零日漏洞零時差漏洞(英語:zero-day vulnerability0-day vulnerability)是指軟件或硬件中還沒有有效補丁安全漏洞,並且其供應商通常不知曉,而零日攻擊零時差攻擊(英語:zero-day exploitzero-day attack)則是指利用這種漏洞進行的攻擊。由於漏洞已經被描述或被利用,留給軟/硬件供應商來準備補丁的時間只有「零天」。

儘管只有少數網絡攻擊是基於零日漏洞的,但通常認為這比已知漏洞具有更大威脅,因為可以採取的對策更少。

國家是零日漏洞的主要使用者,因為發現、購買和編寫攻擊軟件的代價都很高。許多漏洞是由黑客或安全研究人員發現的,除了留作己用,他們還可能會向軟/硬件供應商披露這些漏洞(通常是為了換取漏洞賞金),亦或是出售給國家或犯罪集團。在許多流行的軟件公司開始對消息和數據進行加密之後,零日漏洞的使用有所增加,因為被加密的數據一般只能通過在其尚未被加密時入侵軟件來獲取。

定義

編輯

儘管開發人員的目標是交付完全按預期工作的產品,但實際上所有軟件硬件英語Hardware bug都包含錯誤。[1]如果一個錯誤造成了安全風險,它就被稱為漏洞。漏洞的可利用性因惡意攻擊者而異。有些漏洞根本無法利用,而另一些漏洞則可被用於通過拒絕服務攻擊擾亂設備。最有價值的漏洞允許攻擊者在用戶不知情的情況下注入並運行他們自己的代碼。[2]

雖然「零日」一詞最初指的是軟硬件供應商意識到漏洞後的時間,但零日漏洞也可以定義為沒有補丁或其他修復程序可用的漏洞的部分集合。[3][4][5]零日攻擊是指利用此類漏洞的任何攻擊。[2]

漏洞利用

編輯

漏洞利用是指利用漏洞侵入目標系統以達到破壞操作、安裝惡意軟件竊取數據等目的的傳送機制。[6] 研究人員 Lillian Ablon 和 Andy Bogart 寫道,「關於零日漏洞利用的真實程度、用途、益處和危害,我們知之甚少」。[7] 基於零日漏洞的漏洞利用被認為比利用已知漏洞的漏洞利用更危險。[8][9] 然而,大多數網絡攻擊很可能利用的是已知漏洞,而不是零日漏洞。[7]

國家是零日漏洞利用的主要使用者,這不僅是因為發現或購買漏洞的成本高昂,還因為編寫攻擊軟件的成本也很高。然而,任何人都可以使用漏洞,[4] 根據蘭德公司的研究,「任何堅決的攻擊者都可以以可承受的價格獲得針對幾乎任何目標的零日漏洞」。[10] 許多定向攻擊[11] 和大多數高級持續性威脅都依賴於零日漏洞。[12]

據估計,從零日漏洞開發漏洞利用的平均時間為 22 天。[13] 由於流行軟件中反漏洞利用功能的增強,開發漏洞利用的難度一直在增加。[14]

漏洞窗口

編輯
 
漏洞時間線與曝光窗口

零日漏洞通常分為活漏洞(alive vulnerabilities):指未向公眾披露的漏洞;以及死漏洞(dead vulnerabilities):指已被公開披露但尚未修補的漏洞。活漏洞分為正被維護者積極尋找的活躍漏洞(living vulnerabilities);以及無維護軟件中的永生漏洞(immortal vulnerabilities)。另外殭屍漏洞(zombie vulnerabilities)是指已在新版本中被修補,但能夠在舊版本的軟件中被利用的漏洞。[15][16]

即使是公開已知和殭屍漏洞,也經常可以在很長一段時間內被利用。[17][18] 安全補丁的開發可能需要幾個月的時間,[19] 甚至可能永遠不會被開發出來。[18] 補丁可能會對軟件的功能產生負面影響,[18] 用戶可能需要測試補丁以確認其功能和兼容性。[20] 較大的組織可能無法識別和修補所有依賴項,而較小的企業和個人用戶可能不會安裝補丁。[18] 研究表明,如果漏洞被公開或發布了補丁,則網絡攻擊的風險會增加。[21] 網絡犯罪分子可以對補丁進行逆向工程以找到潛在的漏洞並開發漏洞利用,[22] 而且速度通常比用戶安裝補丁的速度更快。[21]

根據蘭德公司 2017 年發布的研究報告,零日漏洞的平均可利用時間為 6.9 年,[23] 而從第三方購買的零日漏洞的平均可利用時間僅為 1.4 年。[13] 研究人員無法確定任何特定平台或軟件(例如開源軟件)是否與零日漏洞的生命周期有任何關係。[24] 儘管蘭德公司的研究人員發現,5% 的秘密零日漏洞會被其他人發現,[23] 但另一項研究發現,重疊率更高,每年高達 10.8% 至 21.9%。

防禦措施

編輯

由於零日漏洞利用的定義是尚無補丁可以阻止的漏洞,因此所有使用存在漏洞的軟件或硬件的系統都處於風險之中,包括銀行和政府等所有補丁都已更新的安全系統。[25] 殺毒軟件通常無法有效抵禦被零日攻擊引入的惡意軟件。[26] 安全系統的設計是圍繞已知漏洞展開的,而零日漏洞利用插入的惡意軟件可能會在系統中長時間運行而不被發現。[18]儘管已經有很多關於有效檢測零日漏洞利用的系統提案,但這在2023年仍然在研究領域活躍。[27]

許多組織已經採取了縱深防禦策略,因此攻擊很可能需要突破多級安全防護,這增加了攻擊的難度。[28] 常規的網絡安全措施,如培訓和訪問控制(如多因素身份驗證最小權限原則物理隔離),使得利用零日漏洞入侵系統變得更加困難。[29] 由於編寫完全安全的軟件是不可能的,一些研究人員認為,提高漏洞利用的成本是減少網絡攻擊負擔的有效策略。[30]

解決方法

編輯

一般而言,零時差攻擊唯一徹底解決方法便是由原軟體發行公司提供修補程序,但此法通常較慢,因此資安軟體公司通常會在最新的病毒碼中提供迴避已知零時差攻擊的功能,但無法徹底解決漏洞本身[31]。根據賽門鐵克第14期網絡安全威脅研究在2008年分析的所有瀏覽器中,Safari平均要在漏洞出現9天後才會完成修補,需時最久。Mozilla Firefox平均短於1天,需時最短[32]

市場

編輯

零時差攻擊及其利用代碼不僅對犯罪黑客而言具有極高的利用價值,一些國家間諜網軍部隊,例如美國國家安全局美國網戰司令部也非常重視這些信息[33]

 
不同類型漏洞利用程序的平均價格比較,2015-2022 年

零日漏洞利用程序可以賣到數百萬美元。[4] 買家主要有三類:[34]

  • 白帽:漏洞的發現者將其出售給供應商,或將其披露給第三方機構(如 Zero Day Initiative英語Zero Day Initiative),再由第三方機構轉告供應商。此類披露通常是為了獲得漏洞賞金[35][36][37] 然而,並非所有公司都對漏洞披露持積極態度,因為這可能會導致法律責任和運營負擔。有甚者在無償披露漏洞後,收到供應商的停止並終止函並不少見。[38]
  • 灰帽:這是規模最大、[4]獲利最豐厚的市場。政府或情報機構購買零日漏洞後,可能會將其用於攻擊、儲存漏洞或通知供應商。[34] 美國聯邦政府是最大的買家之一。[4] 截至 2013 年,五眼聯盟(美國、英國、加拿大、澳大利亞和新西蘭)占據了該市場的大部分份額,其他重要買家包括俄羅斯、印度、巴西、馬來西亞、新加坡、朝鮮和伊朗。後來,中東國家也加大了在該領域的支出。[39]
  • 黑帽:有組織犯罪集團,他們通常更中意漏洞利用程序,而不僅僅是漏洞信息。[40] 這些使用者更有可能使用「半日漏洞」,即已有補丁可用的漏洞。[41]

2015 年,政府和犯罪集團的零日漏洞市場規模估計至少是白帽市場的十倍。[34]賣家通常是黑客組織,他們尋找廣泛使用的軟件中的漏洞以獲取經濟利益。[42] 有些賣家只向特定買家出售,而另一些賣家則向任何人出售。[41] 白帽賣家更有可能受到非金錢獎勵的激勵,例如認可和智力挑戰。[43] 出售零日漏洞利用程序是合法的。[37][44] 儘管有人呼籲加強監管,但法律教授梅林·菲德勒(Mailyn Fidler)表示,達成國際協議的可能性很小,因為俄羅斯和以色列等關鍵參與者對此不感興趣。[44]

在零日漏洞交易中,買賣雙方往往非常隱秘,依靠保密協議機密信息法律來保守漏洞的秘密。如果漏洞被公開,就可以對其進行修補,其價值也會隨之崩潰。[45] 由於市場缺乏透明度,各方可能難以找到公平的價格。如果漏洞在得到驗證之前就被披露,或者買方拒絕購買但仍然使用了該漏洞,賣家可能無法獲得報酬。隨着中間商的激增,賣家可能永遠不知道漏洞利用程序的最終用途。[46]買方也無法保證該漏洞沒有被出售給其他方。[47]買賣雙方都在暗網上發布廣告。[48]

2022 年發表的一項研究基於單個漏洞經紀人支付的最高價格,發現漏洞利用程序的價格年化通貨膨脹率為 44%。遠程零點擊漏洞利用程序的價格最高,而需要本地訪問設備的漏洞利用程序則便宜得多。[49]廣泛使用的軟件中的漏洞也更貴。[50]他們估計,大約有 400 到 1200 人向該經紀人出售漏洞利用程序,他們每年的平均收入約為 5000 到 20000 美元。[51]

披露與儲備

編輯

截至2017年 (2017-Missing required parameter 1=month!),關於美國政府是否應該披露其已知的漏洞以便進行修補,還是將其保密以供己用,一直存在爭論。[52]國家選擇對漏洞保密的原因包括希望將其用於進攻性目的,或用於滲透測試等防禦性目的。[10]而披露漏洞則可以降低消費者和所有軟件用戶成為惡意軟件數據泄露受害者的風險。[1]

歷史

編輯

在蘋果、谷歌、臉書和微軟等公司對服務器和信息進行加密之後,零日漏洞攻擊的重要性日益凸顯。這意味着訪問用戶數據的唯一方法是在數據被加密之前,在其源頭進行攔截。[25] 最著名的零日漏洞攻擊案例之一是震網病毒(Stuxnet),該病毒在 2010 年利用了四個零日漏洞對伊朗核計劃造成了破壞。[7]震網病毒展示了零日漏洞攻擊的潛在破壞力,也引發了零日漏洞市場的擴張。[39]

在美國大型科技公司拒絕在其軟件中安裝後門程序後,美國國家安全局(NSA)加大了對零日漏洞的搜尋力度,並責成特定入侵行動辦公室(TAO)發現和購買零日漏洞。[53] 2007 年,美國國家安全局前雇員查理·米勒英語Charlie Miller (security researcher)首次公開披露美國政府正在購買零日漏洞。[54] 2013 年,美國國家安全局承包商雇員 愛德華·斯諾登 泄露的文件中披露了有關美國國家安全局參與零日漏洞攻擊的一些信息,但缺乏細節。[53] 記者妮可·珀洛斯得出結論:「要麼是斯諾登作為承包商的身份無法讓他深入到政府系統中獲取必要的情報,要麼是政府獲取零日漏洞的一些來源和方法過於機密或具有爭議性,以至於該機構從未敢將其付諸筆端」。[55]

著名的零日攻擊

編輯

參考資料

編輯
  1. ^ 1.0 1.1 Ablon & Bogart 2017,第1頁.
  2. ^ 2.0 2.1 Ablon & Bogart 2017,第2頁.
  3. ^ Ablon & Bogart 2017,第iii, 2頁.
  4. ^ 4.0 4.1 4.2 4.3 4.4 Sood & Enbody 2014,第1頁.
  5. ^ Perlroth 2021,第7頁.
  6. ^ Strout 2023,第23頁.
  7. ^ 7.0 7.1 7.2 Ablon & Bogart 2017,第3頁.
  8. ^ Sood & Enbody 2014,第24頁.
  9. ^ Bravo & Kitchen 2022,第11頁.
  10. ^ 10.0 10.1 Ablon & Bogart 2017,第xiv頁.
  11. ^ Sood & Enbody 2014,第2-3, 24頁.
  12. ^ Sood & Enbody 2014,第4頁.
  13. ^ 13.0 13.1 Ablon & Bogart 2017,第xiii頁.
  14. ^ Perlroth 2021,第142頁.
  15. ^ Ablon, Lillian; Bogart, Andy. Zero Days, Thousands of Nights: The Life and Times of Zero-Day Vulnerabilities and Their Exploits. 2017-03-08 (英語). 
  16. ^ Ablon & Bogart 2017,第xi頁.
  17. ^ Ablon & Bogart 2017,第8頁.
  18. ^ 18.0 18.1 18.2 18.3 18.4 Sood & Enbody 2014,第42頁.
  19. ^ Strout 2023,第26頁.
  20. ^ Libicki, Ablon & Webb 2015,第50頁.
  21. ^ 21.0 21.1 Libicki, Ablon & Webb 2015,第49–50頁.
  22. ^ Strout 2023,第28頁.
  23. ^ 23.0 23.1 Ablon & Bogart 2017,第x頁.
  24. ^ Ablon & Bogart 2017,第xi-xii頁.
  25. ^ 25.0 25.1 Perlroth 2021,第8頁.
  26. ^ Sood & Enbody 2014,第125頁.
  27. ^ Ahmad et al. 2023,第10733頁.
  28. ^ Strout 2023,第24頁.
  29. ^ Libicki, Ablon & Webb 2015,第104頁.
  30. ^ Dellago, Simpson & Woods 2022,第41頁.
  31. ^ 馬培治. 零時差攻擊. DIGITIMES. 2009-07-08 [2018-02-02]. (原始內容存檔於2018-02-02) (中文(繁體)). 
  32. ^ 赛门铁克发布安全报告2008年病毒及恶意软件数量飙升. 資訊信息網. 2016-02-24. (原始內容存檔於2017-03-05) (中文(簡體)). 
  33. ^ KIM ZETTER. 黑客词库:何谓“零時差攻击”. 青島多芬諾信息安全技術有限公司. WIRED. 2014-12-15 [2018-02-02]. (原始內容存檔於2018-02-02) (中文(簡體)). 
  34. ^ 34.0 34.1 34.2 Libicki, Ablon & Webb 2015,第44頁.
  35. ^ Dellago, Simpson & Woods 2022,第33頁.
  36. ^ O'Harrow 2013,第18頁.
  37. ^ 37.0 37.1 Libicki, Ablon & Webb 2015,第45頁.
  38. ^ Strout 2023,第36頁.
  39. ^ 39.0 39.1 Perlroth 2021,第145頁.
  40. ^ Libicki, Ablon & Webb 2015,第44, 46頁.
  41. ^ 41.0 41.1 Libicki, Ablon & Webb 2015,第46頁.
  42. ^ Sood & Enbody 2014,第116頁.
  43. ^ Libicki, Ablon & Webb 2015,第46-47頁.
  44. ^ 44.0 44.1 Gooding, Matthew. Zero day vulnerability trade is lucrative but risky. Tech Monitor. 19 July 2022 [4 April 2024]. 
  45. ^ Perlroth 2021,第42頁.
  46. ^ Perlroth 2021,第57頁.
  47. ^ Perlroth 2021,第58頁.
  48. ^ Sood & Enbody 2014,第117頁.
  49. ^ Dellago, Simpson & Woods 2022,第31, 41頁.
  50. ^ Libicki, Ablon & Webb 2015,第48頁.
  51. ^ Dellago, Simpson & Woods 2022,第42頁.
  52. ^ Ablon & Bogart 2017,第iii頁.
  53. ^ 53.0 53.1 Perlroth 2021,第9頁.
  54. ^ Perlroth 2021,第60, 62頁.
  55. ^ Perlroth 2021,第10頁.

外部連結

編輯

參考來源

編輯