安全厂商的价值何在?零日漏洞这事没完

作者:星期日, 三月 19, 20170
分享:

软件厂商会修复这些漏洞,但用户应该谨记,总有零日漏洞利用恣意生长。

美国CIA网络间谍武器库数据泄露之后,软件厂商重申了其及时修复漏洞的承诺,告诉用户:该机构被泄文档中描述的很多漏洞都已经被修复了。

从公共关系角度看来,这些保障都是可以理解的,但它们真心改变不了任何事。尤其是对被国家支持黑客所盯上的公司和用户来说。他们使用的软件,并不比维基解密公布了那 8,700+ CIA文档之前更不安全,也没有受到更好的防护。

被泄文件描述的是CIA网络部所用恶意软件工具和漏洞利用程序,可以黑进所有主流桌面和移动操作系统,以及网络设备和嵌入式设备,比如智能电视。这些文档不包含工具真实代码,其中一些可能说明问题的描述也被删去了。

维基解密创始人阿桑奇称,该揭秘网站会与软件厂商共享未公开的信息,以便漏洞能被修复。但即便维基解密这么做了,最好还是认清这些信息仅是适时出现的一帧快照而已。

这批文档中最近的时间戳是2016年3月初,可能揭示了文件从CIA系统中拷贝出来的时间。一些漏洞利用列表也提示了相同信息。

比如说,描述苹果iOS漏洞利用的页面,包含有一张按iOS版本排列的表格。这张表格终止于 iOS 9.2——在2015年12月发布的版本。下一个重要更新,iOS 9.3,就是在2016年3月发布的了。

代号Nandao的一个内核漏洞利用,来自英国政府通信总部(GCHQ),被列为对 iOS 8.0~9.2 有效。这是否意味着次漏洞对 iOS 9.3 及其后版本就不起作用呢?未必。更有可能的是,该表格终止于9.2,仅仅是因为CIA文件被复制时最新的版本就到9.2了。

而且,没有进一步细节描述的话,苹果公司也无法确定这个和其他漏洞利用是否已打上补丁。Nandao的唯一描述是:这是个堆溢出内存泄露漏洞,甚至连作用于哪个内核组件都没说。

“除非苹果获得漏洞完整描述,并进行了深入全面的根源分析,否则它无法确定更新的版本受不受影响。”漏洞情报公司 Risk and Security 首席研究官卡斯滕·艾拉姆表示。

影响其他软件的漏洞也是相同的情况。艾拉姆的公司已证实,其中一些漏洞已被修复,但有些仍在受影响软件的最新版本中可用,比如Prezi桌面演示软件中的DLL注入漏洞。

用户不应仅仅因为在被泄文件中被提到,就假定之后更新的版本就不受影响。

而且,即便所有这些漏洞都被提供给了厂商做修复,也不意味着CIA就没有更新的零日漏洞可用了。其漏洞获取工作可没在2016年3月就停止。

该机构在其内部文档被泄之时拥有没补上的漏洞利用,那现在就很可能手握流行程序和操作系统最新版本的类似漏洞。

总有零日漏洞在我们看不到的地方恣意生长,不仅仅在情报机构的手中。2015年意大利司法监视软件公司 Hacking Team 泄露事件,就揭示了该公司一直在从黑客手中购买零日漏洞利用。

这些年来,无数黑客组织都在其攻击中使用领日漏洞利用,有些使用得异常频繁,很可能囤积了一大批未修复的漏洞。还有私人代理支付大量钱财购买此类漏洞,再转手卖给其客户——司法部门和情报机构。

“该泄露很大程度上仅证实了此类机构的能力大大超出我们想象。”

艾拉姆认为,软件行业可以更好地防止开发人员在代码中引入漏洞,也可以创建各种功能让漏洞利用更难以实现,减少漏洞风险。但在可以预见的未来清除所有漏洞的魔杖是不存在的。若说有什么的话,年度统计数据显示,软件漏洞的数量实际上是在增加的。

“出于此原因,在不引发妄想的情况下,用户最好谨记:在数字世界遨游的时候,总有些人有实力想黑你就能黑。一点点逻辑、一咪咪怀疑、一些些安全意识,就能在物理和数字世界中都让你走得更远。”

可能成为网络间谍攻击目标的用户和公司,应采取多层次防御方法,不能单单依靠应用厂商补丁,还须将零日漏洞的存在纳入考虑。

 

分享:

相关文章

写一条评论

 

 

0条评论