軟件廠商會修復這些漏洞,但用戶應該謹記,總有零日漏洞利用恣意生長。
美國CIA網絡間諜武器庫數據泄露之后,軟件廠商重申了其及時修復漏洞的承諾,告訴用戶:該機構被泄文檔中描述的很多漏洞都已經被修復了。
從公共關系角度看來,這些保障都是可以理解的,但它們真心改變不了任何事。尤其是對被國家支持黑客所盯上的公司和用戶來說。他們使用的軟件,并不比維基解密公布了那 8,700+ CIA文檔之前更不安全,也沒有受到更好的防護。
被泄文件描述的是CIA網絡部所用惡意軟件工具和漏洞利用程序,可以黑進所有主流桌面和移動操作系統,以及網絡設備和嵌入式設備,比如智能電視。這些文檔不包含工具真實代碼,其中一些可能說明問題的描述也被刪去了。
維基解密創始人阿桑奇稱,該揭秘網站會與軟件廠商共享未公開的信息,以便漏洞能被修復。但即便維基解密這么做了,最好還是認清這些信息僅是適時出現的一幀快照而已。
這批文檔中最近的時間戳是2016年3月初,可能揭示了文件從CIA系統中拷貝出來的時間。一些漏洞利用列表也提示了相同信息。
比如說,描述蘋果iOS漏洞利用的頁面,包含有一張按iOS版本排列的表格。這張表格終止于 iOS 9.2——在2015年12月發布的版本。下一個重要更新,iOS 9.3,就是在2016年3月發布的了。
代號Nandao的一個內核漏洞利用,來自英國政府通信總部(GCHQ),被列為對 iOS 8.0~9.2 有效。這是否意味著次漏洞對 iOS 9.3 及其后版本就不起作用呢?未必。更有可能的是,該表格終止于9.2,僅僅是因為CIA文件被復制時最新的版本就到9.2了。
而且,沒有進一步細節描述的話,蘋果公司也無法確定這個和其他漏洞利用是否已打上補丁。Nandao的唯一描述是:這是個堆溢出內存泄露漏洞,甚至連作用于哪個內核組件都沒說。
“除非蘋果獲得漏洞完整描述,并進行了深入全面的根源分析,否則它無法確定更新的版本受不受影響。”漏洞情報公司 Risk and Security 首席研究官卡斯滕·艾拉姆表示。
影響其他軟件的漏洞也是相同的情況。艾拉姆的公司已證實,其中一些漏洞已被修復,但有些仍在受影響軟件的最新版本中可用,比如Prezi桌面演示軟件中的DLL注入漏洞。
用戶不應僅僅因為在被泄文件中被提到,就假定之后更新的版本就不受影響。
而且,即便所有這些漏洞都被提供給了廠商做修復,也不意味著CIA就沒有更新的零日漏洞可用了。其漏洞獲取工作可沒在2016年3月就停止。
該機構在其內部文檔被泄之時擁有沒補上的漏洞利用,那現在就很可能手握流行程序和操作系統最新版本的類似漏洞。
總有零日漏洞在我們看不到的地方恣意生長,不僅僅在情報機構的手中。2015年意大利司法監視軟件公司 Hacking Team 泄露事件,就揭示了該公司一直在從黑客手中購買零日漏洞利用。
這些年來,無數黑客組織都在其攻擊中使用領日漏洞利用,有些使用得異常頻繁,很可能囤積了一大批未修復的漏洞。還有私人代理支付大量錢財購買此類漏洞,再轉手賣給其客戶——司法部門和情報機構。
“該泄露很大程度上僅證實了此類機構的能力大大超出我們想象。”
艾拉姆認為,軟件行業可以更好地防止開發人員在代碼中引入漏洞,也可以創建各種功能讓漏洞利用更難以實現,減少漏洞風險。但在可以預見的未來清除所有漏洞的魔杖是不存在的。若說有什么的話,年度統計數據顯示,軟件漏洞的數量實際上是在增加的。
“出于此原因,在不引發妄想的情況下,用戶最好謹記:在數字世界遨游的時候,總有些人有實力想黑你就能黑。一點點邏輯、一咪咪懷疑、一些些安全意識,就能在物理和數字世界中都讓你走得更遠。”
可能成為網絡間諜攻擊目標的用戶和公司,應采取多層次防御方法,不能單單依靠應用廠商補丁,還須將零日漏洞的存在納入考慮。
京公網安備 11010502049343號