揭穿零日漏洞的七大误区

　　又过了一个月，又有一个零日漏洞被报告，而恶意攻击者借助恶意软件，发动了钻这个漏洞空子的攻击，充分利用了机会窗口。由于某软件开发商让数以百万计的用户几个星期"敬请关注"，网络犯罪生态系统中关于零日漏洞方面的误区和猜测越来越多。

　　零日漏洞是坏人们一直在寻找的目标吗?零日漏洞攻击在这伙人的"经营模式"当中到底有多普遍?零日漏洞是否关系到针对性攻击的成败?

　　下面就让我们一一揭穿零日漏洞方面的七大误区;我们借助了可公开获得的数据，对于网络犯罪生态系统内幕的了解，当然还有常识(比如现在的恶意攻击者似乎具备的常识)。

　　一、零日漏洞是推动网络犯罪生态系统发展的主要因素

　　离真相十万八千里。

　　2010年，推动网络犯罪生态系统发展的主要因素是，数以百万计的最终用户和公司用过时的第三方应用程序和插件来使用互联网。由于当前的趋势由原来利用针对特定操作系统的漏洞，转为利用客户端的漏洞，或者是老式的社会工程学攻击，而最终用户/公司对于当前的安全威胁状况又相当缺乏深谋远虑，这导致恶意攻击者普遍能够得逞。如此说来，如果说坏人们依靠的不是零日漏洞，作为其经营模式基础的又是什么呢?那就是全球普遍缺乏安全意识，结果导致用户屡屡点击中招(那是由于坏人们轮换着采用社会工程学伎俩)，众多不安全的应用程序/插件在普通的联网个人电脑上运行，以及当前的网络犯罪生态系统出现了自己动手(DIY)或网络犯罪即服务的状况，从而让毫无经验的攻击者也能获得高级的攻击工具，这一切促成了生态系统的蓬勃发展。

　　二、零日漏洞是网络犯罪分子们一直在寻找的目标

　　如果零日漏洞真是他们一直在寻找的目标，那么网络犯罪生态系统也许永远不会发展成熟、变成今天这样的高效赚钱机器。

　　为什么?从根本上来说，坏人们突然意识到了一点，那就是：不光劫持足够多特定流量的可能性很大，从而可以攻击数量众多的用户;而且不费吹灰之力就能找到零日漏洞，那样他们就可以把时间和资源用在其他方面。这对一些人来说是边缘思想(marginal thinking)，而对另一些人来说是保持简单(KISS)原则;总之，这是目前推动网络犯罪经营模式发展的动因--行动准则基于严酷的现实，而不是设想打上完美补丁的世界应该是什么样。之所以会有零日漏洞是坏人们一直在寻找的目标这个误区，那是源自零日漏洞黑市这个概念;这个市场与几年前相比得到了极大的发展。以前是针对特定的操作系统，而现在针对特定的客户端;这个市场现在很注重实际，一切以利用互联网应用程序的漏洞为中心。坏人们之所以转移关注的目标，唯一的原因是由于前面第一点提到的他们幡然醒悟;也就是说，他们现在认识到了数以百万计的用户存在过时的漏洞，很容易遭到攻击;于是他们将目标锁定流行的互联网应用程序，那样他们就可以发动大规模的SQL注射攻击或者针对特定应用程序的攻击，从而劫持流量，这正是他们目前感兴趣的方面。