不可承受的零时差攻击
2007-06-08 16:43:17 来源:WEB开发网在“有道德地透露”原则下,研究人员首先会与软件开发商联系并告知所发现的漏洞情况。开发商在补丁就绪前不会发布相关公告。最先发现漏洞且没有将其公布于众的研究人员会受到公司的信任。
但有时候研究人员对于软件开发商调查的进度过慢而感到不满,就会在漏洞被解决之前将问题告知给大众。部分安全专家认为这种策略虽然有些不妥但能促使顽固的开发商立即发布修补程序,有些专家则谴责这种行为,认为这么做违背了行业惯例。
拥护这种行为的人们争辩说如果研究人员发现了漏洞,那么黑客们有可能也发现了。聪明的黑客会小范围、有目标地发起攻击,以避免引起生产商的注意而发布修补程序。不幸的是,大多数情况下,公布漏洞都会促成大规模的零时差攻击。
另一个倍受争议的行业惯例是“悬赏缉错”。有些组织,包括iDefense和3Com零时差攻击项目(ZDI),都会为向它们报告零时差攻击漏洞的研究人员支付一定的赏金。 比如iDefense就提供了8000美元的资金,悬赏能提供IE 7浏览器和Vista系统漏洞的人。然后这些安全公司会向软件开发公司坦诚相告所知的信息。尽管得到大众的钦佩,但提供这些漏洞信息并没能使研究人员赚到多少钱——大部分人都希望能从中捞上一笔,但得到的结果通常是软件开发商的几句感谢之辞。
或许更重要的是,安全公司的赏金与地下黑市正在为零时差攻击而开展着竞争。趋势科技的Genes注意到的那位在聊天室里贩卖Vista漏洞的家伙现在有可能已经找到,或者还没有找到一位愿意支付5万美元的买家,但据eWeek.com网的报告与安全公司所说,在相关的bug信息以可观的4000美元卖出后不久,针对Windows图元文件的攻击就立即猖獗起来。
要找到能卖得出去的漏洞,研究人员与黑客会使用一种叫做fuzzer的工具软件来找出软件在何处接受信息输入,然后它会系统地输入一些奇怪信息的组合。通常这种测试找出来的漏洞叫做缓冲区溢出。
更多精彩
赞助商链接