扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在本页阅读全文(共2页)
三、零日漏洞关系到针对性攻击/高级持续威胁活动的成败
虽然零日漏洞乍一看似乎是成功闯入重要网络的基础。
重要网络本该比普通网民使用的个人电脑得到更好的保护,但还是有众多案例表明情况并非如此。也许最近讨论最广泛的其中一个案例就是谷歌因间谍事件而退出中国。与恶意攻击者过招,想做到先发制人,就要想其所想。为什么他们不试图发现谷歌自己的浏览器Chrome当中的漏洞呢?这款浏览器应该是该公司合理的浏览器选择。毫无疑问,那是由于众多个人电脑还在使用IE6浏览器,攻击者就可以搜集这些电脑上的信息。不过,我要说的是这个可能性很大:利用Adobe的产品中普遍存在的漏洞,同样可以利用正好运行IE6浏览器的这些个人电脑。为什么?那是由于谷歌觉得IE6不安全,而正是缺乏安全审计使得IE6无法在谷歌的主机上运行。至于针对性攻击/高级持续威胁类型的活动,每个季度都会有犯罪团队显然热衷于感染高价值目标,重新策划发布ZeuS犯罪软件的活动,完全以政府和军方网站为攻击对象。这些活动在零日漏洞环境下的特别之处在于,它们借助放在受危及网站上的二进制代码,依靠目标用户的人工交互,而不是依靠零日漏洞。虽然零日漏洞是"所希望的",但是在我看来,它们并不是针对性攻击得逞的关键。
四、针对特定操作系统的漏洞比第三方应用程序比/插件的漏洞更广泛被利用
事实上恰恰相反。
据美国系统网络安全协会(SANS Institute)发布的《2009年几大网络安全风险》报告显示,应用程序方面打补丁的步伐要比操作系统方面慢得多,不过客户端的漏洞在网络威胁领域仍然占主体。微软自己的《安全情报报告第8卷》也指出,据他们的数据显示,第三方漏洞比专门针对Windows操作系统的漏洞更广泛被利用。只要看一下BLADE Defender的实验室实时感染数据,就可以得出类似结论,特别容易被坏人盯上的是应用程序,而不是浏览器。此外,容易被坏人利用是一回事,实际的感染率完全是另一回事。举例来说,Secunia公司最近发布的报告表明,从2005年到2010年间,产品中漏洞数量最多的是苹果公司。而即使我们不考虑Mac OS X的市场份额与微软Windows的市场份额相比明显存在差异,从理论上来说,苹果的用户也应该不断受到来自各方面的攻击。为什么我们没有看到这一幕呢?原因很简单,一个严酷的现实是,坏人们以前采用的攻击手法是针对特定的开发商或应用程序,而现在采用了"针对所有开发商/应用程序"的攻击手法;也就是说,感染率的高低并不是取决于拥有最多漏洞的开发软件/产品,而是取决于最终用户方面没有打补丁。从根本上来说,就算某家开发商的漏洞数量相对较少,但用户没有打补丁,或者开发商缺乏一条完善的沟通渠道,这些用户也会被成功感染。因而,有的开发商很容易中招,但事实上不常中招;而有的开发商因用户没及时打上补丁而不断中招,区别就在于后者与用户之间的沟通模式存在着缺陷。
五、一旦发布了针对某个漏洞的补丁,就完事了
零日漏洞方面最常见的一个误区就是,一旦发布了补丁,对开发商来说就完事了,因为现在它在处理这个漏洞方面已经尽到了责任。
紧接着微软正版验证计划(WGA)开展的用户沟通是整个过程的第二个阶段,但正是由于用户沟通工作未得到优先考虑,才导致了目前的这种情形:世界上规模最庞大的僵尸网络之一Conficker在继续添加新的主机,尽管已经发布了相应补丁。多家软件开发商上演了同样的一幕,它们的用户丝毫不知道自己因半年前已发布了补丁的漏洞而受到感染。从Mozilla基金会令人肃然起敬的举动上,最能看出第二个阶段缺乏沟通的这个问题:Mozilla基金会为最终用户竭力提供保护,开展了插件检查(Plugin Check)之类的计划;插件检查计划还为使用与之竞争的其他浏览器的用户提供插件检查服务。从安全意识的角度来看,只有那些流量很大的网站也有同样关注社会的观念,才完全有可能比其他任何网站更能带来大范围的积极影响。
六、为了促使开发商给漏洞打上补丁,全面披露有助于社区及用户
虽然实践证明,这个做法可以促使开发商开始优先考虑漏洞的存在(它们之前不相信漏洞存在),但是第五点讨论的开发商与用户之间存在缺陷的沟通实际上破坏了这个做法的效果。
为什么会这样?原因很简单。如果最终用户半年来一直在用过时的第三方应用程序和浏览器插件来使用互联网,他们还会继续这么用下去,哪怕他们认为自己意识到"补丁星期二"。由于最终用户对反病毒解决方案的效果抱着过高的期望,还会继续成为受害者,却忘了预防胜于治疗的这个道理。由于缺乏操作系统之外的"软件资产管理",或者说缺乏安全意识,没有认识到坏人们采用的广泛使用的感染手法,这无形中帮助他们每天在有效地感染成千上万个新用户。
七、数据泄密事件之所以急剧增长,零日漏洞起到了关键作用
据韦里逊公司(Verizon)最近发布的《数据泄露调查报告》显示,真相实际上要比这有意思得多。
报告指出,依据韦里逊的数据样本,"没有哪一起得到证实的入侵事件利用了某个可以打上补丁的漏洞"。那么,坏人们又是在如何危及这些网络/服务器,导致数十万条的敏感记录泄露出去呢?其手段就是尽量简单,瞄准配置不安全的互联网应用程序,使用定制的恶意软件,或者基本上采取其余各种方法,但是侧重于发现和利用零日漏洞来达到目标。
本文的目的绝不是要否定零日漏洞对于潜在攻击者、甚至对于网络间谍的重要性。相反,本文旨在客观如实地剖析这个真相:网络犯罪生态系统在继续蓬勃发展,不需要零日漏洞的参与;只要数以百万的最终用户继续因半年前的漏洞而受到危及,那么这个生态系统就会常盛不衰。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。