哈佛大學發(fā)布的最新研究結(jié)論表明��,零日漏洞這類軟件安全缺陷被二次發(fā)現(xiàn)的速度要遠快于以往安全人員們的想象�。
成都創(chuàng)新互聯(lián)公司專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù),包含不限于網(wǎng)站設(shè)計制作��、網(wǎng)站設(shè)計���、新華網(wǎng)絡(luò)推廣���、微信小程序開發(fā)、新華網(wǎng)絡(luò)營銷�����、新華企業(yè)策劃�、新華品牌公關(guān)、搜索引擎seo���、人物專訪����、企業(yè)宣傳片����、企業(yè)代運營等�,從售前售中售后���,我們都將竭誠為您服務(wù)���,您的肯定,是我們最大的嘉獎�;成都創(chuàng)新互聯(lián)公司為所有大學生創(chuàng)業(yè)者提供新華建站搭建服務(wù),24小時服務(wù)熱線:028-86922220�����,官方網(wǎng)址:www.cdcxhl.com
零日漏洞二次發(fā)現(xiàn)的危害
事實上���,零日漏洞的二次發(fā)現(xiàn)率對于美國的網(wǎng)絡(luò)安全政策存在很大影響���。這是因為美國情報機構(gòu)在發(fā)現(xiàn)零日漏洞后����,相關(guān)人員往往會采取秘而不宣的作法,并借此通過網(wǎng)絡(luò)行動窺探他國競爭對手�。但二次發(fā)現(xiàn)率高企則會迫使相關(guān)人員重新考慮如何對這些漏洞進行修復(fù)或者保密���。
哈佛大學貝爾弗中心博士后研究員崔伊·赫爾指出,“如果二次發(fā)現(xiàn)率如此之高�����,那么應(yīng)當下調(diào)用于網(wǎng)絡(luò)行動的‘秘密保留’漏洞的具體數(shù)量�����,或者進行更為積極的相關(guān)安全審查�。”
除了赫爾之外�����,安全技術(shù)大師布魯斯·施奈爾與哈佛大學工程學院研究助理克里斯托弗·莫里斯也一同參與了上周研究結(jié)果的發(fā)表��,他們還將在本周于拉斯維加斯舉行的美國黑帽大會上公布這份已經(jīng)經(jīng)過同行長期評議的報告���。
由于全球軟件市場的固有性質(zhì)��,即世界各地的人員與企業(yè)皆采用相同的軟件程序�����。這種高企的漏洞二次發(fā)現(xiàn)率意味著美國發(fā)現(xiàn)并保有的安全漏洞很可能被國外情報部門乃至網(wǎng)絡(luò)犯罪分子以獨立方式再次發(fā)現(xiàn)�,從而搶在相關(guān)供應(yīng)商將其修復(fù)之前利用此對抗美國。
赫爾解釋稱����,相關(guān)數(shù)據(jù)表明,黑客“實際使用的零日漏洞當中���,有三分之一”可能美國機構(gòu)已秘密知曉��。他同時指出�,這意味著在被網(wǎng)絡(luò)間諜或者犯罪分子用于攻擊行動之前�,這些安全漏洞本可以得到及時修復(fù)。
另一些研究人員則提出質(zhì)疑���,認為這樣的結(jié)論并無法從研究人員們提供的數(shù)據(jù)當中確切得出���。
白宮網(wǎng)絡(luò)安全局長羅伯·喬伊斯即抱有這樣的疑問。他目前正在對“漏洞公平裁決程序”進行審查���,這項政策負責決定發(fā)現(xiàn)零日漏洞的美國企業(yè)是否應(yīng)當向相關(guān)供應(yīng)商披露信息���,抑或選擇將其保留并用于執(zhí)行網(wǎng)絡(luò)攻擊。不過白宮方面并沒有回應(yīng)關(guān)于此次新數(shù)據(jù)的評論請求��。
二次漏洞相關(guān)數(shù)據(jù)
哈佛大學研究人員們在論文當中提及的數(shù)字較此前小規(guī)模研究披露的對應(yīng)數(shù)字高出幾倍���,作者希望這樣的結(jié)果能夠迫使“漏洞公平裁決程序”對具體要求作出重新考量�。
各位作者分析了來自四套bug追蹤數(shù)據(jù)庫的安全漏洞報告���,其中記錄有研究人員在目前世界范圍內(nèi)使用最為廣泛的各類開源軟件中發(fā)現(xiàn)的安全漏洞����,具體包括:
Mozilla公司的火狐瀏覽器2012年到2016年版本��。
Open SSL代碼庫2014年到2016年版本�。
Android操作系統(tǒng)2015年到2016年版本。
谷歌Chromium瀏覽器(即Chrome的開源版本�,二者共享大部分源代碼)2009年到2016年版本。
最后一套數(shù)據(jù)庫則提供了全部8698個安全漏洞中的超過四分之三比例�����。
為了縮小數(shù)據(jù)范圍����,作者們僅關(guān)注最為嚴重的漏洞��,即4307項被評為“危險”或者“高?��!钡陌踩┒础?/p>
赫爾在接受采訪時指出����,這是因為問題嚴重程度越高,相關(guān)記錄就越是詳盡(為了更加準確地反映情報機構(gòu)需要尋找并利用的相關(guān)漏洞)�。
赫爾指出,“對我們來說�����,相關(guān)數(shù)據(jù)的可訪問性相當驚人”�����,而且大部分直接公開�����。但他同時補充稱���,“但整理工作非常麻煩�����,需要投入大量精力進行歸納�����?���!?/p>
2016二次發(fā)現(xiàn)概率逼近20%
總結(jié)來講����,報告指出最近七年以來,每年零日漏洞的二次發(fā)現(xiàn)率都保持在15%到20%之間�,但這一水平正在穩(wěn)步提升,且在去年幾乎逼近20%��。
今年3月RAND公司發(fā)布的研究報告則顯示��,其整理200項零日漏洞后得出的二次發(fā)現(xiàn)率低于6%�����。而曾任奧巴馬政府資深網(wǎng)絡(luò)安全官員的安迪·奧贊特則在2005年發(fā)布的研究結(jié)果中指出,2002年到2004年當中與微軟相關(guān)之零日漏洞二次發(fā)現(xiàn)率為8%���。其它研究同樣認為此類漏洞的二次發(fā)現(xiàn)率低于10%���。
漏洞二次發(fā)現(xiàn)的實際概率高于現(xiàn)有數(shù)據(jù)
赫爾表示,這些研究主要基于規(guī)模較小且多樣性較差的樣本��,且通常并未直接涉及二次發(fā)現(xiàn)問題����。
他在評論RAND研究報告時指出,“這是一份出色的論文�,但問題在于其探究方向有所不同。這篇論文的主旨在于‘零日漏洞的秘密能夠保持多久?’有些偏見可能會對數(shù)據(jù)的具體解讀產(chǎn)生扭曲��?����!?/p>
而最具爭議的是�����,哈佛方面的論文在計劃當中�,選擇計算已經(jīng)被發(fā)現(xiàn)實際應(yīng)用的零日漏洞同美國情報機構(gòu)可能已經(jīng)秘密掌握的漏洞間的比值��。
根據(jù)哥倫比亞大學的杰森·海利此前估算得出的國安局零日漏洞掌握數(shù)量��,再配合賽門鐵克公布的相關(guān)數(shù)據(jù)�,即2015年內(nèi)共有54項零日漏洞被用于實際攻擊���。最終發(fā)現(xiàn)“政府保有之零日漏洞在2015年年內(nèi)的二次發(fā)現(xiàn)率大約在7.5%到33%之間����?���!?/p>
然而這些數(shù)字正面臨著其他研究人員的挑戰(zhàn)���。
要想分析真實數(shù)據(jù)巨困難
網(wǎng)絡(luò)安全企業(yè)Immunity公司CEO大衛(wèi)·阿泰爾在接受郵件采訪時指出�,“我認為具體數(shù)據(jù)并不像他們想象的那么廣泛����,這對于一篇學術(shù)報告來說非常致命?�!?/p>
在此后的一篇博文當中��,他進一步補充稱研究人員們在數(shù)據(jù)集中納入的不少漏洞似乎都是通過混淆方式(這是一種相對基本的黑客技術(shù))所發(fā)現(xiàn)。他同時強調(diào)道��,“對此類數(shù)據(jù)進行分析非常困難���,需要對安全漏洞擁有深入了解���,同時亦需要進行大量無聊的數(shù)據(jù)分析工作?���!?/p>
在Twitter上,阿泰爾指出這項研究結(jié)合了由“Bug賞金獵人”及白帽黑客發(fā)現(xiàn)的bug�,再加上另外一組存在巨大差異的數(shù)據(jù)集:“你的對手可能發(fā)現(xiàn)的bug”。
但他同時承認�����,要想找到這個問題的完美答案��,即同時為美國及國外情報機構(gòu)或者其他攻擊者所掌握的零日漏洞數(shù)量���,基本上是不可能的�����。
他在郵件當中解釋稱����,“對美國、中國與俄羅斯三方掌握的零日漏洞進行匯總����,需要三國同時介入并給予協(xié)助?!?/p>
赫爾則認為,無論具體數(shù)字如何����,這一問題已經(jīng)非常嚴重且亟待解決��,況且“每年超過10項零日漏洞已經(jīng)足以構(gòu)成嚴重的安全威脅���。
文章名稱:BlackHat2017:零日漏洞的二次發(fā)現(xiàn)率遠高于預(yù)期
分享URL:
http://uogjgqi.cn/article/djhhsed.html
