所有軟件都存在漏洞，其中一些漏洞是能被武器化的安全漏洞。

[[275823]]

零日漏洞定義

零日漏洞就是供應(yīng)商尚未修復(fù)的安全漏洞，可被攻擊者轉(zhuǎn)化為強(qiáng)力武器加以利用。出于軍事、情報(bào)和司法目的，某些政府會(huì)找尋、購買和使用零日漏洞。但這種操作頗引爭議，因?yàn)槠渌粽呷舭l(fā)現(xiàn)相同漏洞，整個(gè)社會(huì)都會(huì)因政府的隱瞞不報(bào)而面臨風(fēng)險(xiǎn)。零日漏洞在黑市奇貨可居，往往能賣得高價(jià)，漏洞獎(jiǎng)勵(lì)項(xiàng)目則旨在鼓勵(lì)發(fā)現(xiàn)安全漏洞并向供應(yīng)商報(bào)告。修復(fù)危機(jī)意味著零日漏洞重要性降低，所謂的“舊日漏洞” (old-day) 也幾乎同樣有效。

為什么零日漏洞十分危險(xiǎn)?

零日漏洞因漏洞補(bǔ)丁存在天數(shù)為零而得名。一旦供應(yīng)商發(fā)布安全補(bǔ)丁，漏洞就不再稱之為零日漏洞。此后，該安全漏洞便加入了可修復(fù)但沒修復(fù)的舊日漏洞大軍。大約十年前，一個(gè)零日漏洞就足以執(zhí)行遠(yuǎn)程入侵。發(fā)現(xiàn)和持有任何一個(gè)零日漏洞都能讓你感覺自己是網(wǎng)絡(luò)之神。如今，不聯(lián)合使用幾個(gè)乃至幾十個(gè)小零日漏洞，往往都無法突破 Windows 10 或蘋果 iOS 等消費(fèi)級操作系統(tǒng)中的安全緩解措施，更別提獲取目標(biāo)的完全控制權(quán)了。所以，當(dāng)前黑市上遠(yuǎn)程執(zhí)行零日漏洞的價(jià)格堪稱天價(jià)。

零日漏洞舉例

然而，不是所有的零日漏洞都很復(fù)雜或昂貴。流行視頻會(huì)議軟件 Zoom 就存在一個(gè)很惱人的零日漏洞，任何網(wǎng)站都可以利用該漏洞強(qiáng)拉用戶進(jìn)入 Zoom 視頻會(huì)議，不經(jīng)用戶允許就啟動(dòng)用戶的攝像頭。不僅如此，利用該漏洞，網(wǎng)頁可通過不停強(qiáng)拉用戶進(jìn)入非法視頻會(huì)議而對 Mac 主機(jī)實(shí)施拒絕服務(wù) (DoS) 攻擊。Zoom 的 Mac 客戶端還會(huì)在用戶筆記本電腦上安裝 Web 服務(wù)端，即便清除了該軟件，仍能在用戶不知道的情況下重新安裝 Zoom 客戶端。真的是一個(gè)非常煩人的零日漏洞。更糟的是，這么大的安全漏洞，Zoom 這么大個(gè)公司竟然響應(yīng)遲緩，逼研究人員不得不直接釋放零日漏洞。(注：“釋放零日”指的是公布安全漏洞的細(xì)節(jié)以迫使拖沓的供應(yīng)商修復(fù)他們的漏洞。)能讓攻擊者遠(yuǎn)程開啟麥克風(fēng)和攝像頭這么簡單的安全漏洞卻尤其危險(xiǎn)，因?yàn)檫@種漏洞給了罪犯窺探受害者所處環(huán)境的眼睛和耳朵，受威脅的不僅僅是電腦上的信息。這種漏洞在黑市和灰市上尤為緊俏。

零日漏洞黑市

想一舉入賬 150 萬美元?找出合適的 iPhone 零日漏洞賣給 Zerodium，這家漏洞獎(jiǎng)勵(lì)項(xiàng)目領(lǐng)頭羊的網(wǎng)站上宣稱會(huì)支付“漏洞市場最高獎(jiǎng)金”。Zerodium 這樣的漏洞代理商只服務(wù)軍事-情報(bào)機(jī)構(gòu)，但專制政權(quán)的秘密警察也會(huì)購買零日漏洞利用程序去黑記者和迫害異議分子。與限制僅可銷售給獲準(zhǔn)政府的灰市不同，黑市不限制買家，犯罪組織、毒梟和朝鮮或伊朗這些被灰市排斥的買家也可以在黑市買到想要的漏洞利用。至少目前來看，《瓦森納協(xié)議》難以監(jiān)管零日漏洞利用黑/灰市。《瓦森納協(xié)議》限制離心機(jī)等軍民兩用技術(shù)出口至禁售國。2013 年一項(xiàng)控制可作惡意用途商品的提案被否決，很多人都認(rèn)為該提案弊大于利。如今，只要足夠有心，任何政府或犯罪組織都能弄到黑客工具，包括零日漏洞利用。監(jiān)管形同虛設(shè)。

漏洞獎(jiǎng)勵(lì)項(xiàng)目 vs. 協(xié)同漏洞披露

毫不顧忌自己的零日漏洞可能助紂為虐的黑帽子，可以從黑市或灰市賺取夠高傭金。有良心的安全研究員，可以通過向供應(yīng)商報(bào)告零日漏洞致富。有點(diǎn)規(guī)模的公司企業(yè)都應(yīng)設(shè)立漏洞披露過程，公開承諾會(huì)暫留安全問題的善意報(bào)告，并內(nèi)部分析所報(bào)告的問題。這種操作如今已是 ISO 29147 和 ISO 30111 標(biāo)準(zhǔn)中的最佳實(shí)踐了。為鼓勵(lì)零日漏洞報(bào)告，公司企業(yè)可以選擇提供漏洞獎(jiǎng)勵(lì)項(xiàng)目，通過支付給道德安全研究人員的大筆經(jīng)濟(jì)獎(jiǎng)勵(lì)，來刺激零日漏洞研究與披露。獎(jiǎng)金數(shù)額跟黑市賣價(jià)沒法比，但旨在褒獎(jiǎng)行正義之事的安全研究人員。

政府應(yīng)該囤積零日漏洞嗎?

美國國家安全局 (NSA)、中央情報(bào)局 (CIA) 和聯(lián)邦調(diào)查局 (FBI) 均在找尋、購買和使用零日漏洞利用，該爭議性行為招致了廣泛批評。使用零日漏洞反黑罪犯，而不是報(bào)告給供應(yīng)商以做修復(fù)，會(huì)令全體國民都無力面對可能發(fā)現(xiàn)或盜取這些零日漏洞的罪犯或外國間諜，因而讓整個(gè)國家陷入危險(xiǎn)境地。批評家稱，政府的工作就是保護(hù)國民，理應(yīng)堅(jiān)持防御而不是主動(dòng)攻擊?！堵┒垂讲脹Q程序》(VEP)，就是美國政府當(dāng)前用來評估零日漏洞披露與否的機(jī)制。VEP 試圖平衡攻擊與防御，決斷哪些安全漏洞應(yīng)報(bào)告給供應(yīng)商做修復(fù)，哪些應(yīng)被囤積以作攻擊用途。黑客團(tuán)伙“影子經(jīng)紀(jì)人”( Shadow Brokers) 曾放出大量漏洞利用程序，其中就包括曾廣為流行的“永恒之藍(lán)” (EternalBlue)，將政府應(yīng)不應(yīng)該囤積漏洞的問題推上了風(fēng)口浪尖。影子經(jīng)紀(jì)人據(jù)稱隸屬俄羅斯情報(bào)機(jī)構(gòu)，盜取 NSA 黑客工具后將之放到了網(wǎng)上，免費(fèi)供人下載使用。犯罪分子拿到這些強(qiáng)大的 NSA 網(wǎng)絡(luò)武器后紛紛展開犯罪行動(dòng)，所引發(fā)的混亂到現(xiàn)在都還有余波。

修復(fù)的問題比零日漏洞本身還大

零日漏洞固然迷人，但實(shí)際上其效力已不比當(dāng)年。供應(yīng)商發(fā)布了補(bǔ)丁未必意味著脆弱設(shè)備就已被修復(fù)。很多情況下，比如物聯(lián)網(wǎng)設(shè)備之類的東西，零部件出廠時(shí)就有漏洞，然后從未得到修復(fù)。有時(shí)候是因?yàn)槲锢砩蠠o法修復(fù)這些設(shè)備。而如果從未部署到生產(chǎn)環(huán)境，供應(yīng)商發(fā)布的安全補(bǔ)丁就毫無用處。因此，無論攻擊者是罪犯還是政府，往往舊日漏洞便已足夠。很多情況下，持有零日漏洞利用的攻擊者更傾向于不用零日漏洞，而走舊日漏洞路線，因?yàn)槿粲昧闳章┒蠢贸绦蚬粲屑夹g(shù)能力的防御者，很有可能將該零日漏洞暴露出來。因此，零日漏洞利用程序強(qiáng)大而又脆弱，尤其是部署在網(wǎng)絡(luò)領(lǐng)域國家間秘密角力場上的時(shí)候。