2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
一段時間以來,人們都知道西方政府網(wǎng)絡(luò)機(jī)構(gòu)囤積了零日漏洞,希望能在目標(biāo)的聯(lián)網(wǎng)設(shè)備中找到利用這些漏洞的方法。與此同時,安全研究人員敦促這些政府盡快公布這些漏洞的發(fā)現(xiàn),以便在罪犯和不那么友好的政府發(fā)現(xiàn)并利用這些漏洞之前迅速修補(bǔ)這些漏洞。
現(xiàn)在,一項(xiàng)新的研究表明,保持沉默可能是保護(hù)社會的更好方法,因?yàn)榱闳毡话l(fā)現(xiàn)的幾率很低。
這項(xiàng)研究由美國進(jìn)行從2002年到2006年,美國蘭德公司發(fā)現(xiàn)了200個零日漏洞和它們的漏洞。此外,兩個人發(fā)現(xiàn)相同漏洞的可能性——研究人員稱之為碰撞率——大約是每年5.7%。
報(bào)告認(rèn)為,這兩個事實(shí)表明,披露漏洞所能提供的保護(hù)程度可能是有限的,而對那些既想保護(hù)自己的系統(tǒng)、又想利用他人系統(tǒng)漏洞的人來說,保持沉默——或“囤積”——漏洞可能是一個合理的選擇。
維基解密上周公布了一份據(jù)稱是美國中央情報(bào)局(CIA)工具的黑客檔案,這些工具被用來利用多種設(shè)備的漏洞,這份報(bào)告增加了人們對此的興趣。
“典型的‘白帽’研究人員更有動力在發(fā)現(xiàn)零日漏洞后立即通知軟件供應(yīng)商,”該研究的主要作者、蘭德公司的信息科學(xué)家莉蓮·阿布龍(Lillian Ablon)在新聞發(fā)布會上說。“其他的,像系統(tǒng)安全滲透測試公司和‘灰色帽子’實(shí)體,有動力儲存它們。但是決定是儲存還是公開披露一個“零日漏洞”——或其相應(yīng)的“利空”——是一個權(quán)衡的游戲,尤其是對政府而言。
“從國家政府的角度來看,如果一個人的對手也知道這個漏洞,那么公開披露這個漏洞將有助于加強(qiáng)自己的防御,迫使受影響的供應(yīng)商實(shí)施一個補(bǔ)丁,防止對手利用這個漏洞攻擊他們,”Ablon說。“另一方面,公開披露一個對手不知道的漏洞會讓他們占上風(fēng),因?yàn)閷κ挚梢岳眠@個漏洞抵御任何攻擊,同時仍然保留一個只有自己知道的漏洞清單。”在這種情況下,囤積是最好的選擇。”
在研究的200多個零日漏洞和漏洞利用中,近40%仍是公開未知的。25%的脆弱性活不過1.5年,而另外25%的脆弱性活過了9.5年。
一旦發(fā)現(xiàn)一個可利用的漏洞,開發(fā)一個完全有效的漏洞的時間相對較快,平均時間為22天。
雖然零日的平均壽命很長可能支持囤積漏洞的論點(diǎn),但報(bào)告也指出,發(fā)現(xiàn)漏洞的機(jī)會仍然存在。作者寫道:“一些人可能會認(rèn)為,如果其他人(尤其是對手)有可能發(fā)現(xiàn)同樣的零日漏洞,那么保持零日隱私并讓一個群體處于脆弱狀態(tài)的潛在嚴(yán)重后果,就有必要立即披露和修補(bǔ)漏洞。”
“按照這種思路,最好的決定可能是,只有在確信沒有其他人能找到零日的情況下,才囤積核武器;否則披露。”
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號:閩ICP備19027007號-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。