又過了一個月,又有一個零日漏洞被報告,而惡意攻擊者借助惡意軟件,發動了鉆這個漏洞空子的攻擊,充分利用了機會窗口。由于某軟件開發商讓數以百萬計的用戶幾個星期"敬請關注",網絡犯罪生態系統中關于零日漏洞方面的誤區和猜測越來越多。
零日漏洞是壞人們一直在尋找的目標嗎?零日漏洞攻擊在這伙人的"經營模式"當中到底有多普遍?零日漏洞是否關系到針對性攻擊的成敗?
下面就讓我們一一揭穿零日漏洞方面的七大誤區;我們借助了可公開獲得的數據,對于網絡犯罪生態系統內幕的了解,當然還有常識(比如現在的惡意攻擊者似乎具備的常識)。
一、零日漏洞是推動網絡犯罪生態系統發展的主要因素
離真相十萬八千里。
2010年,推動網絡犯罪生態系統發展的主要因素是,數以百萬計的最終用戶和公司用過時的第三方應用程序和插件來使用互聯網。由于當前的趨勢由原來利用針對特定操作系統的漏洞,轉為利用客戶端的漏洞,或者是老式的社會工程學攻擊,而最終用戶/公司對于當前的安全威脅狀況又相當缺乏深謀遠慮,這導致惡意攻擊者普遍能夠得逞。如此說來,如果說壞人們依靠的不是零日漏洞,作為其經營模式基礎的又是什么呢?那就是全球普遍缺乏安全意識,結果導致用戶屢屢點擊中招(那是由于壞人們輪換著采用社會工程學伎倆),眾多不安全的應用程序/插件在普通的聯網個人電腦上運行,以及當前的網絡犯罪生態系統出現了自己動手(DIY)或網絡犯罪即服務的狀況,從而讓毫無經驗的攻擊者也能獲得高級的攻擊工具,這一切促成了生態系統的蓬勃發展。
二、零日漏洞是網絡犯罪分子們一直在尋找的目標
如果零日漏洞真是他們一直在尋找的目標,那么網絡犯罪生態系統也許永遠不會發展成熟、變成今天這樣的高效賺錢機器。
為什么?從根本上來說,壞人們突然意識到了一點,那就是:不光劫持足夠多特定流量的可能性很大,從而可以攻擊數量眾多的用戶;而且不費吹灰之力就能找到零日漏洞,那樣他們就可以把時間和資源用在其他方面。這對一些人來說是邊緣思想(marginal thinking),而對另一些人來說是保持簡單(KISS)原則;總之,這是目前推動網絡犯罪經營模式發展的動因--行動準則基于嚴酷的現實,而不是設想打上完美補丁的世界應該是什么樣。之所以會有零日漏洞是壞人們一直在尋找的目標這個誤區,那是源自零日漏洞黑市這個概念;這個市場與幾年前相比得到了極大的發展。以前是針對特定的操作系統,而現在針對特定的客戶端;這個市場現在很注重實際,一切以利用互聯網應用程序的漏洞為中心。壞人們之所以轉移關注的目標,唯一的原因是由于前面第一點提到的他們幡然醒悟;也就是說,他們現在認識到了數以百萬計的用戶存在過時的漏洞,很容易遭到攻擊;于是他們將目標鎖定流行的互聯網應用程序,那樣他們就可以發動大規模的SQL注射攻擊或者針對特定應用程序的攻擊,從而劫持流量,這正是他們目前感興趣的方面。
三、零日漏洞關系到針對性攻擊/高級持續威脅活動的成敗
雖然零日漏洞乍一看似乎是成功闖入重要網絡的基礎。
重要網絡本該比普通網民使用的個人電腦得到更好的保護,但還是有眾多案例表明情況并非如此。也許最近討論最廣泛的其中一個案例就是谷歌因間諜事件而退出中國。與惡意攻擊者過招,想做到先發制人,就要想其所想。為什么他們不試圖發現谷歌自己的瀏覽器Chrome當中的漏洞呢?這款瀏覽器應該是該公司合理的瀏覽器選擇。毫無疑問,那是由于眾多個人電腦還在使用IE6瀏覽器,攻擊者就可以搜集這些電腦上的信息。不過,我要說的是這個可能性很大:利用Adobe的產品中普遍存在的漏洞,同樣可以利用正好運行IE6瀏覽器的這些個人電腦。為什么?那是由于谷歌覺得IE6不安全,而正是缺乏安全審計使得IE6無法在谷歌的主機上運行。至于針對性攻擊/高級持續威脅類型的活動,每個季度都會有犯罪團隊顯然熱衷于感染高價值目標,重新策劃發布ZeuS犯罪軟件的活動,完全以政府和軍方網站為攻擊對象。這些活動在零日漏洞環境下的特別之處在于,它們借助放在受危及網站上的二進制代碼,依靠目標用戶的人工交互,而不是依靠零日漏洞。雖然零日漏洞是"所希望的",但是在我看來,它們并不是針對性攻擊得逞的關鍵。
四、針對特定操作系統的漏洞比第三方應用程序比/插件的漏洞更廣泛被利用
事實上恰恰相反。
據美國系統網絡安全協會(SANS Institute)發布的《2009年幾大網絡安全風險》報告顯示,應用程序方面打補丁的步伐要比操作系統方面慢得多,不過客戶端的漏洞在網絡威脅領域仍然占主體。微軟自己的《安全情報報告第8卷》也指出,據他們的數據顯示,第三方漏洞比專門針對Windows操作系統的漏洞更廣泛被利用。只要看一下BLADE Defender的實驗室實時感染數據,就可以得出類似結論,特別容易被壞人盯上的是應用程序,而不是瀏覽器。此外,容易被壞人利用是一回事,實際的感染率完全是另一回事。舉例來說,Secunia公司最近發布的報告表明,從2005年到2010年間,產品中漏洞數量最多的是蘋果公司。而即使我們不考慮Mac OS X的市場份額與微軟Windows的市場份額相比明顯存在差異,從理論上來說,蘋果的用戶也應該不斷受到來自各方面的攻擊。為什么我們沒有看到這一幕呢?原因很簡單,一個嚴酷的現實是,壞人們以前采用的攻擊手法是針對特定的開發商或應用程序,而現在采用了"針對所有開發商/應用程序"的攻擊手法;也就是說,感染率的高低并不是取決于擁有最多漏洞的開發軟件/產品,而是取決于最終用戶方面沒有打補丁。從根本上來說,就算某家開發商的漏洞數量相對較少,但用戶沒有打補丁,或者開發商缺乏一條完善的溝通渠道,這些用戶也會被成功感染。因而,有的開發商很容易中招,但事實上不常中招;而有的開發商因用戶沒及時打上補丁而不斷中招,區別就在于后者與用戶之間的溝通模式存在著缺陷。
五、一旦發布了針對某個漏洞的補丁,就完事了
零日漏洞方面最常見的一個誤區就是,一旦發布了補丁,對開發商來說就完事了,因為現在它在處理這個漏洞方面已經盡到了責任。
緊接著微軟正版驗證計劃(WGA)開展的用戶溝通是整個過程的第二個階段,但正是由于用戶溝通工作未得到優先考慮,才導致了目前的這種情形:世界上規模最龐大的僵尸網絡之一Conficker在繼續添加新的主機,盡管已經發布了相應補丁。多家軟件開發商上演了同樣的一幕,它們的用戶絲毫不知道自己因半年前已發布了補丁的漏洞而受到感染。從Mozilla基金會令人肅然起敬的舉動上,最能看出第二個階段缺乏溝通的這個問題:Mozilla基金會為最終用戶竭力提供保護,開展了插件檢查(Plugin Check)之類的計劃;插件檢查計劃還為使用與之競爭的其他瀏覽器的用戶提供插件檢查服務。從安全意識的角度來看,只有那些流量很大的網站也有同樣關注社會的觀念,才完全有可能比其他任何網站更能帶來大范圍的積極影響。
六、為了促使開發商給漏洞打上補丁,全面披露有助于社區及用戶
雖然實踐證明,這個做法可以促使開發商開始優先考慮漏洞的存在(它們之前不相信漏洞存在),但是第五點討論的開發商與用戶之間存在缺陷的溝通實際上破壞了這個做法的效果。
為什么會這樣?原因很簡單。如果最終用戶半年來一直在用過時的第三方應用程序和瀏覽器插件來使用互聯網,他們還會繼續這么用下去,哪怕他們認為自己意識到"補丁星期二"。由于最終用戶對反病毒解決方案的效果抱著過高的期望,還會繼續成為受害者,卻忘了預防勝于治療的這個道理。由于缺乏操作系統之外的"軟件資產管理",或者說缺乏安全意識,沒有認識到壞人們采用的廣泛使用的感染手法,這無形中幫助他們每天在有效地感染成千上萬個新用戶。
七、數據泄密事件之所以急劇增長,零日漏洞起到了關鍵作用
據韋里遜公司(Verizon)最近發布的《數據泄露調查報告》顯示,真相實際上要比這有意思得多。
報告指出,依據韋里遜的數據樣本,"沒有哪一起得到證實的入侵事件利用了某個可以打上補丁的漏洞"。那么,壞人們又是在如何危及這些網絡/服務器,導致數十萬條的敏感記錄泄露出去呢?其手段就是盡量簡單,瞄準配置不安全的互聯網應用程序,使用定制的惡意軟件,或者基本上采取其余各種方法,但是側重于發現和利用零日漏洞來達到目標。
本文的目的絕不是要否定零日漏洞對于潛在攻擊者、甚至對于網絡間諜的重要性。相反,本文旨在客觀如實地剖析這個真相:網絡犯罪生態系統在繼續蓬勃發展,不需要零日漏洞的參與;只要數以百萬的最終用戶繼續因半年前的漏洞而受到危及,那么這個生態系統就會常盛不衰。
