【51CTO 1月11日外電頭條】又過(guò)了一個(gè)月，又有一個(gè)零日漏洞被報(bào)告，而惡意攻擊者借助惡意軟件，發(fā)動(dòng)了鉆這個(gè)漏洞空子的攻擊，充分利用了機(jī)會(huì)窗口。由于某軟件開發(fā)商讓數(shù)以百萬(wàn)計(jì)的用戶幾個(gè)星期"敬請(qǐng)關(guān)注"，網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)中關(guān)于零日漏洞方面的誤區(qū)和猜測(cè)越來(lái)越多。

零日漏洞是壞人們一直在尋找的目標(biāo)嗎？零日漏洞攻擊在這伙人的"經(jīng)營(yíng)模式"當(dāng)中到底有多普遍？零日漏洞是否關(guān)系到針對(duì)性攻擊的成敗？

下面就讓我們一一揭穿零日漏洞方面的七大誤區(qū)；我們借助了可公開獲得的數(shù)據(jù)，對(duì)于網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)內(nèi)幕的了解，當(dāng)然還有常識(shí)（比如現(xiàn)在的惡意攻擊者似乎具備的常識(shí)）。

一、零日漏洞是推動(dòng)網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)發(fā)展的主要因素

離真相十萬(wàn)八千里。

2010年，推動(dòng)網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)發(fā)展的主要因素是，數(shù)以百萬(wàn)計(jì)的最終用戶和公司用過(guò)時(shí)的第三方應(yīng)用程序和插件來(lái)使用互聯(lián)網(wǎng)。由于當(dāng)前的趨勢(shì)由原來(lái)利用針對(duì)特定操作系統(tǒng)的漏洞，轉(zhuǎn)為利用客戶端的漏洞，或者是老式的社會(huì)工程學(xué)攻擊，而最終用戶/公司對(duì)于當(dāng)前的安全威脅狀況又相當(dāng)缺乏深謀遠(yuǎn)慮，這導(dǎo)致惡意攻擊者普遍能夠得逞。如此說(shuō)來(lái)，如果說(shuō)壞人們依靠的不是零日漏洞，作為其經(jīng)營(yíng)模式基礎(chǔ)的又是什么呢？那就是全球普遍缺乏安全意識(shí)，結(jié)果導(dǎo)致用戶屢屢點(diǎn)擊中招（那是由于壞人們輪換著采用社會(huì)工程學(xué)伎倆），眾多不安全的應(yīng)用程序/插件在普通的聯(lián)網(wǎng)個(gè)人電腦上運(yùn)行，以及當(dāng)前的網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)出現(xiàn)了自己動(dòng)手（DIY）或網(wǎng)絡(luò)犯罪即服務(wù)的狀況，從而讓毫無(wú)經(jīng)驗(yàn)的攻擊者也能獲得高級(jí)的攻擊工具，這一切促成了生態(tài)系統(tǒng)的蓬勃發(fā)展。

二、零日漏洞是網(wǎng)絡(luò)犯罪分子們一直在尋找的目標(biāo)

如果零日漏洞真是他們一直在尋找的目標(biāo)，那么網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)也許永遠(yuǎn)不會(huì)發(fā)展成熟、變成今天這樣的高效賺錢機(jī)器。

為什么？從根本上來(lái)說(shuō)，壞人們突然意識(shí)到了一點(diǎn)，那就是：不光劫持足夠多特定流量的可能性很大，從而可以攻擊數(shù)量眾多的用戶；而且不費(fèi)吹灰之力就能找到零日漏洞，那樣他們就可以把時(shí)間和資源用在其他方面。這對(duì)一些人來(lái)說(shuō)是邊緣思想（marginal thinking），而對(duì)另一些人來(lái)說(shuō)是保持簡(jiǎn)單（KISS）原則；總之，這是目前推動(dòng)網(wǎng)絡(luò)犯罪經(jīng)營(yíng)模式發(fā)展的動(dòng)因--行動(dòng)準(zhǔn)則基于嚴(yán)酷的現(xiàn)實(shí)，而不是設(shè)想打上完美補(bǔ)丁的世界應(yīng)該是什么樣。之所以會(huì)有零日漏洞是壞人們一直在尋找的目標(biāo)這個(gè)誤區(qū)，那是源自零日漏洞黑市這個(gè)概念；這個(gè)市場(chǎng)與幾年前相比得到了極大的發(fā)展。以前是針對(duì)特定的操作系統(tǒng)，而現(xiàn)在針對(duì)特定的客戶端；這個(gè)市場(chǎng)現(xiàn)在很注重實(shí)際，一切以利用互聯(lián)網(wǎng)應(yīng)用程序的漏洞為中心。壞人們之所以轉(zhuǎn)移關(guān)注的目標(biāo)，唯一的原因是由于前面第一點(diǎn)提到的他們幡然醒悟；也就是說(shuō)，他們現(xiàn)在認(rèn)識(shí)到了數(shù)以百萬(wàn)計(jì)的用戶存在過(guò)時(shí)的漏洞，很容易遭到攻擊；于是他們將目標(biāo)鎖定流行的互聯(lián)網(wǎng)應(yīng)用程序，那樣他們就可以發(fā)動(dòng)大規(guī)模的SQL注射攻擊或者針對(duì)特定應(yīng)用程序的攻擊，從而劫持流量，這正是他們目前感興趣的方面。#p#

三、零日漏洞關(guān)系到針對(duì)性攻擊/高級(jí)持續(xù)威脅活動(dòng)的成敗

雖然零日漏洞乍一看似乎是成功闖入重要網(wǎng)絡(luò)的基礎(chǔ)。

重要網(wǎng)絡(luò)本該比普通網(wǎng)民使用的個(gè)人電腦得到更好的保護(hù)，但還是有眾多案例表明情況并非如此。也許最近討論最廣泛的其中一個(gè)案例就是谷歌因間諜事件而退出中國(guó)。與惡意攻擊者過(guò)招，想做到先發(fā)制人，就要想其所想。為什么他們不試圖發(fā)現(xiàn)谷歌自己的瀏覽器Chrome當(dāng)中的漏洞呢？這款瀏覽器應(yīng)該是該公司合理的瀏覽器選擇。毫無(wú)疑問(wèn)，那是由于眾多個(gè)人電腦還在使用IE6瀏覽器，攻擊者就可以搜集這些電腦上的信息。不過(guò)，我要說(shuō)的是這個(gè)可能性很大：利用Adobe的產(chǎn)品中普遍存在的漏洞，同樣可以利用正好運(yùn)行IE6瀏覽器的這些個(gè)人電腦。為什么？那是由于谷歌覺(jué)得IE6不安全，而正是缺乏安全審計(jì)使得IE6無(wú)法在谷歌的主機(jī)上運(yùn)行。至于針對(duì)性攻擊/高級(jí)持續(xù)威脅類型的活動(dòng)，每個(gè)季度都會(huì)有犯罪團(tuán)隊(duì)顯然熱衷于感染高價(jià)值目標(biāo)，重新策劃發(fā)布ZeuS犯罪軟件的活動(dòng)，完全以政府和軍方網(wǎng)站為攻擊對(duì)象。這些活動(dòng)在零日漏洞環(huán)境下的特別之處在于，它們借助放在受危及網(wǎng)站上的二進(jìn)制代碼，依靠目標(biāo)用戶的人工交互，而不是依靠零日漏洞。雖然零日漏洞是"所希望的"，但是在我看來(lái)，它們并不是針對(duì)性攻擊得逞的關(guān)鍵。

四、針對(duì)特定操作系統(tǒng)的漏洞比第三方應(yīng)用程序比/插件的漏洞更廣泛被利用

事實(shí)上恰恰相反。

據(jù)美國(guó)系統(tǒng)網(wǎng)絡(luò)安全協(xié)會(huì)（SANS Institute）發(fā)布的《2009年幾大網(wǎng)絡(luò)安全風(fēng)險(xiǎn)》報(bào)告顯示，應(yīng)用程序方面打補(bǔ)丁的步伐要比操作系統(tǒng)方面慢得多，不過(guò)客戶端的漏洞在網(wǎng)絡(luò)威脅領(lǐng)域仍然占主體。微軟自己的《安全情報(bào)報(bào)告第8卷》也指出，據(jù)他們的數(shù)據(jù)顯示，第三方漏洞比專門針對(duì)Windows操作系統(tǒng)的漏洞更廣泛被利用。只要看一下BLADE Defender的實(shí)驗(yàn)室實(shí)時(shí)感染數(shù)據(jù)，就可以得出類似結(jié)論，特別容易被壞人盯上的是應(yīng)用程序，而不是瀏覽器。此外，容易被壞人利用是一回事，實(shí)際的感染率完全是另一回事。舉例來(lái)說(shuō)，Secunia公司最近發(fā)布的報(bào)告表明，從2005年到2010年間，產(chǎn)品中漏洞數(shù)量最多的是蘋果公司。而即使我們不考慮Mac OS X的市場(chǎng)份額與微軟Windows的市場(chǎng)份額相比明顯存在差異，從理論上來(lái)說(shuō)，蘋果的用戶也應(yīng)該不斷受到來(lái)自各方面的攻擊。為什么我們沒(méi)有看到這一幕呢？原因很簡(jiǎn)單，一個(gè)嚴(yán)酷的現(xiàn)實(shí)是，壞人們以前采用的攻擊手法是針對(duì)特定的開發(fā)商或應(yīng)用程序，而現(xiàn)在采用了"針對(duì)所有開發(fā)商/應(yīng)用程序"的攻擊手法；也就是說(shuō)，感染率的高低并不是取決于擁有最多漏洞的開發(fā)軟件/產(chǎn)品，而是取決于最終用戶方面沒(méi)有打補(bǔ)丁。從根本上來(lái)說(shuō)，就算某家開發(fā)商的漏洞數(shù)量相對(duì)較少，但用戶沒(méi)有打補(bǔ)丁，或者開發(fā)商缺乏一條完善的溝通渠道，這些用戶也會(huì)被成功感染。因而，有的開發(fā)商很容易中招，但事實(shí)上不常中招；而有的開發(fā)商因用戶沒(méi)及時(shí)打上補(bǔ)丁而不斷中招，區(qū)別就在于后者與用戶之間的溝通模式存在著缺陷。

五、一旦發(fā)布了針對(duì)某個(gè)漏洞的補(bǔ)丁，就完事了

零日漏洞方面最常見的一個(gè)誤區(qū)就是，一旦發(fā)布了補(bǔ)丁，對(duì)開發(fā)商來(lái)說(shuō)就完事了，因?yàn)楝F(xiàn)在它在處理這個(gè)漏洞方面已經(jīng)盡到了責(zé)任。

緊接著微軟正版驗(yàn)證計(jì)劃（WGA）開展的用戶溝通是整個(gè)過(guò)程的第二個(gè)階段，但正是由于用戶溝通工作未得到優(yōu)先考慮，才導(dǎo)致了目前的這種情形：世界上規(guī)模最龐大的僵尸網(wǎng)絡(luò)之一Conficker在繼續(xù)添加新的主機(jī)，盡管已經(jīng)發(fā)布了相應(yīng)補(bǔ)丁。多家軟件開發(fā)商上演了同樣的一幕，它們的用戶絲毫不知道自己因半年前已發(fā)布了補(bǔ)丁的漏洞而受到感染。從Mozilla基金會(huì)令人肅然起敬的舉動(dòng)上，最能看出第二個(gè)階段缺乏溝通的這個(gè)問(wèn)題：Mozilla基金會(huì)為最終用戶竭力提供保護(hù)，開展了插件檢查（Plugin Check）之類的計(jì)劃；插件檢查計(jì)劃還為使用與之競(jìng)爭(zhēng)的其他瀏覽器的用戶提供插件檢查服務(wù)。從安全意識(shí)的角度來(lái)看，只有那些流量很大的網(wǎng)站也有同樣關(guān)注社會(huì)的觀念，才完全有可能比其他任何網(wǎng)站更能帶來(lái)大范圍的積極影響。

六、為了促使開發(fā)商給漏洞打上補(bǔ)丁，全面披露有助于社區(qū)及用戶

雖然實(shí)踐證明，這個(gè)做法可以促使開發(fā)商開始優(yōu)先考慮漏洞的存在（它們之前不相信漏洞存在），但是第五點(diǎn)討論的開發(fā)商與用戶之間存在缺陷的溝通實(shí)際上破壞了這個(gè)做法的效果。

為什么會(huì)這樣？原因很簡(jiǎn)單。如果最終用戶半年來(lái)一直在用過(guò)時(shí)的第三方應(yīng)用程序和瀏覽器插件來(lái)使用互聯(lián)網(wǎng)，他們還會(huì)繼續(xù)這么用下去，哪怕他們認(rèn)為自己意識(shí)到"補(bǔ)丁星期二"。由于最終用戶對(duì)反病毒解決方案的效果抱著過(guò)高的期望，還會(huì)繼續(xù)成為受害者，卻忘了預(yù)防勝于治療的這個(gè)道理。由于缺乏操作系統(tǒng)之外的"軟件資產(chǎn)管理"，或者說(shuō)缺乏安全意識(shí)，沒(méi)有認(rèn)識(shí)到壞人們采用的廣泛使用的感染手法，這無(wú)形中幫助他們每天在有效地感染成千上萬(wàn)個(gè)新用戶。

七、數(shù)據(jù)泄密事件之所以急劇增長(zhǎng)，零日漏洞起到了關(guān)鍵作用

據(jù)韋里遜公司（Verizon）最近發(fā)布的《數(shù)據(jù)泄露調(diào)查報(bào)告》顯示，真相實(shí)際上要比這有意思得多。

報(bào)告指出，依據(jù)韋里遜的數(shù)據(jù)樣本，"沒(méi)有哪一起得到證實(shí)的入侵事件利用了某個(gè)可以打上補(bǔ)丁的漏洞"。那么，壞人們又是在如何危及這些網(wǎng)絡(luò)/服務(wù)器，導(dǎo)致數(shù)十萬(wàn)條的敏感記錄泄露出去呢？其手段就是盡量簡(jiǎn)單，瞄準(zhǔn)配置不安全的互聯(lián)網(wǎng)應(yīng)用程序，使用定制的惡意軟件，或者基本上采取其余各種方法，但是側(cè)重于發(fā)現(xiàn)和利用零日漏洞來(lái)達(dá)到目標(biāo)。

本文的目的絕不是要否定零日漏洞對(duì)于潛在攻擊者、甚至對(duì)于網(wǎng)絡(luò)間諜的重要性。相反，本文旨在客觀如實(shí)地剖析這個(gè)真相：網(wǎng)絡(luò)犯罪生態(tài)系統(tǒng)在繼續(xù)蓬勃發(fā)展，不需要零日漏洞的參與；只要數(shù)以百萬(wàn)的最終用戶繼續(xù)因半年前的漏洞而受到危及，那么這個(gè)生態(tài)系統(tǒng)就會(huì)常盛不衰。

文章來(lái)源：http://www.zdnet.com/blog/security/seven-myths-about-zero-day-vulnerabilities-debunked/7026?tag=content

【51CTO.com獨(dú)家譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請(qǐng)注明原文出處及出處！】

【編輯推薦】

1. 針對(duì)IE零日漏洞 微軟推出解決方案
2. 賽門鐵克提示用戶注意針對(duì)IE6及IE7的新型零日漏洞
3. Firefox暴嚴(yán)重零日漏洞 已被攻擊者利用
4. 蠕蟲攻擊微軟零日漏洞 利用USB設(shè)備大肆傳播