BlackHat2017:零日漏洞的二次发现率远高于预期

[[198913]]

哈佛大学发布的最新研究结论表明，零日漏洞这类软件安全缺陷被二次发现的速度要远快于以往安全人员们的想象。

零日漏洞二次发现的危害

事实上，零日漏洞的二次发现率对于美国的网络安全政策存在很大影响。这是因为美国情报机构在发现零日漏洞后，相关人员往往会采取秘而不宣的作法，并借此通过网络行动窥探他国竞争对手。但二次发现率高企则会迫使相关人员重新考虑如何对这些漏洞进行修复或者保密。

哈佛大学贝尔弗中心博士后研究员崔伊·赫尔指出，“如果二次发现率如此之高，那么应当下调用于网络行动的‘秘密保留’漏洞的具体数量，或者进行更为积极的相关安全审查。”

除了赫尔之外，安全技术大师布鲁斯·施奈尔与哈佛大学工程学院研究助理克里斯托弗·莫里斯也一同参与了上周研究结果的发表，他们还将在本周于拉斯维加斯举行的美国黑帽大会上公布这份已经经过同行长期评议的报告。

由于全球软件市场的固有性质，即世界各地的人员与企业皆采用相同的软件程序。这种高企的漏洞二次发现率意味着美国发现并保有的安全漏洞很可能被国外情报部门乃至网络犯罪分子以独立方式再次发现，从而抢在相关供应商将其修复之前利用此对抗美国。

赫尔解释称，相关数据表明，黑客“实际使用的零日漏洞当中，有三分之一”可能美国机构已秘密知晓。他同时指出，这意味着在被网络间谍或者犯罪分子用于攻击行动之前，这些安全漏洞本可以得到及时修复。

另一些研究人员则提出质疑，认为这样的结论并无法从研究人员们提供的数据当中确切得出。

白宫网络安全局长罗伯·乔伊斯即抱有这样的疑问。他目前正在对“漏洞公平裁决程序”进行审查，这项政策负责决定发现零日漏洞的美国企业是否应当向相关供应商披露信息，抑或选择将其保留并用于执行网络攻击。不过白宫方面并没有回应关于此次新数据的评论请求。

二次漏洞相关数据

哈佛大学研究人员们在论文当中提及的数字较此前小规模研究披露的对应数字高出几倍，作者希望这样的结果能够迫使“漏洞公平裁决程序”对具体要求作出重新考量。

各位作者分析了来自四套bug追踪数据库的安全漏洞报告，其中记录有研究人员在目前世界范围内使用最为广泛的各类开源软件中发现的安全漏洞，具体包括：

Mozilla公司的火狐浏览器2012年到2016年版本。

Open SSL代码库2014年到2016年版本。

Android操作系统2015年到2016年版本。

谷歌Chromium浏览器(即Chrome的开源版本，二者共享大部分源代码)2009年到2016年版本。

最后一套数据库则提供了全部8698个安全漏洞中的超过四分之三比例。

为了缩小数据范围，作者们仅关注最为严重的漏洞，即4307项被评为“危险”或者“高危”的安全漏洞。

赫尔在接受采访时指出，这是因为问题严重程度越高，相关记录就越是详尽(为了更加准确地反映情报机构需要寻找并利用的相关漏洞)。

赫尔指出，“对我们来说，相关数据的可访问性相当惊人”，而且大部分直接公开。但他同时补充称，“但整理工作非常麻烦，需要投入大量精力进行归纳。”

2016二次发现概率逼近20%

总结来讲，报告指出最近七年以来，每年零日漏洞的二次发现率都保持在15%到20%之间，但这一水平正在稳步提升，且在去年几乎逼近20%。

今年3月RAND公司发布的研究报告则显示，其整理200项零日漏洞后得出的二次发现率低于6%。而曾任奥巴马政府资深网络安全官员的安迪·奥赞特则在2005年发布的研究结果中指出，2002年到2004年当中与微软相关之零日漏洞二次发现率为8%。其它研究同样认为此类漏洞的二次发现率低于10%。

漏洞二次发现的实际概率高于现有数据

赫尔表示，这些研究主要基于规模较小且多样性较差的样本，且通常并未直接涉及二次发现问题。

他在评论RAND研究报告时指出，“这是一份出色的论文，但问题在于其探究方向有所不同。这篇论文的主旨在于‘零日漏洞的秘密能够保持多久?’有些偏见可能会对数据的具体解读产生扭曲。”

而最具争议的是，哈佛方面的论文在计划当中，选择计算已经被发现实际应用的零日漏洞同美国情报机构可能已经秘密掌握的漏洞间的比值。

根据哥伦比亚大学的杰森·海利此前估算得出的国安局零日漏洞掌握数量，再配合赛门铁克公布的相关数据，即2015年内共有54项零日漏洞被用于实际攻击。最终发现“政府保有之零日漏洞在2015年年内的二次发现率大约在7.5%到33%之间。”

然而这些数字正面临着其他研究人员的挑战。

要想分析真实数据巨困难

网络安全企业Immunity公司CEO大卫·阿泰尔在接受邮件采访时指出，“我认为具体数据并不像他们想象的那么广泛，这对于一篇学术报告来说非常致命。”

在此后的一篇博文当中，他进一步补充称研究人员们在数据集中纳入的不少漏洞似乎都是通过混淆方式(这是一种相对基本的黑客技术)所发现。他同时强调道，“对此类数据进行分析非常困难，需要对安全漏洞拥有深入了解，同时亦需要进行大量无聊的数据分析工作。”

在Twitter上，阿泰尔指出这项研究结合了由“Bug赏金猎人”及白帽黑客发现的bug，再加上另外一组存在巨大差异的数据集：“你的对手可能发现的bug”。

但他同时承认，要想找到这个问题的完美答案，即同时为美国及国外情报机构或者其他攻击者所掌握的零日漏洞数量，基本上是不可能的。

他在邮件当中解释称，“对美国、中国与俄罗斯三方掌握的零日漏洞进行汇总，需要三国同时介入并给予协助。”

赫尔则认为，无论具体数字如何，这一问题已经非常严重且亟待解决，况且“每年超过10项零日漏洞已经足以构成严重的安全威胁。