沉默是否比披露零日漏洞更好

一段時間以來，人們都知道西方政府網(wǎng)絡(luò)機(jī)構(gòu)囤積了零日漏洞，希望能在目標(biāo)的聯(lián)網(wǎng)設(shè)備中找到利用這些漏洞的方法。與此同時，安全研究人員敦促這些政府盡快公布這些漏洞的發(fā)現(xiàn)，以便在罪犯和不那么友好的政府發(fā)現(xiàn)并利用這些漏洞之前迅速修補(bǔ)這些漏洞。

現(xiàn)在，一項(xiàng)新的研究表明，保持沉默可能是保護(hù)社會的更好方法，因?yàn)榱闳毡话l(fā)現(xiàn)的幾率很低。

這項(xiàng)研究由美國進(jìn)行從2002年到2006年，美國蘭德公司發(fā)現(xiàn)了200個零日漏洞和它們的漏洞。此外，兩個人發(fā)現(xiàn)相同漏洞的可能性——研究人員稱之為碰撞率——大約是每年5.7%。

報告認(rèn)為，這兩個事實(shí)表明，披露漏洞所能提供的保護(hù)程度可能是有限的，而對那些既想保護(hù)自己的系統(tǒng)、又想利用他人系統(tǒng)漏洞的人來說，保持沉默——或“囤積”——漏洞可能是一個合理的選擇。

維基解密上周公布了一份據(jù)稱是美國中央情報局(CIA)工具的黑客檔案，這些工具被用來利用多種設(shè)備的漏洞，這份報告增加了人們對此的興趣。

“典型的‘白帽’研究人員更有動力在發(fā)現(xiàn)零日漏洞后立即通知軟件供應(yīng)商，”該研究的主要作者、蘭德公司的信息科學(xué)家莉蓮·阿布龍(Lillian Ablon)在新聞發(fā)布會上說。“其他的，像系統(tǒng)安全滲透測試公司和‘灰色帽子’實(shí)體，有動力儲存它們。但是決定是儲存還是公開披露一個“零日漏洞”——或其相應(yīng)的“利空”——是一個權(quán)衡的游戲，尤其是對政府而言。

“從國家政府的角度來看，如果一個人的對手也知道這個漏洞，那么公開披露這個漏洞將有助于加強(qiáng)自己的防御，迫使受影響的供應(yīng)商實(shí)施一個補(bǔ)丁，防止對手利用這個漏洞攻擊他們，”Ablon說。“另一方面，公開披露一個對手不知道的漏洞會讓他們占上風(fēng)，因?yàn)閷κ挚梢岳眠@個漏洞抵御任何攻擊，同時仍然保留一個只有自己知道的漏洞清單。”在這種情況下，囤積是最好的選擇。”

在研究的200多個零日漏洞和漏洞利用中，近40%仍是公開未知的。25%的脆弱性活不過1.5年，而另外25%的脆弱性活過了9.5年。

一旦發(fā)現(xiàn)一個可利用的漏洞，開發(fā)一個完全有效的漏洞的時間相對較快，平均時間為22天。

雖然零日的平均壽命很長可能支持囤積漏洞的論點(diǎn)，但報告也指出，發(fā)現(xiàn)漏洞的機(jī)會仍然存在。作者寫道:“一些人可能會認(rèn)為，如果其他人(尤其是對手)有可能發(fā)現(xiàn)同樣的零日漏洞，那么保持零日隱私并讓一個群體處于脆弱狀態(tài)的潛在嚴(yán)重后果，就有必要立即披露和修補(bǔ)漏洞。”

“按照這種思路，最好的決定可能是，只有在確信沒有其他人能找到零日的情況下，才囤積核武器;否則披露。”