件人,机会则小得多。
12月中旬,在公布Excel和PowerPoint等Office软件含有可能被黑客利用发起攻击的漏洞后,微软再次确认Word里有两个漏洞也可能被黑客利用,并发起“危害非常有限并且目的明确的攻击”。它向用户发出警告不仅仅要警惕陌生发件人邮件里附件,同时也要对来自熟悉发件人的、未经请求主动提供的附件保持足够的警觉。
微软的产品或许是最普遍的零时差攻击目标了,不过其它的常用软件也同样面临着受到攻击的危险。一月份研究人员公布了QuickTime播放程序里的一个漏洞, QuickTime在处理流媒体视频文件时可能让攻击者入侵并控制受害者的电脑。2006年11月份Adobe ActiveX浏览器控件的一个漏洞也会导致受害者电脑被黑客控制。
零时差攻击事件的涌现折射出每年公布的软件漏洞数目在不断地上升。据互联网安全机构Xforce所述,2006年软件开发者与研究人员发现了7247个软件漏洞,比起2005年多了整整39%。
但是,这些bug中的大多数不会被黑客利用并发起零时差攻击。软件公司经常收到用户反映的bug和程序崩溃的报告,并从中找到安全漏洞,然后在黑客利用这些漏洞发起攻击前就进行修复。如果其它安全专家发现了一个漏洞,他们(总之,大多数会是这样)会按照一套行业惯例——被称作“有道德地透露”——来处理,这套惯例是特别设计用来规避零时差攻击的。
在“有道德地透露”原则下,研究人员首先会与软件开发商联系并告知所发现的漏洞情况。开发商在补丁就绪前不会发布相关公告。最先发现漏洞且没有将其公布于众的研究人员会受到公司的信任。
但有时候研究人员对于软件开发商调查的进度过慢而感到不满,就会在漏洞被解决之前将问题告知给大众。部分安全专家认为这种策略虽然有些不妥但能促使顽固的开发商立即发布修补程序,有些专家则谴责这种行为,认为这么做违背了行业惯例。
拥护这种行为的人们争辩说如果研究人员发现了漏洞,那么黑客们有可能也发现了。聪明的黑客会小范围、有目标地发起攻击,以避免引起生产商的注意而发布修补程序。不幸的是,大多数情况下,公布漏洞都会促成大规模的零时差攻击。
另一个倍受争议的行业惯例是“悬赏缉错”。有些组织,包括iDefense和3Com零时差攻击项目(ZDI),都会为向它们报告零时差攻击漏洞的研究人员支付一定的赏金。 比如iDefense就提供了8000美元的资金,悬赏能提供IE 7浏览器和Vista系统漏洞的人。然后这些安全公司会向软件开发公司坦诚相告所知的信息。尽管得到大众的钦佩,但提供这些漏洞信息并没能使研究人员赚到多少钱——大部分人都希望能从中捞上一笔,但得到的结果通常是软件开发商的几句感谢之辞。
或许更重要的是,安全公司的赏金与地下黑市正在为零时差攻击而开展着竞争。趋势科技的Genes注意到的那位在聊天室里贩卖Vista漏洞的家伙现在有可能已经找到,或者还没有找到一位愿意支付5万美元的买家,但据eWeek.com网的报告与安全公司所说,在相关的bug信息以可观的4000美元卖出后不久,针对Windows图元文件的攻击就立即猖獗起来。
要找到能卖得出去的漏洞,研究人员与黑客会使用一种叫做fuzzer的工具软件来找出软件在何处接受信息输入,然后它会系统地输入一些奇怪信息的组合。通常这种测试找出来的漏洞叫做缓冲区溢出。
包括微软在内的软件公司通常使用工具软件来寻找自家软件里的漏洞。而黑客们也会这么做。BlackHat组织者Moss和许多其它专家们认为东欧那些有组织的网络罪犯,训练有素的中国黑客,还有其它不怀好意的人都会使用fuzzer来寻找有价值的可以用来发起零时差攻击的漏洞。发现漏洞的人能够用它来发起攻击,或者,与上面提到的WMF文件漏洞一样,可以把漏洞信息拿到黑市去索价出售。
如果软件开发商能在攻击发生前及时修补好安全漏洞,那么公司的IT人员以及家庭用户都能及时升级电脑,在黑客发起攻击之前就做好保护。但一旦零时差攻击开始了,时钟就开始计时——有时候时钟要走上好一阵,急需的补丁才会发布。
根据赛门铁克的2006年互联网安全威胁报告,在2006年的前半年里,微软的Windows与红帽Linux都是开发补丁最快的收费操作系统,平均只需要13天。
但是在升级浏览器方面——尤其是当有零时差攻击已经发生的情况下——微软比苹果、Mozilla和Opera的反应速度都要慢。IE浏览器的补丁在漏洞公布的10天后才会发布,而Opera,Mozilla和Safari浏览器打上补丁的时间,分别只需要两天、三天和五天。
Adam Shostack,微软安全开发生命周期小组的一位程序经理,说有时候更短的开发时限只会是设想,他提到微软用户构成的复杂性。
“我们必须测试安全升级程序以确保它能兼容于28种不同语言的操作系统,以及每一种支持这个升级程序的操作系统。”Shostack说。“我们真的是在质量与速度中做出取舍与平衡。”
安全软件有助于在有效的补丁发布前保护系统不受未知威胁的攻击,传统的反病毒软件依赖于病毒定义文件才能对攻击起到保护作用。这让恶意软件的作者永远与安全公司在玩一个猫和老鼠的游戏,黑客们散布修改过的,没有包括在病毒定义文件里的木马程序,反病毒软件则对这些木马程序束手无策。
启发式与基于行为的病毒分析或许能够结束这一场猫鼠游戏。这两种病毒分析方式依靠运算法则,而不是病毒定义文件,去查找反常的行为或者文件。启发式查毒检查潜在的恶意软件是靠分析文件是否有值得怀疑的行为,比如与内存有关的可疑行为。而另一方面,基于行为的病毒分析,观察程序是否有典型的恶意软件的行为(比如启动Email传播垃圾邮件),它鉴定程序是否有害是看它们做什么而不是包含什么。
现在大多数主流的反病毒软件都拥有一种或者同时拥有这两种分析方式。去年,PC World测试过使用一个月未更新的病毒库成功识别出20%到50%的病毒。
不过启发式与基于行为的病毒分析容易引起误报。安全软件或许无法分辨出键盘记录程序与通过直接敲击键盘来减短响应时间的游戏之间的区别。结果就是,软件不停地跳出许多不必要的弹出式警告与操作询问,让用户烦恼不已。
BlackHat的Jeff Moss估计这两种病毒
