揭秘“0 day漏洞”：一款强大却脆弱的武器

所谓“0 day漏洞”就是尚未被供应商修复的安全漏洞，且这些漏洞可被恶意行为者滥用并转化为一款威力强大但却脆弱的攻击武器。近年来，越来越多的证据显示，各国政府正在购买和使用0 day漏洞用于军事、情报和执法目的——当然，这是一种极具争议的做法，因为这会导致社会无力抵御发现了相同漏洞的其他攻击者。

在黑市上，0 day漏洞属于高价商品，但有漏洞悬赏项目鼓励安全人员发现并向供应商报告这些安全漏洞。修复危机意味着0 day漏洞重要性日趋下降，而所谓的老（0ld-days）漏洞变得几乎与0 day漏洞效果一样。

为什么0 day漏洞是危险的？

0 day漏洞得名于漏洞发现时补丁存在的天数：零天。一旦供应商发布安全补丁，该漏洞就不再属于0 day范畴。之后，这些安全漏洞将加入到无穷无尽的可修复但却未修复的0ld-days行列。

在过去，比如说10年之前，一个0 day漏洞可能已经足以实现远程入侵了，这使得发现和拥有0 day漏洞显得极具威力。

时至今日，消费级操作系统（如Windows 10或苹果的iOS）中的安全缓解措施，使得攻击者不得不将数个（有时甚至是几十个）小的0 day漏洞联合在一起以获得对给定目标的完全控制权限。如此一来，也推动了黑市上的iOS远程执行0 day漏洞价格飙升至了天文数字水平。

0 day漏洞黑市

想要轻松赚取150万美元吗？据Zerodium官网介绍，只要你寻找到符合条件的iPhone0 day漏洞并将其卖给Zerodium，就可以获取到这笔奖金。Zerodium声称，其提供的漏洞悬赏奖金可能是目前市场上最高的。而像Zerodium这样的漏洞代理商只会将漏洞卖给军事间谍机构，但众所周知，世界各地的专制政府的秘密警察也会购买0 day漏洞来攻击记者和迫害持不同政见者。

与仅限向经批准的政府出售0 day漏洞的灰色市场不同，黑市则是向任何身份的买家出售此类商品，包括有组织的犯罪团伙、贩毒集团以及像朝鲜/伊朗这种被灰色市场排斥在外的国家等等。中国菜刀

至少到目前为止，《瓦森纳协定》并未能限制黑/灰色市场上的0 day漏洞交易。《瓦森纳协定》禁止向禁运国家出口铀浓缩之类的军民两用技术。2013年一项“对可被用于恶意目的的技术加以控制”的提案遭到了反对，很多人认为该提案反而会让形势变得更糟而不是更好。

如今，不管监管条件和力度如何，任何具备充分动机的政府或犯罪集团都可以通过各种途径掌握到这些黑客工具，包括0 day漏洞利用。

漏洞奖励项目 vs 协同漏洞披露

黑帽子们从来都不会关心自己发掘的0 day漏洞，他们只在意能够从黑市或灰色市场上获取到最多的钱。而有良知的安全研究人员则会选择向供应商报告漏0 day洞的方式，来最大限度地减少伤害并获取相应的回报。任何规模的组织都应该公布漏洞披露流程，公开承诺对安全问题进行无害的善意报告，并在内部对所报告的问题进行分类。这就是如今ISO 29147和ISO 30111中标准化的最佳实践。

为了鼓励安全研究人员上报0 day漏洞，各类组织可以选择提供漏洞悬赏项目，通过向道德安全研究人员提供大额奖金的方式，来激励漏洞研究和披露行为。当然，这些报酬可能远远比不上黑市高价，其目的只是用于奖励那些做了正确事情的安全研究人员。

政府应该囤积0 day漏洞吗?

研究表明，国家安全局（NSA）、中央情报局（CIA）和联邦调查局（FBI）都在寻找、购买和使用0 day漏洞，也由此引发了舆论争议。政府选择利用0 day漏洞攻击犯罪分子，而不是将漏洞报告给供应商进行修复的行为，可能会让我们更容易遭受犯罪分子的攻击。因为这些犯罪分子和境外间谍组织同样有可能找到或窃取到相同的0 day漏洞，如此一来，我们所有人就都不安全了。批评家们认为，如果政府的任务是保护我们，那他们就应该主打防守而非一味冒进。天空彩

在美国，漏洞平衡策略（VEP）就是美国政府当前用以评估0 day漏洞披露的机制。不过，VEP虽然有效、务实，但仍存在诸多问题。信息安全社区中的批评人士就曾指责称，美国政府为了保留战略情报优势而囤积0 day漏洞，且没有向各企业提醒这些安全漏洞的存在。

如今，尽管修订版的VEP要求美国政府实现文化转型，而不是囤积安全漏洞。但政策的好坏要靠实际施行情况来判断。至于文化转型，我们仍需拭目以待。

2017年，影子经纪人（Shadow Brokers）泄露的一系列漏洞利用，包括流传甚广的永恒之蓝（EternalBlue），进一步引发了“政府是否应该囤积0 day漏洞”的谈论。很多人认为，影子经纪人隶属朝鲜或俄罗斯情报机构，其盗取了NSA黑客工具并公开在网上发布。犯罪分子拿到这些强大的NSA网络武器并将其用于犯罪目的，其引发的混乱直至今天仍有余波。

修复是比0 day漏洞更大的问题

0 day漏洞确实是令人着迷且兴奋的存在，它不仅能够为攻击者带来技术上的极大满足，也能为发现者带来极高的收益。但如今，它已不像以前那么令人着迷了。补丁的发布并不意味着易受攻击的设备得到了修复。在很多情况下，例如对IoT设备而言，“带病出厂”本就属常态，而且这些漏洞之后可能再也接受不到修复。有时候则是物理上就无法修复设备。如果不能在生产中应用补丁，那么供应商发布的安全补丁也没什么用处。

因此，对于攻击者（无论是政府网军还是网络罪犯）而言，使用0ld-days已经绰绰有余。很多情况下，拥有0 day漏洞利用的攻击者甚至不愿意使用自己手中的0 day漏洞，而是选择使用0ld-days，因为对技能高强的防御者使用0 day漏洞，反而会容易暴露0 day漏洞的存在——这也解释了0 day漏洞脆弱的原因所在，特别是在当前网络空间种愈演愈烈的国家博弈环境下，0 day漏洞也不可避免地变得更为脆弱。