林海谐缘

 找回密码
 审核注册
搜索
查看: 1287|回复: 0

探寻0-Day漏洞及其市场 利益先于补丁行

[复制链接]
发表于 2007-7-6 08:50:11 | 显示全部楼层 |阅读模式

探寻0-Day漏洞及其市场 利益先于补丁行

图片:
  

图1 0-Day漏洞的演变过程
从图1中可以看出,存在于一个实体中的潜在漏洞被各类安全人员发掘出来后,由于一些社********会原因只是在一个很小的范围内传播这个漏洞,这一批掌握着漏洞利用方法的人(漏洞发现人员或具有破坏性的黑客)可能会因为一些原因或是受到利益的驱动,从而出售漏洞或者利用该0-day漏洞来入侵网络上的计算机。显而易见,从0-day漏洞被发现到网络实体提供商以及安全公司发布补丁或解决方案的这段时间,网络上的计算机用户对利用0-day漏洞的攻击是没有任何防范对策的。

因此,0-day漏洞具有巨大的经济价值。例如,2006年底就有黑客出售Vista的0-day漏洞,要价是50,000美元。同年,法国计算机安全研究机构FrSIRT(前身为K-Otik)关闭了其站点上的公开漏洞利用代码部分,并且宣布其所有的漏洞和相关已证实的利用代码将通过他们特殊的VNS(Vulnerablility Notification Service,漏洞通报服务)方式进行买卖。

一、什么是0-Day漏洞

0-day漏洞是指在官方发布Patch之前的漏洞,因此它使得绝大多数的机器都处于易受攻击,没有任何保护,类似无药可救的状态。最常见的0-day漏洞都是由黑客或者安全组织发布的,有时甚至会同时给出攻击代码,尤其是IE的0-day 漏洞,对于写流氓软件、病毒、木马都是非常有用的。0-day漏洞公布和官方Patch出现之间这个窗口期,是传播的最佳时期。

每次出现一个0-day漏洞,就意味着有一大批的网络用户要遭殃了。为了让读者能明白其中的厉害关系,下面用图示描述一下0-day的演变过程,如图1所示意。



二、0-Day漏洞的国外市场

Charles Miller是独立安全评鉴协会(Independent Security Evaluators, ISE)的首席安全顾问。两年前,Charles Miller发现了Linux操作系统通用组件的一个远程可利用漏洞。他决定出售这个漏洞信息,就像当今许多企业漏洞研究者所做的一样。

由于已经离开美国国家安全局(National Security Agency),安全专家Miller打算把这个漏洞出售给美国政府。Miller在Workshop on the Economics of Information Security发表了一篇文章,论述了他出售安全漏洞的经历,并对安全漏洞市场进行了分析。

由于Miller发现的是Linux方面的漏洞,一位买家出价$10,000,同时,另一位买家让他自己报价。当他要价$80,000时,他的联系人马上就同意了。

Miller说:“其实我能要价更高。”

此次交易强调了对于漏洞研究者来说出售漏洞的一个重要问题是如何决定漏洞的价格。此外,时间也是很重要的因素。Miller在完成这项交易时感觉压力很大,因为如果其它人也发现了这个漏洞,那么这个漏洞的价值将急剧下降。在Miller那篇文章里描述了另一个交易过程,当Miller出售一个微软的PowerPoint漏洞时,微软已经为这个漏洞打上补丁。

Terri Forslof是3Com子公司TippingPoint的安全主管,他认为研究者在出售漏洞时必须考虑相关的道德因素。

“在漏洞的补丁出现之前,能够利用这个漏洞获得投资回报的时间长短决定了该漏洞的价值,”Forslof说,“如果我花$50,000购买了这个漏洞,我将做些什么?我当然希望这个漏洞永远不出补丁。”

由于研究者们都不愿意放弃自己挖掘出的来之不易的信息,也不愿意主动将漏洞公布在诸如iDefense's Vulnerability Contributor Program和3Com's Zero-Day Initiative之类的漏洞标准库之中,因此漏洞发现者逐渐希望通过他们的工作得到回报,出售漏洞也就变得越来越普及。

在出售第一个漏洞时,Miller发现以一个公平的价格出售漏洞是一个困难的事情。政府机构出价$80,000向他购买这个漏洞,条件是漏洞利用代码必须在Linux系统上进行工作,当时他没有答应。两个星期后,由于担心这个漏洞被其它人发现,Miller以一个更低价$50,000把漏洞的利用代码出售给了这个机构。

Miller说:“出售这个漏洞不算成功,因为我不知道这个漏洞的市场价,可能这个价格只是市价的1/10或者更少。”

而且,Miller在政府部门里有联系人。但是在刚开始时他并不能找到合适人的进行交易,因此,如果哪个朋友能提供更好的联系人,Miller会给他10%的提成。

“这次交易发生的主要原因是我有自己的联系人,但是这对一个安全研究者来说并不是必须的。”Miller说。

但是出售第二个漏洞时并没有这么好的运气。

在一月份的时候,Miller的一个朋友想通过他出售一个PowerPoint XP和2003的漏洞。Miller发现根本没有一个指南帮助他确定这个漏洞的价格,但是他相信公司会出价$20,000而政府部门可能出价$50,000。

实际上,有很多人想买这个漏洞,但是都在讨价还价,有一个公司还价高达$12,000。不幸的是,在他完成这个交易之前,Microsoft已经发布了这个漏洞的补丁。Miller说,“时间的延长、寻找买家的困难和定价的问题使这次交易泡汤了。”

Miller说:“研究人员没有出售研究成果所需的相关信息和联系人,这是不公平的”。

但是,TippingPoint公司的Forslof强调,向政府出售漏洞无须确定一个确定公平的价格。合法的市场包括了那些正规公司,它们利用漏洞信息来保护用户的权益,同时联系软件厂商修复这个漏洞。但是对于政府部门来说,它们组成一个灰色的市场,因为他们大部分情况下不会通知软件厂商,而且出售者也不知道他们利用漏洞信息去干什么。而在黑色市场上,买家很可能是利用这些漏洞进行违法的勾当,这些买家付的价钱是最高的,但是会使普通用户处理危险的境地。

三、0-Day漏洞的国内市场

在国外交易0-day漏洞的人很多,已经形成了一个“市场”。而国内的黑客同行,于2006年在网上建立了一个专门出售入侵程序号称中国第一0-day的网站,尽管类似的提供黑客工具的网站很多,但此网站与其它网站的区别在于0-day的特性十分明显:价格较高的攻击程序的攻击对象,还没有相应的安全补丁,也就是说这样的攻击程序很可能具有一击必中的效果。这个网站成立不久便在搜索引擎中消失了,也许已经关闭,也许转入地下。但不管怎样,0-day带来的潜在经济利益不可抹杀,而其将来对信息安全的影响以及危害也绝不能轻视。

不仅是专业的黑客,目前有许多计算机专业的在校学生也热衷于漏洞的挖掘与交易。全球最大免费中文黑客网站的“校园黑客联盟”至发稿日期为止已经有35305名注册会员,已经注册的会员上论坛里交流黑客技术并进行漏洞交易。2007年6月16日,有会员在论坛要价15万论坛币(10论坛币=1元人民币)出售一国的网络硬盘0-day漏洞;同日,有另一会员要价30万论坛币出售一个“绝对免杀”的灰鸽子,或者还可以以100万的价格,直接购买持续免杀的灰鸽子。

虽然出售漏洞不是一件很光彩的事情,但是由于经济利益的驱动,0-day漏洞也推动了漏洞挖掘技术的不断发展与安全产业的持续进步。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?审核注册

x
您需要登录后才可以回帖 登录 | 审核注册

本版积分规则

QQ|手机版|小黑屋|林海谐缘论坛 ( 豫ICP备07015145号 ) |
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论 | 管理员:linker(QQ:80555546) 群:3067918

GMT+8, 2024-11-21 23:02 , Processed in 0.035515 second(s), 15 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表