微软表示,Windows Vista是其有史以来最安全的客户端操作系统。现在,“奖金猎人”将测试它到底有多么安全。
当Windows XP在5年前发布时,黑客查找其中缺陷的动机是名誉而非经济利益。
但是,现在软件缺陷具有了真正的经济价值。它们的交易通常在网络上进行,而且买卖双方都是合法的安全公司。
Vista成为了最新的目标。iDefense Labs本月表示,它将为前6位找到Vista中缺陷的研究人员提供8000美元奖金,并为利用这些缺陷的代码提供4000美元。iDefense会将这些信息出售给企业和政府机关,帮助它们保护自己的Vista系统。
微软等并不认同这样的奖励计划,但它们面临着更大的问题:互联网犯罪分子愿意出更大的价钱,提前了解能够供他们兴风作浪的软件缺陷消息。
趋势科技去年12月份指出,在一个罗马尼亚互联网论坛上看到一个售价为5万美元的Vista缺陷。安全专家表示,这一价格似乎是可靠的,他们经常会发现黑客在论坛上出售发现的软件缺陷和利用这些缺陷的代码。最受欢迎的所谓的“零日利用代码”,因为这样的代码能够迅速传播。
传统上,软件厂商要求安全研究人员在发现缺陷后首先向它们通报,以便它们能够开发补丁软件,保护更多用户的安全。但是,安全研究人员认为,他们的时间和努力应当有更高的价值。
小安全软件厂商Gleg创始人列格洛夫说,要发现一个缺陷,研究人员需要大量的研究工作,而他们能够获得的通常只是软件厂商的一声“谢谢”,有时甚至连这也得不到。
Gleg向全球12家企业客户出售缺陷研究报告,费用最低为1万美元。列格洛夫表示,他经常回绝出价更高的电脑犯罪分子。
滥用这样的信息发动攻击或帮助别人发动攻击是非法的,但发现和出售缺陷的行为并不非法。软件缺陷的价格通常在200美元和数万美元之间。
当然了,微软并非是唯一的目标。合法的安全研究人员和地下的黑客会在所有广泛使用的软件中寻找缺陷,其中包括甲骨文的数据库和苹果的Mac操作系统。一种软件越普及,对它进行攻击的代码的价格也就越高。
在可预期的未来,Vista中缺陷的销售将继续落后于应用更广泛的软件缺陷的销售,甚至也会低于Windows XP。在谈到安全缺陷网络地下市场时,微软安全响应中心的主管米勒说,当然了,这令我们感到担忧。由于地下缺陷交易市场的存在,软件厂商开发补丁软件的速度将落在黑客发动攻击的后面。
在整个1990年代,软件厂商和缺陷研究人员就软件缺陷披露方式进行了激烈争论。软件厂商认为,向公众披露软件缺陷将为黑客开发利用缺陷代码和制作病毒方面提供帮助。安全研究人员则认为,厂商希望掩盖它们的失误,公开披露缺陷信息使企业和个人能够更好地保护他们的系统。
双方达成了不稳定的妥协。在发现安全缺陷后,安全研究人员将向厂商通报,等待厂商发布官方补丁软件后再向公众披露缺陷资料。厂商则应当给予研究人员相应的荣誉。
趋势负责全球教育业务的主管佩里说,但是,在最近的5年中,已经没有安全研究人员愿意接受这种荣誉了。2002年,iDefense Labs成为了全球首批购买软件缺陷的公司之一,它为每个缺陷支付数百美元。
2005年,TippingPoint也加入了买卖软件缺陷的行列,去年,它买卖了82个软件缺陷。iDefense表示,其自由研究人员在2006年发现的软件缺陷数量由2005年的180个增长到了305个,根据严重程度,它会为每个缺陷支付1000-10000美元的费用。
安全研究人员非常欢迎缺陷能够换来真金白银的主意。2005年12月份,一名自称为“Fearwall”的黑客曾试图在eBay上出售一个能够通过Excel破坏计算机的软件,在被撤销前,它的价格曾达到了53美元。在此后的数个月中,数起互联网攻击利用了Excel中的缺陷,这使得安全专家相信,它的开发者找到了销售它的其它途径。
2006年1月份,卡巴斯基实验室发现了新兴的软件缺陷市场的更多证据。它当时还披露,俄罗斯的黑客团伙已经出售了一个针对微软图形格式文件━━WMF的零日利用代码,价格是4000美元。这使得犯罪分子得以在数万名互联网用户的计算机上安装了间谍件和其它恶意代码。微软匆匆忙忙地发布了一款补丁软件。微软在9月份又发布了一款补丁软件,修正IE的矢量图形引擎中的一个缺陷。
eEye Digital Security合伙创始人迈弗雷特表示,黑市上软件缺陷的价格要高于合法的公司支付的价格。即使是有道德的安全研究人员也感到,iDefense和TippingPoint等公司支付的报酬不足以弥补在复杂和相对安全的软件中发现缺陷所需要的时间和努力。一些黑客根本不关心是谁购买了他们的软件缺陷资料。
一名黑客表示,尽管微软大幅度提高了Vista的安全性,但地下黑客圈有足够的经济利益动机来发现其中的“短板儿”。这可能是大话,微软已经采取了大量预防性措施,例如,阻止非授权软件在内核中运行,在操作系统和浏览器之间建立了安全隔离层。
微软希望地下软件缺陷市场会消失,它说,我们将向帮助微软的研究人员表示感谢。但独立安全研究人员表示,这种时代已经一去不复返了。地下软件缺陷市场的动力是现金。
网友评论