在美国中央情报局(U.S. Central Intelligence Agency)的网络间谍武器最近被曝光之后,软件供应商重申了他们将及时修复漏洞的承诺,并告诉用户,该机构泄露文件中描述的许多漏洞已经得到修复。
虽然从公共关系的角度来看,这些保证是可以理解的,但它们并没有真正改变什么,尤其是对于那些受到政府支持的黑客攻击的公司和用户。与维基解密之前相比,他们使用的软件并没有降低安全性,也没有得到更好的保护公布了8700多份中情局文件上周二。
泄露的文件描述了中情局网络部门用来入侵所有主要桌面和移动操作系统,以及网络设备和智能电视等嵌入式设备的恶意软件工具和漏洞。文档不包含这些工具的实际代码,一些更有说服力的描述已经被修订。
维基解密创始人朱利安·阿桑奇表示,他的组织会与软件供应商分享未公布的细节吗这样漏洞就可以被修补。但即使维基解密这样做了,重要的是要意识到这些信息只是一个及时的快照。
文件中最近的日期是2016年3月初,这可能表明文件是从中情局系统复制的。一些exploit清单显示了相同的信息。
例如,该页面描述了苹果iOS系统的漏洞包含一个表,其中有他们排列的iOS版本。这个榜单截止到2015年12月发布的iOS 9.2。下一个重要的更新是iOS 9.3,于2016年3月底发布。
其中一个内核开发,代号为南岛,从英国获得在iOS 8.0到9.2版本中都可以使用。这是否意味着它不能在ios9.3或者更新版本的操作系统上运行?不一定。更有可能的是,这个表格停在9.2,因为当CIA的文件被复制时,这是iOS的最新版本。
此外,如果没有额外的细节,苹果不太可能知道这个漏洞和其他漏洞是否已经被修补。对“Nandao”的唯一描述是,它是一个堆溢出内存损坏漏洞,并且没有指示它实际位于哪个内核组件中。
漏洞情报公司Risk Based Security的首席研究官卡斯滕·埃拉姆(Carsten Eiram)在电子邮件中表示:“除非苹果获得了漏洞的全部细节,并进行了彻底的根本原因分析,否则苹果无法确保新版本不受影响。”
影响其他软件的缺陷也是如此。Eiram的公司确认了一些已经打了补丁,但有些在它们影响的程序的最新版本中仍然有效,比如Prezi Desktop演示软件中的DLL劫持缺陷。
Eiram说:“用户不应该仅仅因为在转储中没有提到新版本就认为它们不会受到影响。”
即使所有这些缺陷最终会被揭露给供应商并被修补,这并不意味着CIA没有更新的零日漏洞。2016年3月,该公司的exploit收购行动并未停止。
当该机构的内部文件被泄露时,它利用了未修补的漏洞,而且目前它很可能对最新版本的流行程序和操作系统也有类似的漏洞。
重要的是要意识到,总是有零日利用在外,而不只是在情报机构的手中。2015年,一家为执法部门提供监控软件的意大利公司黑客团队(Hacking Team)也泄露了类似的信息,该公司经常从黑客那里购买零日漏洞。
多年来,许多黑客组织在他们的攻击中使用了零日漏洞,其中一些如此频繁,以至于他们可能拥有大量未修补的漏洞。还有一些私人经纪人支付巨额资金获得这样的业绩然后再卖给他们的客户,包括执法和情报机构。
Eiram说:“这次泄露更多的是证实了对这些机构能力的怀疑,而不是出乎我们的意料。”
根据Eiram的说法,软件行业可以更好地防止开发人员在他们的代码中引入漏洞,并可以构建功能,使开发更加困难,降低风险。但在可预见的未来,没有什么魔法棒可以消除所有的漏洞。如果说有什么不同的话,年度统计数据显示软件漏洞的数量实际上在上升。
Eiram说:“出于这个原因,用户最好记住——不要发展成完全的妄想症——当浏览数字世界时,总有一些人可以破坏你的系统,如果他们真的想的话。”“无论在现实世界还是数字世界,一点点逻辑、怀疑和安全意识都将大有裨益。”
可能成为网络间谍攻击目标的用户和公司应该采取多层次的防御方法,而不仅仅是应用供应商补丁,还要考虑到零日漏洞的存在。