地下軟件漏洞市場活躍 威脅Vista安全 |
發(fā)布時間: 2012/8/4 16:25:58 |
當(dāng)Windows XP在5年前發(fā)布時,黑客查找其中缺陷的動機是名譽而非經(jīng)濟利益。但是,現(xiàn)在軟件缺陷具有了真正的經(jīng)濟價值。它們的交易通常在網(wǎng)絡(luò)上進行,而且買賣雙方都是合法的安全公司。 Vista成為了最新的目標(biāo)。iDefense Labs本月表示,它將為前6位找到Vista中缺陷的研究人員提供8000美元獎金,并為利用這些缺陷的代碼提供4000美元。iDefense會將這些信息出售給企業(yè)和政府機關(guān),幫助它們保護自己的Vista系統(tǒng)。 微軟等并不認同這樣的獎勵計劃,但它們面臨著更大的問題:互聯(lián)網(wǎng)犯罪分子愿意出更大的價錢,提前了解能夠供他們興風(fēng)作浪的軟件缺陷消息。 趨勢科技去年12月份指出,在一個羅馬尼亞互聯(lián)網(wǎng)論壇上看到一個售價為5萬美元的Vista缺陷。安全專家表示,這一價格似乎是可靠的,他們經(jīng)常會發(fā)現(xiàn)黑客在論壇上出售發(fā)現(xiàn)的軟件缺陷和利用這些缺陷的代碼。最受歡迎的所謂的“零日利用代碼”,因為這樣的代碼能夠迅速傳播。 傳統(tǒng)上,軟件廠商要求安全研究人員在發(fā)現(xiàn)缺陷后首先向它們通報,以便它們能夠開發(fā)補丁軟件,保護更多用戶的安全。但是,安全研究人員認為,他們的時間和努力應(yīng)當(dāng)有更高的價值。 小安全軟件廠商Gleg創(chuàng)始人列格洛夫說,要發(fā)現(xiàn)一個缺陷,研究人員需要大量的研究工作,而他們能夠獲得的通常只是軟件廠商的一聲“謝謝”,有時甚至連這也得不到。 Gleg向全球12家企業(yè)客戶出售缺陷研究報告,費用最低為1萬美元。列格洛夫表示,他經(jīng)常回絕出價更高的電腦犯罪分子。 濫用這樣的信息發(fā)動攻擊或幫助別人發(fā)動攻擊是非法的,但發(fā)現(xiàn)和出售缺陷的行為并不非法。軟件缺陷的價格通常在200美元和數(shù)萬美元之間。 當(dāng)然了,微軟并非是唯一的目標(biāo)。合法的安全研究人員和地下的黑客會在所有廣泛使用的軟件中尋找缺陷,其中包括甲骨文的數(shù)據(jù)庫和蘋果的Mac操作系統(tǒng)。一種軟件越普及,對它進行攻擊的代碼的價格也就越高。 在可預(yù)期的未來,Vista中缺陷的銷售將繼續(xù)落后于應(yīng)用更廣泛的軟件缺陷的銷售,甚至也會低于Windows XP。在談到安全缺陷網(wǎng)絡(luò)地下市場時,微軟安全響應(yīng)中心的主管米勒說,當(dāng)然了,這令我們感到擔(dān)憂。由于地下缺陷交易市場的存在,軟件廠商開發(fā)補丁軟件的速度將落在黑客發(fā)動攻擊的后面。 在整個1990年代,軟件廠商和缺陷研究人員就軟件缺陷披露方式進行了激烈爭論。軟件廠商認為,向公眾披露軟件缺陷將為黑客開發(fā)利用缺陷代碼和制作病毒方面提供幫助。安全研究人員則認為,廠商希望掩蓋它們的失誤,公開披露缺陷信息使企業(yè)和個人能夠更好地保護他們的系統(tǒng)。 雙方達成了不穩(wěn)定的妥協(xié)。在發(fā)現(xiàn)安全缺陷后,安全研究人員將向廠商通報,等待廠商發(fā)布官方補丁軟件后再向公眾披露缺陷資料。廠商則應(yīng)當(dāng)給予研究人員相應(yīng)的榮譽。 趨勢負責(zé)全球教育業(yè)務(wù)的主管佩里說,但是,在最近的5年中,已經(jīng)沒有安全研究人員愿意接受這種榮譽了。2002年,iDefense Labs成為了全球首批購買軟件缺陷的公司之一,它為每個缺陷支付數(shù)百美元。 2005年,TippingPoint也加入了買賣軟件缺陷的行列,去年,它買賣了82個軟件缺陷。iDefense表示,其自由研究人員在2006年發(fā)現(xiàn)的軟件缺陷數(shù)量由2005年的180個增長到了305個,根據(jù)嚴重程度,它會為每個缺陷支付1000-10000美元的費用。 安全研究人員非常歡迎缺陷能夠換來真金白銀的主意。2005年12月份,一名自稱為“Fearwall”的黑客曾試圖在eBay上出售一個能夠通過Excel破壞計算機的軟件,在被撤銷前,它的價格曾達到了53美元。在此后的數(shù)個月中,數(shù)起互聯(lián)網(wǎng)攻擊利用了Excel中的缺陷,這使得安全專家相信,它的開發(fā)者找到了銷售它的其它途徑。 2006年1月份,卡巴斯基實驗室發(fā)現(xiàn)了新興的軟件缺陷市場的更多證據(jù)。它當(dāng)時還披露,俄羅斯的黑客團伙已經(jīng)出售了一個針對微軟圖形格式文件━━WMF的零日利用代碼,價格是4000美元。這使得犯罪分子得以在數(shù)萬名互聯(lián)網(wǎng)用戶的計算機上安裝了間諜件和其它惡意代碼。微軟匆匆忙忙地發(fā)布了一款補丁軟件。微軟在9月份又發(fā)布了一款補丁軟件,修正IE的矢量圖形引擎中的一個缺陷。 eEye Digital Security合伙創(chuàng)始人邁弗雷特表示,黑市上軟件缺陷的價格要高于合法的公司支付的價格。即使是有道德的安全研究人員也感到,iDefense和TippingPoint等公司支付的報酬不足以彌補在復(fù)雜和相對安全的軟件中發(fā)現(xiàn)缺陷所需要的時間和努力。一些黑客根本不關(guān)心是誰購買了他們的軟件缺陷資料。 一名黑客表示,盡管微軟大幅度提高了Vista的安全性,但地下黑客圈有足夠的經(jīng)濟利益動機來發(fā)現(xiàn)其中的“短板兒”。這可能是大話,微軟已經(jīng)采取了大量預(yù)防性措施,例如,阻止非授權(quán)軟件在內(nèi)核中運行,在操作系統(tǒng)和瀏覽器之間建立了安全隔離層。 微軟希望地下軟件缺陷市場會消失,它說,我們將向幫助微軟的研究人員表示感謝。但獨立安全研究人員表示,這種時代已經(jīng)一去不復(fù)返了。地下軟件缺陷市場的動力是現(xiàn)金。 本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國五強!虛擬主機域名注冊頂級提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |