沉默是否比披露零日漏洞更好

一段時(shí)間以來(lái)，人們都知道西方政府網(wǎng)絡(luò)機(jī)構(gòu)囤積了零日漏洞，希望能在目標(biāo)的聯(lián)網(wǎng)設(shè)備中找到利用這些漏洞的方法。與此同時(shí)，安全研究人員敦促這些政府盡快公布這些漏洞的發(fā)現(xiàn)，以便在罪犯和不那么友好的政府發(fā)現(xiàn)并利用這些漏洞之前迅速修補(bǔ)這些漏洞。

現(xiàn)在，一項(xiàng)新的研究表明，保持沉默可能是保護(hù)社會(huì)的更好方法，因?yàn)榱闳毡话l(fā)現(xiàn)的幾率很低。

這項(xiàng)研究由美國(guó)進(jìn)行從2002年到2006年，美國(guó)蘭德公司發(fā)現(xiàn)了200個(gè)零日漏洞和它們的漏洞。此外，兩個(gè)人發(fā)現(xiàn)相同漏洞的可能性——研究人員稱之為碰撞率——大約是每年5.7%。

報(bào)告認(rèn)為，這兩個(gè)事實(shí)表明，披露漏洞所能提供的保護(hù)程度可能是有限的，而對(duì)那些既想保護(hù)自己的系統(tǒng)、又想利用他人系統(tǒng)漏洞的人來(lái)說(shuō)，保持沉默——或“囤積”——漏洞可能是一個(gè)合理的選擇。

維基解密上周公布了一份據(jù)稱是美國(guó)中央情報(bào)局(CIA)工具的黑客檔案，這些工具被用來(lái)利用多種設(shè)備的漏洞，這份報(bào)告增加了人們對(duì)此的興趣。

“典型的‘白帽’研究人員更有動(dòng)力在發(fā)現(xiàn)零日漏洞后立即通知軟件供應(yīng)商，”該研究的主要作者、蘭德公司的信息科學(xué)家莉蓮·阿布龍(Lillian Ablon)在新聞發(fā)布會(huì)上說(shuō)。“其他的，像系統(tǒng)安全滲透測(cè)試公司和‘灰色帽子’實(shí)體，有動(dòng)力儲(chǔ)存它們。但是決定是儲(chǔ)存還是公開(kāi)披露一個(gè)“零日漏洞”——或其相應(yīng)的“利空”——是一個(gè)權(quán)衡的游戲，尤其是對(duì)政府而言。

“從國(guó)家政府的角度來(lái)看，如果一個(gè)人的對(duì)手也知道這個(gè)漏洞，那么公開(kāi)披露這個(gè)漏洞將有助于加強(qiáng)自己的防御，迫使受影響的供應(yīng)商實(shí)施一個(gè)補(bǔ)丁，防止對(duì)手利用這個(gè)漏洞攻擊他們，”Ablon說(shuō)。“另一方面，公開(kāi)披露一個(gè)對(duì)手不知道的漏洞會(huì)讓他們占上風(fēng)，因?yàn)閷?duì)手可以利用這個(gè)漏洞抵御任何攻擊，同時(shí)仍然保留一個(gè)只有自己知道的漏洞清單。”在這種情況下，囤積是最好的選擇。”

在研究的200多個(gè)零日漏洞和漏洞利用中，近40%仍是公開(kāi)未知的。25%的脆弱性活不過(guò)1.5年，而另外25%的脆弱性活過(guò)了9.5年。

一旦發(fā)現(xiàn)一個(gè)可利用的漏洞，開(kāi)發(fā)一個(gè)完全有效的漏洞的時(shí)間相對(duì)較快，平均時(shí)間為22天。

雖然零日的平均壽命很長(zhǎng)可能支持囤積漏洞的論點(diǎn)，但報(bào)告也指出，發(fā)現(xiàn)漏洞的機(jī)會(huì)仍然存在。作者寫(xiě)道:“一些人可能會(huì)認(rèn)為，如果其他人(尤其是對(duì)手)有可能發(fā)現(xiàn)同樣的零日漏洞，那么保持零日隱私并讓一個(gè)群體處于脆弱狀態(tài)的潛在嚴(yán)重后果，就有必要立即披露和修補(bǔ)漏洞。”

“按照這種思路，最好的決定可能是，只有在確信沒(méi)有其他人能找到零日的情況下，才囤積核武器;否則披露。”