零日漏洞就是廠商未修復(fù)且可被利用來當(dāng)作網(wǎng)絡(luò)攻擊武器的安全缺陷，威力強(qiáng)大但卻脆弱。出于軍事、情報和司法目的，各國政府會尋找、購買和使用零日漏洞。這是個充滿矛盾的操作，因為會讓發(fā)現(xiàn)了相同漏洞的其他攻擊者也掌握有危害社會的能力。

[[234824]]

在黑市上，零日漏洞屬于高價商品，但有漏洞獎勵項目鼓勵安全人員發(fā)現(xiàn)并向廠商報告這些安全漏洞。修復(fù)危機(jī)意味著零日漏洞重要性日趨下降，而所謂的老(0ld-days)漏洞變得幾乎與零日漏洞效果一樣。

為什么說零日漏洞很危險

零日漏洞得名于漏洞發(fā)現(xiàn)時補丁存在的天數(shù)：零天。一旦廠商發(fā)布了安全補丁，漏洞就不再屬于零日范圍，而加入到無窮無盡的可修復(fù)卻未修復(fù)的老漏洞行列。

在過去，比如說7年之前吧，一個零日漏洞就足以實現(xiàn)遠(yuǎn)程入侵，令發(fā)現(xiàn)和擁有零日漏洞顯得極具威力。

而今天，Windows 10 或iOS這些消費級操作系統(tǒng)中的安全緩解措施，讓攻擊者不得不聯(lián)合使用數(shù)個甚至數(shù)十個小零日漏洞才能完全控制給定目標(biāo)。也因此，黑市上iOS的遠(yuǎn)程執(zhí)行零日漏洞價格才會達(dá)到天文數(shù)字級別。

零日漏洞黑市

想要漂亮賺得150萬美元?那就找出給力的iPhone零日漏洞再賣給Zerodium漏洞獎勵項目吧!它網(wǎng)站上宣稱的可是會給出市場最高的漏洞獎金喲。像Zerodium這樣的漏洞代理商只會將漏洞賣給軍事間諜機(jī)構(gòu)，但專制政府的秘密警察也會購買零日漏洞來攻擊記者和迫害持不同政見者。

與僅出售給少數(shù)政府的灰色市場不同，黑市則是完全不限制買家身份：犯罪團(tuán)伙、販毒集團(tuán)和像朝鮮/伊朗這樣被灰色市場排斥的買主也可以在黑市購得零日漏洞。

《瓦森納協(xié)定》一直以來都限制不了黑/灰色市場上的零日漏洞交易，至少到目前為止是這樣的。

《瓦森納協(xié)定》禁止向禁運國家出口鈾濃縮之類的軍民兩用技術(shù)。2013年一項對可被用于惡意目的的技術(shù)加以控制的提案遭到了反對，很多人認(rèn)為該提案反而會讓形勢惡化。

如今，盡管規(guī)定就擺在那兒，但任何動機(jī)夠強(qiáng)烈的政府或犯罪集團(tuán)都可以染指黑客工具，包括零日漏洞利用。

漏洞獎勵項目 vs. 協(xié)同漏洞披露

毫不顧忌自己發(fā)現(xiàn)的零日漏洞會成為政治迫害幫兇的黑帽子們，能夠從黑市或灰色市場上攫取大量金錢。有良心的安全研究員們則能以向廠商報告漏洞的方式獲取回報。任何規(guī)模的組織都應(yīng)公布漏洞發(fā)現(xiàn)過程，公開承諾對安全問題進(jìn)行無害的善意報告，并在內(nèi)部對所報告的問題進(jìn)行分類。這就是現(xiàn)今 ISO 29147 和 ISO 30111 中標(biāo)準(zhǔn)化過的最佳實踐。

為鼓勵零日漏洞報告，各類組織可以選擇推出漏洞獎勵項目，通過向道德安全研究員提供大額金錢回報來激勵漏洞研究與披露。這些報酬比不上黑市高價，只是用于獎勵做了正確事情的安全研究員的。

政府囤積零日漏洞遭質(zhì)疑

NSA、CIA和FBI都在找尋、購買和使用零日漏洞，也由此引發(fā)了諸多批評。這些政府機(jī)構(gòu)利用零日漏洞攻擊犯罪分子，而不是將漏洞報告給廠商以實施修復(fù)。這樣一來，找到或偷到同樣漏洞的罪犯和外國間諜，便能夠利用這些漏洞危害整個社會了。批評者就認(rèn)為，如果政府的任務(wù)是保護(hù)人民，那他們應(yīng)該大力防御而非攻擊。

在美國，漏洞平衡策略(VEP)就是美國政府當(dāng)前用以評估零日漏洞披露的機(jī)制，而這一機(jī)制是不完善的。VEP試圖平衡攻擊與防御，決定哪些安全漏洞應(yīng)報告給廠商而哪些要被政府留作攻擊用途。

影子經(jīng)紀(jì)人泄露的一系列漏洞利用，包括流傳甚廣變種甚多的永恒之藍(lán)，引發(fā)了對政府扣住漏洞不公布的更多質(zhì)疑。影子經(jīng)紀(jì)人據(jù)傳言屬朝鮮或俄羅斯情報機(jī)構(gòu)，盜取了NSA黑客工具并放到了網(wǎng)上供免費取用。犯罪分子拿到這些強(qiáng)大的NSA網(wǎng)絡(luò)武器后投入犯罪惡行，引發(fā)的混亂至今仍有余波。

修復(fù)是比漏洞更大的問題

零日漏洞性感迷人，但如今也不像以前那么性感了。補丁的發(fā)布并不意味著帶漏洞的設(shè)備就會被修復(fù)。很多情況下，IoT設(shè)備之類的東西本就是“帶病”出廠，而此后也再不接受修復(fù)。有時候則是物理上就無法修復(fù)設(shè)備。如果不能在生產(chǎn)中應(yīng)用補丁，那廠商發(fā)布補丁也沒什么用處。

因此，對攻擊者而言，無論是政府網(wǎng)軍還是網(wǎng)絡(luò)罪犯，用老漏洞足矣。很多情況下手握零日漏洞利用的攻擊者還不愿意使用自己手中的零日漏洞，反而以老漏洞代之，因為若對技術(shù)高超的防御者使用了零日漏洞，反而容易暴露。這就讓零日漏洞利用變成了扛不住揍的脆弱武器，尤其是在當(dāng)下網(wǎng)絡(luò)空間國家博弈的環(huán)境下。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文