地下軟件漏洞市場活躍 威脅Vista安全

當(dāng)Windows XP在5年前發(fā)布時(shí)，黑客查找其中缺陷的動(dòng)機(jī)是名譽(yù)而非經(jīng)濟(jì)利益。但是，現(xiàn)在軟件缺陷具有了真正的經(jīng)濟(jì)價(jià)值。它們的交易通常在網(wǎng)絡(luò)上進(jìn)行，而且買賣雙方都是合法的安全公司。

Vista成為了最新的目標(biāo)。iDefense Labs本月表示，它將為前6位找到Vista中缺陷的研究人員提供8000美元獎(jiǎng)金，并為利用這些缺陷的代碼提供4000美元。iDefense會(huì)將這些信息出售給企業(yè)和政府機(jī)關(guān)，幫助它們保護(hù)自己的Vista系統(tǒng)。

微軟等并不認(rèn)同這樣的獎(jiǎng)勵(lì)計(jì)劃，但它們面臨著更大的問題：互聯(lián)網(wǎng)犯罪分子愿意出更大的價(jià)錢，提前了解能夠供他們興風(fēng)作浪的軟件缺陷消息。

趨勢科技去年12月份指出，在一個(gè)羅馬尼亞互聯(lián)網(wǎng)論壇上看到一個(gè)售價(jià)為5萬美元的Vista缺陷。安全專家表示，這一價(jià)格似乎是可靠的，他們經(jīng)常會(huì)發(fā)現(xiàn)黑客在論壇上出售發(fā)現(xiàn)的軟件缺陷和利用這些缺陷的代碼。最受歡迎的所謂的“零日利用代碼”，因?yàn)檫@樣的代碼能夠迅速傳播。

傳統(tǒng)上，軟件廠商要求安全研究人員在發(fā)現(xiàn)缺陷后首先向它們通報(bào)，以便它們能夠開發(fā)補(bǔ)丁軟件，保護(hù)更多用戶的安全。但是，安全研究人員認(rèn)為，他們的時(shí)間和努力應(yīng)當(dāng)有更高的價(jià)值。

小安全軟件廠商Gleg創(chuàng)始人列格洛夫說，要發(fā)現(xiàn)一個(gè)缺陷，研究人員需要大量的研究工作，而他們能夠獲得的通常只是軟件廠商的一聲“謝謝”，有時(shí)甚至連這也得不到。

Gleg向全球12家企業(yè)客戶出售缺陷研究報(bào)告，費(fèi)用最低為1萬美元。列格洛夫表示，他經(jīng)常回絕出價(jià)更高的電腦犯罪分子。

濫用這樣的信息發(fā)動(dòng)攻擊或幫助別人發(fā)動(dòng)攻擊是非法的，但發(fā)現(xiàn)和出售缺陷的行為并不非法。軟件缺陷的價(jià)格通常在200美元和數(shù)萬美元之間。

當(dāng)然了，微軟并非是唯一的目標(biāo)。合法的安全研究人員和地下的黑客會(huì)在所有廣泛使用的軟件中尋找缺陷，其中包括甲骨文的數(shù)據(jù)庫和蘋果的Mac操作系統(tǒng)。一種軟件越普及，對(duì)它進(jìn)行攻擊的代碼的價(jià)格也就越高。

在可預(yù)期的未來，Vista中缺陷的銷售將繼續(xù)落后于應(yīng)用更廣泛的軟件缺陷的銷售，甚至也會(huì)低于Windows XP。在談到安全缺陷網(wǎng)絡(luò)地下市場時(shí)，微軟安全響應(yīng)中心的主管米勒說，當(dāng)然了，這令我們感到擔(dān)憂。由于地下缺陷交易市場的存在，軟件廠商開發(fā)補(bǔ)丁軟件的速度將落在黑客發(fā)動(dòng)攻擊的后面。

在整個(gè)1990年代，軟件廠商和缺陷研究人員就軟件缺陷披露方式進(jìn)行了激烈爭論。軟件廠商認(rèn)為，向公眾披露軟件缺陷將為黑客開發(fā)利用缺陷代碼和制作病毒方面提供幫助。安全研究人員則認(rèn)為，廠商希望掩蓋它們的失誤，公開披露缺陷信息使企業(yè)和個(gè)人能夠更好地保護(hù)他們的系統(tǒng)。

雙方達(dá)成了不穩(wěn)定的妥協(xié)。在發(fā)現(xiàn)安全缺陷后，安全研究人員將向廠商通報(bào)，等待廠商發(fā)布官方補(bǔ)丁軟件后再向公眾披露缺陷資料。廠商則應(yīng)當(dāng)給予研究人員相應(yīng)的榮譽(yù)。

趨勢負(fù)責(zé)全球教育業(yè)務(wù)的主管佩里說，但是，在最近的5年中，已經(jīng)沒有安全研究人員愿意接受這種榮譽(yù)了。2002年，iDefense Labs成為了全球首批購買軟件缺陷的公司之一，它為每個(gè)缺陷支付數(shù)百美元。

2005年，TippingPoint也加入了買賣軟件缺陷的行列，去年，它買賣了82個(gè)軟件缺陷。iDefense表示，其自由研究人員在2006年發(fā)現(xiàn)的軟件缺陷數(shù)量由2005年的180個(gè)增長到了305個(gè)，根據(jù)嚴(yán)重程度，它會(huì)為每個(gè)缺陷支付1000-10000美元的費(fèi)用。

安全研究人員非常歡迎缺陷能夠換來真金白銀的主意。2005年12月份，一名自稱為“Fearwall”的黑客曾試圖在eBay上出售一個(gè)能夠通過Excel破壞計(jì)算機(jī)的軟件，在被撤銷前，它的價(jià)格曾達(dá)到了53美元。在此后的數(shù)個(gè)月中，數(shù)起互聯(lián)網(wǎng)攻擊利用了Excel中的缺陷，這使得安全專家相信，它的開發(fā)者找到了銷售它的其它途徑。

2006年1月份，卡巴斯基實(shí)驗(yàn)室發(fā)現(xiàn)了新興的軟件缺陷市場的更多證據(jù)。它當(dāng)時(shí)還披露，俄羅斯的黑客團(tuán)伙已經(jīng)出售了一個(gè)針對(duì)微軟圖形格式文件━━WMF的零日利用代碼，價(jià)格是4000美元。這使得犯罪分子得以在數(shù)萬名互聯(lián)網(wǎng)用戶的計(jì)算機(jī)上安裝了間諜件和其它惡意代碼。微軟匆匆忙忙地發(fā)布了一款補(bǔ)丁軟件。微軟在9月份又發(fā)布了一款補(bǔ)丁軟件，修正IE的矢量圖形引擎中的一個(gè)缺陷。

eEye Digital Security合伙創(chuàng)始人邁弗雷特表示，黑市上軟件缺陷的價(jià)格要高于合法的公司支付的價(jià)格。即使是有道德的安全研究人員也感到，iDefense和TippingPoint等公司支付的報(bào)酬不足以彌補(bǔ)在復(fù)雜和相對(duì)安全的軟件中發(fā)現(xiàn)缺陷所需要的時(shí)間和努力。一些黑客根本不關(guān)心是誰購買了他們的軟件缺陷資料。

一名黑客表示，盡管微軟大幅度提高了Vista的安全性，但地下黑客圈有足夠的經(jīng)濟(jì)利益動(dòng)機(jī)來發(fā)現(xiàn)其中的“短板兒”。這可能是大話，微軟已經(jīng)采取了大量預(yù)防性措施，例如，阻止非授權(quán)軟件在內(nèi)核中運(yùn)行，在操作系統(tǒng)和瀏覽器之間建立了安全隔離層。

微軟希望地下軟件缺陷市場會(huì)消失，它說，我們將向幫助微軟的研究人員表示感謝。但獨(dú)立安全研究人員表示，這種時(shí)代已經(jīng)一去不復(fù)返了。地下軟件缺陷市場的動(dòng)力是現(xiàn)金。

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]