未來四年之內,零時差漏洞出現的頻率很可能提高到每天一次

零時差漏洞 (也就是從未被發現的新漏洞) 最近出現的頻率越來越高,更糟的是,這些危險的漏洞經常都是在駭客攻擊事件發生之後,人們才知道漏洞的存在。

根據網路資安研究機構 Cybersecurity Ventures 創辦人暨總編輯 Steven Morgan 指出,零時差漏洞的出現頻率在未來四年之內很可能提高到每天一次 (在 2015 年時大約每週一次)。

網路攻擊數量日益增加早已不是新聞,多年來,科技產業的現況就是如此。但這並不表示研究人員和開發人員就不須設法減少一些關鍵軟體和 IT 系統可能被攻擊的漏洞。

漏洞研究可扭轉局勢

這時候,漏洞研究就能派上用場,同時也是網路資安產業正興起的一股潮流。一般來說,漏洞研究通常由研發團隊負責,他們會運用一些高階技巧來試圖尋找駭客發動攻擊、製造資料外洩或其他資安事件時可能利用的軟體漏洞或缺失。

這類研究的目的,是希望及早發現一些零時差威脅以及軟體的其他問題,當然最好是在網路犯罪集團攻擊這些漏洞之前。如此就能減少駭客的攻擊管道,降低因零時差漏洞而遭感染的情況。

一項需要特殊技巧的艱難任務

「未來四年之內,零時差漏洞出現的頻率很可能提高到每天一次。」

然而,正如 Dark Reading 特約作家 Rutrell Yasin 指出,沒有人是一夕間突然開始從事這類研究的。漏洞與資安研究需要特定的技術和能力,尤其在威脅情勢瞬息萬變的今日。

Yasin 寫道:「這個行業適合那些天生就很好奇,並且希望了解如何破解或跳過軟體原本的機制來達成一些非原先設計用途的人。」

不僅如此,這類研究人員還必須「潛心鑽研技術」,對各種不同系統的運作原理與潛在風險以及彼此之間如何整合,抱持著高度的興趣。

資安專家 Bruce Shneier 表示:「資安工程師看世界的角度有別於其他工程師。他們的著眼點不在於如何讓系統運作,而是系統如何發生錯誤以及如何讓他們發生錯誤,還有如何預防或避免這些錯誤。」

Yasin 表示,最棒的資安研究人員要樣樣皆通,但又要具備某些特殊專長。並且將這些專長運用到研究上,才能發掘其他人所忽略的漏洞。

雙方都受益良多

漏洞研究的好處不難理解。由於駭客攻擊不論頻率和破壞力都不斷上升,漏洞研究可縮小駭客的打擊面。正如 Morgan 所言,這個打擊面隨著每年產出的 1110 億行新程式碼而不斷擴大,任何有助於減少漏洞的努力,對使用者、開發人員和軟體廠商來說,都是好消息。

資安威脅分析師 Weimin Wu 認為,廠商可以善用漏洞研究的成果來大幅改善其解決方案,並主動出擊來對抗駭客的最新手法。

他說:「這讓廠商能夠預測漏洞的發展情勢,並預先找出解決方案。」

此外,這也有助於保障一般消費者和企業用戶的安全,因為人們越來越仰賴軟體系統來管理一些敏感的資訊和支援關鍵的營運流程。

白帽駭客和黑帽駭客

除了上述幾點之外,研究人員和一般使用者應記住一點,就算沒有白帽駭客挖出這些漏洞,那黑帽駭客也很可能發現這些漏洞,而且有一天必定會用於惡意攻擊。

而且,當漏洞研究人員在某軟體中發現一個漏洞,或許其他平台類似的程式碼和函式庫也會有同樣的問題。所以,他們所做的努力並不一定只對特定程式有幫助,甚至能夠嘉惠整個軟體產業,讓軟體廠商不再犯同樣的錯誤。

漏洞研究人員都希望能搶在駭客之前發現漏洞,以免漏洞遭到駭客利用。

Pwn2Own 駭客大會展現漏洞研究實力

自從漏洞研究的重要性開始獲得認同之後,現在不論其規模或曝光率都有所提升。一個最好的例子就是趨勢科技一年一度的 Pwn2Own 駭客大會,來自世界各地的研究人員和資安高手們都會齊聚一堂,展示他們所發現的各種漏洞攻擊手法,優勝者還可贏得高額獎金。

今年是 Pwn2Own 成立十b周年。從 2007 年第一屆舉辦至今,該活動已增加了不少新的研究領域,今年 Zero Day Initiative 零時差漏洞懸賞計畫甚至提供了超過一百萬美元的獎金,競賽類別包括:虛擬機器跳脫、網站瀏覽器與擴充元件、企業應用程式、本地端提升權限,以及伺服器端漏洞。

去年,該活動揭露了各式各樣的漏洞。在參賽團隊展示了這些漏洞之後,承辦單位便將其詳細內容提供給相關廠商,讓廠商去改善其產品的安全性。

趨勢科技的 Noah Gamer 在 2016 年的一篇部落格中寫道:「所以,當廠商越了解其軟體和裝置的漏洞,就越能強化其資安狀況,進而嘉惠自己的客戶。那麼企業和消費者該如何避免其日常使用的軟體發生這類問題?其實,建置一套有效的資安防護就能解決這項問題。資安產品可讓企業和消費者保護系統並確保資料安全,避免駭客的覬覦。」

今年的駭客大會比以往更加熱絡,由於報名的參賽者眾多,甚至還增加了第三天的賽程。參賽者們展示了各種重要的漏洞研究成果,例如:經由 Microsoft Edge 瀏覽器徹底跳出虛擬機器之外、駭入 Windows 核心,以及駭入 VMware Workstation 緩衝區。

總而言之,隨著威脅情勢日益擴大,漏洞研究將更加重要。任何有助於扭轉惡意攻擊浪潮的努力,都將同時嘉惠研究人員、軟體廠商及使用者。

 

原文出處: How vulnerability research benefits both vendors and customers