù)的評(píng)論請(qǐng)求。

二次漏洞相關(guān)數(shù)據(jù)

哈佛大學(xué)研究人員們?cè)谡撐漠?dāng)中提及的數(shù)字較此前小規(guī)模研究披露的對(duì)應(yīng)數(shù)字高出幾倍，作者希望這樣的結(jié)果能夠迫使“漏洞公平裁決程序”對(duì)具體要求作出重新考量。

各位作者分析了來(lái)自四套bug追蹤數(shù)據(jù)庫(kù)的安全漏洞報(bào)告，其中記錄有研究人員在目前世界范圍內(nèi)使用最為廣泛的各類開(kāi)源軟件中發(fā)現(xiàn)的安全漏洞，具體包括：

Mozilla公司的火狐瀏覽器2012年到2016年版本。

Open SSL代碼庫(kù)2014年到2016年版本。

Android操作系統(tǒng)2015年到2016年版本。

谷歌Chromium瀏覽器(即Chrome的開(kāi)源版本，二者共享大部分源代碼)2009年到2016年版本。

最后一套數(shù)據(jù)庫(kù)則提供了全部8698個(gè)安全漏洞中的超過(guò)四分之三比例。

為了縮小數(shù)據(jù)范圍，作者們僅關(guān)注最為嚴(yán)重的漏洞，即4307項(xiàng)被評(píng)為“危險(xiǎn)”或者“高危”的安全漏洞。

赫爾在接受采訪時(shí)指出，這是因?yàn)閱?wèn)題嚴(yán)重程度越高，相關(guān)記錄就越是詳盡(為了更加準(zhǔn)確地反映情報(bào)機(jī)構(gòu)需要尋找并利用的相關(guān)漏洞)。

赫爾指出，“對(duì)我們來(lái)說(shuō)，相關(guān)數(shù)據(jù)的可訪問(wèn)性相當(dāng)驚人”，而且大部分直接公開(kāi)。但他同時(shí)補(bǔ)充稱，“但整理工作非常麻煩，需要投入大量精力進(jìn)行歸納。”

2016二次發(fā)現(xiàn)概率逼近20%

總結(jié)來(lái)講，報(bào)告指出最近七年以來(lái)，每年零日漏洞的二次發(fā)現(xiàn)率都保持在15%到20%之間，但這一水平正在穩(wěn)步提升，且在去年幾乎逼近20%。

今年3月RAND公司發(fā)布的研究報(bào)告則顯示，其整理200項(xiàng)零日漏洞后得出的二次發(fā)現(xiàn)率低于6%。而曾任奧巴馬政府資深網(wǎng)絡(luò)安全官員的安迪·奧贊特則在2005年發(fā)布的研究結(jié)果中指出，2002年到2004年當(dāng)中與微軟相關(guān)之零日漏洞二次發(fā)現(xiàn)率為8%。其它研究同樣認(rèn)為此類漏洞的二次發(fā)現(xiàn)率低于10%。

漏洞二次發(fā)現(xiàn)的實(shí)際概率高于現(xiàn)有數(shù)據(jù)

赫爾表示，這些研究主要基于規(guī)模較小且多樣性較差的樣本，且通常并未直接涉及二次發(fā)現(xiàn)問(wèn)題。

他在評(píng)論RAND研究報(bào)告時(shí)指出，“這是一份出色的論文，但問(wèn)題在于其探究方向有所不同。這篇論文的主旨在于‘零日漏洞的秘密能夠保持多久?’有些偏見(jiàn)可能會(huì)對(duì)數(shù)據(jù)的具體解讀產(chǎn)生扭曲。”

而最具爭(zhēng)議的是，哈佛方面的論文在計(jì)劃當(dāng)中，選擇計(jì)算已經(jīng)被發(fā)現(xiàn)實(shí)際應(yīng)用的零日漏洞同美國(guó)情報(bào)機(jī)構(gòu)可能已經(jīng)秘密掌握的漏洞間的比值。

根據(jù)哥倫比亞大學(xué)的杰森·海利此前估算得出的國(guó)安局零日漏洞掌握數(shù)量，再配合賽門鐵克公布的相關(guān)數(shù)據(jù)，即2015年內(nèi)共有54項(xiàng)零日漏洞被用于實(shí)際攻擊。最終發(fā)現(xiàn)“政府保有之零日漏洞在2015年年內(nèi)的二次發(fā)現(xiàn)率大約在7.5%到33%之間。”

然而這些數(shù)字正面臨著其他研究人員的挑戰(zhàn)。

要想分析真實(shí)數(shù)據(jù)巨困難

網(wǎng)絡(luò)安全企業(yè)Immunity公司CEO大衛(wèi)·阿泰爾在接受郵件采訪時(shí)指出，“我認(rèn)為具體數(shù)據(jù)并不像他們想象的那么廣泛，這對(duì)于一篇學(xué)術(shù)報(bào)告來(lái)說(shuō)非常致命。”

在此后的一篇博文當(dāng)中，他進(jìn)一步補(bǔ)充稱研究人員們?cè)跀?shù)據(jù)集中納入的不少漏洞似乎都是通過(guò)混淆方式(這是一種相對(duì)基本的黑客技術(shù))所發(fā)現(xiàn)。他同時(shí)強(qiáng)調(diào)道，“對(duì)此類數(shù)據(jù)進(jìn)行分析非常困難，需要對(duì)安全漏洞擁有深入了解，同時(shí)亦需要進(jìn)行大量無(wú)聊的數(shù)據(jù)分析工作。”

在Twitter上，阿泰爾指出這項(xiàng)研究結(jié)合了由“Bug賞金獵人”及白帽黑客發(fā)現(xiàn)的bug，再加上另外一組存在巨大差異的數(shù)據(jù)集：“你的對(duì)手可能發(fā)現(xiàn)的bug”。

但他同時(shí)承認(rèn)，要想找到這個(gè)問(wèn)題的完美答案，即同時(shí)為美國(guó)及國(guó)外情報(bào)機(jī)構(gòu)或者其他攻擊者所掌握的零日漏洞數(shù)量，基本上是不可能的。

他在郵件當(dāng)中解釋稱，“對(duì)美國(guó)、中國(guó)與俄羅斯三方掌握的零日漏洞進(jìn)行匯總，需要三國(guó)同時(shí)介入并給予協(xié)助。”

赫爾則認(rèn)為，無(wú)論具體數(shù)字如何，這一問(wèn)題已經(jīng)非常嚴(yán)重且亟待解決，況且“每年超過(guò)10項(xiàng)零日漏洞已經(jīng)足以構(gòu)成嚴(yán)重的安全威脅。