![]()
一、引言
传统上,零日漏洞是指攻击者已知但防御者尚未发现或修复的软件漏洞。Project Zero认为,零日攻击不仅是一个技术问题,还涉及国家支持的攻击者、特定的高价值目标、庞大的漏洞交易市场,以及复杂的防御难题。传统定义不足以全面揭示攻击者、受害者、漏洞、防御者和软件厂商等多方的关系,而实际的攻击过程通常经过长期准备,隐蔽性极强,且对个人隐私及社会影响深远。为应对日益猖獗的零日攻击,2014年,Google成立了专门的漏洞研究团队Project Zero,致力于主动挖掘和披露零日漏洞,推动整个软件行业加强安全性,尽快修复漏洞。本文将回顾Project Zero成立十年来的工作历程,总结其在对抗零日漏洞方面的经验教训,并探讨未来的发展方向。![]()
2.1 软件质量
软件质量差是导致大量零日漏洞的根本原因。2014年,许多流行软件产品代码质量较低,很容易发现可利用的漏洞。主要原因是软件开发者缺乏优先修复漏洞的意识和机制。为此,Project Zero通过持续的漏洞研究,揭示了现实中攻击者的真实能力,向软件厂商施加压力,推动其重视漏洞修复,改进代码质量。Project Zero选择研究目标的原则是关注攻击者最常利用的软件组件。通过分析已知的零日攻击事件、漏洞利用工具的价格、内部人士提供的线索等多种渠道,锁定iOS、Android、Windows、Linux和主流浏览器等高风险目标,集中精力进行深入挖掘。以Flash和浏览器为例,通过Project Zero等研究者的持续努力,大量Flash和浏览器漏洞被发现并报告,最终迫使Adobe废弃了Flash,主流浏览器厂商也不断加固,使其安全性得到显著提升。这表明,有针对性的漏洞研究能有效揭示软件薄弱环节,倒逼厂商加强防护。不过,尽管近年来软件整体质量有所改善,但攻击者通过投入更多资源,仍能不断找到可利用的新漏洞。且不同目标系统的安全性参差不齐,像基带、Android驱动等特定组件的代码质量改进步伐明显滞后。同时,一些攻击者开始提供"漏洞利用即服务",即按成功入侵的设备数收费,大大降低了攻击门槛。显然,仅靠提高软件质量还不足以彻底阻止攻击者。2.2 透明度
信息透明也是打击零日漏洞的关键。Project Zero的立场是,有效防御离不开对攻击手段的深入了解。但在2014年,业界普遍不愿公开披露漏洞细节,担心这些信息被攻击者利用。为挑战这一观念,Project Zero率先公开发布其发现的全部漏洞信息和分析文章,用实际行动证明透明共享的重要性。在其推动下,如今软件厂商逐渐接受了漏洞披露的理念,主动披露已修复漏洞的情况。不过,目前业界公开的漏洞信息与内部掌握的情报仍存在很大差距。提高信息透明度,让更多防御者了解真实的攻击面貌,消除攻击者的信息优势,仍是今后的努力方向。2.3 补丁质量
及时全面的漏洞修复是消除零日漏洞的必由之路。但过去,许多供应商对快速修复漏洞缺乏足够重视,经常耗时数年才完成修复。针对这一问题,Project Zero实施了90天限期披露政策,要求厂商在90天内完成修复,否则将公开发布漏洞细节。在其推动下,大多数主要软件厂商开始在90天内修复已知漏洞。然而,目前仍有约40%的现实中零日攻击使用变种漏洞(variant vulnerabilities)。所谓变种漏洞是指新漏洞与此前已修复的漏洞高度相似。其大量存在表明厂商发布的补丁往往并不彻底,没有从根本上消除问题。为此,Project Zero建议开发者应重新审视历史漏洞,编写测试用例,确保问题真正得到解决。此外,Android设备的补丁分发参差不齐,许多低成本机型得不到及时更新,也是亟待改善的问题。
2.4 缓解措施
除了修复漏洞,部署各种缓解措施也是抑制零日攻击的重要手段。不过在2014年,不少厂商盲目相信某个"银弹"式的终极缓解措施可以一劳永逸地防范一切漏洞利用,从而忽视了持续修复漏洞的根本之策。为客观评估各种缓解措施的实际效果,Project Zero通过真刀真枪的漏洞利用测试,分析真实世界中的攻击样本,揭示它们如何绕过现有防护。例如,针对iMessage的研究推动苹果为其增加了代码隔离机制,提高了渗透难度。如今,随着攻击者变得愈发狡猾,新的漏洞利用技术层出不穷,其价值甚至超过了漏洞本身。这对防御者提出了更高要求,单一的缓解措施很难奏效。内存标记等新一代缓解技术有望进一步增加漏洞利用难度,但它们只能作为安全计划的有益补充,而非替代品。
三、新问题:安全鸿沟
![]()
近年来,不同软件供应商的安全成熟度差异日益扩大,逐渐形成"安全鸿沟"。尤其是在那些非面向最终用户的中间件领域,代码质量和安全意识普遍偏低。这可能与激励机制失衡等因素有关。而恶意攻击者已嗅到商机,开始把目标对准安全能力较弱的软件供应商,加剧了这一问题。Project Zero十年的实践表明,有针对性的安全研究能发现软件漏洞,揭示攻击能力,推动业界重视并着手解决问题。不过,面对日益复杂的攻防态势,仅靠安全研究还远远不够。要从根本上终结"零日时代",最关键的是软件供应商要切实提高代码质量,加快漏洞响应,部署多层次防护,最重要的是要彻底消除已知缺陷。这需要企业在理念和实践层面作出改变,需要全行业的共同努力。透明度也至关重要。分享和学习彼此的攻防经验,构建开放、可信的信息共享机制,才能消除攻击者的信息优势,为防御赢得先机。站在新的十字路口,Project Zero将继续履行使命,以"永不止步"的韧劲,持续挖掘、分析、披露和应对最新的攻击威胁,为"零日漏洞"画上句号。同时,我们也呼吁整个软件行业以及社会各界携手同行,以更开放的心态、更务实的行动,携手应对"零日漏洞"这一严峻挑战,共同守护人们的数字生活。
文章来源: https://mp.weixin.qq.com/s?__biz=MzU0MzgyMzM2Nw==&mid=2247486036&idx=1&sn=52131d932e8fe4f24db3d7bdf41625a0&chksm=fb04c93ccc73402a24144d8262153a73bc18c2098109a9885d2413dba9a33af83f8d664bc317&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh