安全漏洞市场的成长

研究与发展前沿技术安全漏洞市场的成长文/DavidMcKinney软件漏洞的商业化成了一个热门讨论的话题，它不可避免地与安全漏洞所涉及的道德问题相联系起来。在这场辩论中，人们分为好几个阵营，有软件经销商，安全系统提供商以及独立的安全研究专家。漏洞信息的商业化问题是当前讨论的一个方面，该问题引发了对于许多新问题的探讨，并且得到了所有人的关注，因为这将会威胁到人们能否继续免费使用安全研究的成果，而且也蕴藏着危险信息将落入某些邪恶的个人或者犯罪团伙手中的隐患。然而，把程序错误（bug）当作商品出售一直都是软件行业的传统做法。它早期的形态是：当出现危急错误时，软件公司便以金钱堵住研究人员的嘴。这种将商业价值附加于错误之上的行为，就是本文中将讨论的“纯粹”漏洞市场的前身。漏洞成为商品在纯粹的漏洞市场中，每一组不间断的漏洞都是一个交易的单位。它的价格是由买方、卖方和需求决定的。在这样的市场中，知识的独占性是其商业价值的核心，因此当一个安全漏洞成为众所皆知的“秘密”时，它就失去了价值。当然，它也会受到其他因素的影响，比如相关软件的普及程度，漏洞对于安全性能的影响，以及破解漏洞的功效。当很少有人了解某一个漏洞时，它的价值是最高的。但是，经历了诸如经销商发布通告、信息泄露、个人的独立发现，以及由于网络中高频率的攻击导致意外发现漏洞的情况时，它的价值就开始下滑。因28中国教育网络2008.2-3为很难判断和评估信息的独家性，许多买家采用签订独家性协议的方式迫使漏洞报告者确保他们的信息在他们所知道的范围内是独家的。很少有买家会对非独家的信息感兴趣。直到2002年，羽翼丰满的漏洞市场才迟迟登场，部分原因是对一些相关道德及法律方面问题的考虑，此外就是得到了完全公开运动的支持。通过研究这一现象背后所反映的社会发展状况，我们能够逐渐明白，商业利益如何使安全漏洞成为真正意义上的商品。公之于世最初，上世纪九十年代的完全公开运动使人们可以免费获取关于安全漏洞的公共信息。然而，商业的介入使得这些信息在本质上越来越成为私有财产了。到了上世纪九十年代末，当安全软件经销商通过不同的商业模式来间接开发漏洞的潜在商业价值时，事情开始发生变化。最初还没有买卖这些信息的公共场所，但是近几年，我们看到市场正在逐步形成，交易双方可以公开竞价交易这种商品。各种学派都在讨论如何公布漏洞。赞成完全公开的人主张向公众告知所有的信息，在时间上甚至要优先于相关产品的经销商。另一种观点主张有责任的公开，就是强调首先私下将安全漏洞告知经销商，然后在经销商发布一个补丁之后再将漏洞公之于世。完全公开运动形成于例如Bugtraq的邮件列表之类的场所，研究人员在那里形成了一种交换信息、开发漏洞的文化氛围。许多支持者都真诚地希望能够通过在大多数不受金钱收益驱使的情况下，自由交换信息来推动计算机安全状况的整体进步。漏洞的商品化起源于一些开始提供商业化漏洞数据库和预警服务的公司，例如：SecurityFocus,e-SecurityOnline,以及Vigilinx等。这些服务主要是整合那些公众已经知道的漏洞信息，以告知用户已经受到漏洞影响的产品。然而，这些服务不能提供那些鲜为人知的漏洞报告，它们也没有花钱请专门的安全研究人员来发现新的漏洞。相反，它们的漏洞数据库需要依赖于能否获得免费公开的信息。然后它们将对这些信息进行分析、整理，并出售给用户。商业化多年来，安全研究人员一直对以商业利益为导向的服务表示反感。一些人通过对研究人员提供的信息进行人为的封锁，比如通过各种条例阻止漏洞数据库记录内容等方式，达到转售本应公开的漏洞信息的目的。安全顾问以及渗透测试员在一定程度上将漏洞转变为商品了。商业性的渗透测试公司，如CoreImpact和ImmunitySecCanvas，提供商业级别的开发作为它们的一项产品。ImmunitySec也是众多积极参与研究零天漏洞，并通过不公开协议将这些信息发布给客户的公司之一。据推断，私下发现的漏洞要远远多于已被公开的漏洞(/archive/)。要想准确地统计其数量几乎是不可能的，但是私人安全公司和独立研究员共同做出的努力是很有意义的。很明显，很多公司将它们发现的漏洞视为私有的知识财产，而不能

试图奖励那些向它提供信息，并且有过多次贡献的研究员，以培养一批忠实的漏洞研究者。iDefense的商业模式与其他安全系统提供商所发展的报警服务很相似，但是不同之处在于，它包含从漏洞贡献者项目中获得的预先提示。iDefense对研究人员的付费标准通常依据该漏洞对于它的客户价值的大小。鉴于它的成一个安全漏洞引发了全国性的恐慌和灾难《，Livefreeordiehard》给我们演绎了一场网络时代的灾难，但显然，这个隐患不是臆断或捕风捉影。功运营模式，Verisign在2005年收购了被分享或者告知经销商。iDefense.一些顾问机构和安全系统提供商通过TippingPoint是3Com的一个分支，在公开一些具有新闻价值的漏洞来追逐其中2005年开始了自己的项目。TippingPoint的商业利益。它们通常雇佣安全专家，但的零天启动项目（Zero-DayInitiative，却不会出售他们的研究成果。这也帮助这ZDI）购买有关漏洞的信息，就像iDefense些公司在安全研究业界树立了诚信。一样，这家公司也坚持奖励那些多次提供入侵监测及拦截系统的提供商甚至会信息的研究者。然而，TippingPoint并不为它们发现的漏洞增加额外的保护，而用出售漏洞的细节或者开发代码，它将这些户也许还将这种做法当成是该系统优于其信息用于发展自己的入侵防御产品中的签他系统之处。尽管从严格意义上来说，这些名档。简而言之，他们向用户提供的保护是公司并没有从它们所发现的漏洞中获得收其副产品。益，但是这种商业模式的确是有利可图的。此外，TippingPoint并不与用户分享信息，除非是已成为众所皆知的事情。ZDI主要参与者项目的意图是提供缓解问题的方案，而又排除黑客可以查出任何漏洞信息的可能性。漏洞对于安全软件产业来说有着多种因此，它为用户提供的签名档往往都是以商业用途，但是漏洞研究者自身在发现或专利权计算程序加密过的，用于防止黑客者建立这种知识财产的交易场所方面显得通过逆向工程来窃取漏洞信息。然而，这有些落后。到了2002年，这种状况有所改并不是一个完美的解决办法。ErrataSe-观。一家名叫iDefense的公司启动了漏洞curity破译了这一程序，并在2007年的黑贡献者项目(/帽子安全会议中公布了它的发现(/)。这是第一次由一家公司向独立安全/?doc研究人员购买漏洞的合法努力。_id=130313&=news1_1)。它发现iDefense公司用现金获取一些新发现犯罪组织可以对Tipping-Point的签名的、前所未知的漏洞的独有权。这家公司档通过逆向工程来获取足够的信息，并通也会付钱来获得有用的开发代码和联系经过开发那些签名档想要保护的漏洞来发动销商，以及向公众发布建议的权利。它还攻击。前沿技术研究与发展ZDI项目也包括当TippingPoint已经向其用户发布签名档之后，与其他安全经销商分享漏洞信息。这种做法的主要目的是将对用户的服务价值最大化，同时也使得相关经销商和安全系统界受益，因为它可以使经销商自己也得到缓解。iDefense和TippingPoint是漏洞市场的主要参与者，因为它们具有较高的声誉和大公司背景。DigitalArmaments是一家较小的独立服务机构，它用iDefense的模式进行了包装。DigitalArmaments贡献者项目（DigitalArmamentsContribu-torProgram）开始于2005年，是为了对漏洞研究者进行补偿而施行的信用项目也有现金奖励）。该项目的目的是召集一些有多次贡献的研究者，以便形成一个漏洞研究团体。就像那些大的玩家一样，DigitalArmaments可以用出售高级通告服务所获得的收入来购买漏洞，从而对它的投资进行重组。最终，漏洞研究者将面临一个抉择：如果他们直接将一个漏洞告知经销商，那个经销商很有可能会为了其自身的最佳利益而公开这个问题；而如果他们将漏洞卖给第三方，那通常会有悖于他们的利益，因为给这些漏洞加了补丁之后，信息本身的价值将会大打折扣。让经销商提供解决方案的第三方漏洞买主，也许比灰市或黑市的漏洞买主更道德些。但是他们将会花更多的钱，这会降低他们对安全研究人员的补偿能力。iDefense和TippingPoint提供的服务宣扬它们的道德感，并希望安全研究人员降低补偿的要求，因为它们承诺这些信息将用于助人为乐。而灰市和黑市的买主可能不会提供这样的保障。漏洞发现与分析实验室（VulnerabilityDiscoveryandAnalysis，VDA）创立于2007年4月，它作为一个安全研究人员的团体，直接寻求与漏洞产品经销商合作的机会。这个行动与我们通常定义的漏洞市场有些出入，但是却是值得关注的，因为它将2008.2-3中国教育网络29（研究者可以用信用来交换公司股票，并且

研究与发展前沿技术漏洞商品化的行为很有争议性。当VDA发现一个漏洞，它将首先购买顾问服务独家权的机会留给经销商，如果经销商不接受，护。在该公司描述它的策略，即不告知相关经销商已经竞标的漏洞时，列举了瑞士的中立传统。这种做法与其他的合法市场现状中，显得尤为重要。2005年12月，致使MicrosoftWindowsmetafile格式受到影响的漏洞被人发现了。Kaspersky实验VDA将漏洞提供给第三方或者干脆将其公之于众。这个行业中的很多人都批评这种运营模式，他们认为这是一种敲诈行为，因为如果经销商不接受漏洞信息，将会得到不好的结果。新运营模式到目前为止，服务提供商多是以相似的运营模式来收购漏洞。他们主要是向漏洞卖方购买知识产权，然后又将它以不同的方式出售给它的客户。多年来，很多方面的人士都致力于创造新的竞标方式，或者使用现存的竞标方式来为买卖双方的交易提供便利。2003年，安全专家GregHoglund试图建立一个漏洞竞标的网站名叫，但是最终由于法律方面可靠性的考虑，他决定放弃这个服务。2005年，安全研究人员试图使用eBay出售漏洞信息，但是该网站撤消了这些交易，因为违反了该网站的有关原则。第一次官方的漏洞竞标出现在2007年7月。当时，WabiSabiLabi(WSLabi)在瑞士成立。WSLabi致力于在其竞争对手iDefense和TippingPoint运营模式的基础上进行发展。它认为TippingPoint的服务近似于一种垄断，并将使研究人员无法获得相对公平的酬劳。WSLabi的目的是仲裁买卖双方之间的交易，以确保漏洞在该网站买卖。作为服务的一部分，WSLabi也会为卖方提供顾问服务，以使其获得最大的贸易价值，如为竞标提供合适的底价。该公司宣称它们的运营方式与其竞争对手不同，因为市场决定价格，贸易双方可以通过妥协来达成一致意见。WSLabi网站充满了实现其目标和道德观的大量信息。它认为，安全研究只有在研究人员不再被强迫免费为人们提供他们的研究成果，或者不将研究成果卖给犯罪组织的情况下，才有可能受到合法的保30中国教育网络2008.2-3有所不同。WSLabi通过学习竞标网站如室随即得知俄罗斯黑客已经以4000美元的eBay等，建立了自己的盈利模式，每笔交价格在黑市将该漏洞出售。久负盛名的安易收取百分之十的费用。各种各样的竞标全专家宣称，他不断收到关形式使得参与者可以将漏洞卖给个人或者于微软因特网浏览器中的每个漏洞的从6多个买者。买者可以通过竞标获得漏洞，万到12万美元的报价。Netragard的Adriel也可以买有定价的，甚至可以花钱买下这Desautels有一个漏洞收购计划，征集愿意个漏洞的独家所有权。卖方在竞标之前会出7.5万美元购买一些危急漏洞的买主。制定各种规定。ThomasHolt，来自夏乐市北卡莱罗纳州然而，这种商业模式并不完全建立在大学，最近在研究黑客论坛时，发现漏洞获取交易手续费的基础之上，它也通过预正在以少则100美元，多则3000美元的价先提示服务来提醒用户那些已经被竞得的格被出售。漏洞来扩大营业利润。卖方通过利润分成从这项服务中获得额外价值，但是买方却因此失去了价值，因为他所购买的信息并不是独家的。为了使这一模式能够获得成功，WSLabi必须确保个人自由选择的活动形成市场机制，核心是竞争，我们看到安全漏洞的需求市场正在形成，交易双方可以公开竞价交易这一商品，并逐渐出现了各类运营模式。买方比预先提示服务的客户获得更多的价值。那些出售漏洞并获取利益的人们将会WSLabi承认出售漏洞存在风险。它面临这种可能性，即其他人也许会通过独服务的所有用户必须提供身份验证以及有立研究获得同样的发现，并且将这一发现效的个人银行账户，或者PayPal账户，以在公共论坛中公开出来，经由经销商制作便于资金转移（这与瑞士法律一致，该法补丁，或者在漏洞市场上出售。这些独立律要求在金融交易中的所有参与者都要提发现给漏洞的卖方造成巨大的压力，他们供身份验证。）实行这些措施也是为了防止必须使漏洞的商品化过程加速，越快越好。犯罪分子参与竞标。确保所有的买方和卖因此，研究人员也许会将他们的发现卖给方都不怀有恶意或者犯罪意图，是建立一最快出价的竞标者，而不是出价最高的。个合法的漏洞市场所必须面对的主要挑战这种威胁以各种各样的形式存在于漏之一。洞市场，但是灰市和黑市这种威胁尤为严重。在那些地方，卖方和买方都不会公开灰色的阴影他们的报价和服务。卖方在这些市场中活动，因为他们认为可以在灰市和黑市获得对诸如iDefense,Tipping-Point,和比合法的市场更多的利润。然而，他们很WSLabi这样可靠的第三方的需要，在当难找出那些深藏不露、以回报来评定投资前面临诸多困难的灰市和黑市的漏洞交易的买主。这使得卖方的社会关系网络成为

一种十分宝贵的资产。成功也就意味着他们也许被迫要与邪恶组织有交往，而那些组织通常购买漏洞用于攻击电脑和发明恶意代码，如病毒、蠕虫之类。灰色和黑色漏洞市场也存在其他风险。买卖双方缺乏信任，通常会导致相互欺骗。因此，卖方必须向预期买主证实他们所发现漏洞的准确性，同时又不能泄露其中的细节。通过向买主进行展示或者对漏洞进行描述，都可能会使买主获得足够的信息来自己发现漏洞，而不需要再花钱去买它。另一方面，买主如果不能确认他们所要购买的是否为尚未被公开的漏洞的独家信息，他们就有可能上当。而且，直到完成交易之前，任何一方都有可能会食言。缺少可靠的第三方的介入，信任和声誉都只是口头上说说而已。经销商的角色原则上讲，软件经销商通常都很不情愿参与漏洞市场。尽管经销商会雇佣安全研究人员来执行安全检测和消除漏洞，他们中很少有人会愿意花钱买别人主动提供的漏洞报告。正如前文中所说的，期望通过向经销商提供漏洞报告来获得报酬几乎是不可能的。然而，经销商最终对他们产品中的漏洞负有责任。当这些漏洞在开发市场中出售时，这种责任将转移到那些不会在漏洞补丁中获得既得利益的人身上。这些人可能是合法的买主，也可能是黑市中的违法分子。漏洞的私下交易使得经销商和他们的顾客都面临一定的风险，因为买卖双方都企图将信息据为己有。我很好奇，经销商是否会成为最后加入这场交易的一方。Mozilla基金是少数参与其中的经销商之一。它给予报告漏洞的安全研究人员金钱上的奖励。Mozilla安全错误悬赏奖励计划悬赏500美元和一件T恤给任何能够提供关于Firefox或者Thunderbird中存在的可证实的危急漏洞的人。该项目的预算，来源于用户的捐助。尽管这种类型的项目也曾有过先例，但是行动本身却是极为罕见的。大型经销商可以承担费用，但是对于小型企业或者免费软件的经销商而言，这却是难以想象的。经销商因为忽略了漏洞市场而尝到了苦头。尽管鼓励研究人员出于责任感免费向公众报告漏洞，然而漏洞市场早已成为主流。在经销商得知并安装补丁消除漏洞之前，出于责任感而进行的漏洞报告被看作是防止漏洞攻击公众的邮件清单的一种方式。但是这无法使那些受利益驱动的研究人员得到满足，尽管人们仍期望他们免费提供报告。合法的漏洞市场都不鼓励研究人员直接向经销商报告漏洞，他们喜欢亲自出面与经销商打交道。尽管完全公开漏洞存在一定的问题，但是至少它使得所有人都处于平等的位置，不管是经销商、黑客，还是维护者，因为大家几乎都是同时获得漏洞信息的。尽管有些市场实体采用的是有责任地公布漏洞信息，漏洞的私有化并没有给相关经销商或者公众带来利益。完全公开漏洞和有责任地公开漏洞是一种重大的公众服务，因为它们使得经销商拥有那些对他们有直接影响的漏洞。只要经销商在黑客到来之前公布漏洞，就不会对公众造成太大的威胁。显然，在奖励安全研究人员与将漏洞商业化可能造成的危害最小化之间，达成一种平衡是十分困难的。与安全相关的大量免费信息不属于任何人，值得人们为防止这些信息的商业化而做出努力。不管怎样，漏洞市场将越来越能够满足买方、卖方、经销商以及普通大众的需求。从我们目前所观察到的状况来说，现存的道德模式与商业模式都为大家提供了发展的空间。只有时间能够证明，漏洞市场到底会给安全软件产业带来危害还是进步。（译自IEEESecurity&Privacy）作者简介DavidMcKinney是Symantec的威胁分析员。他也是Bugtraq邮件清单的调试员。在其业余时间，他喜欢品尝葡萄酒，聆听外国朋克音乐，喝比利时啤酒，看《罗克福德档案》。前沿技术研究与发展SEED支持计算机安全教学实验在IEEESecurityandPrivacy年会上，Syracuse大学的KevinDu展示了他们开发的计算机安全教学实验套件SEED(aSuiteofIn-structionalLabsforComputerSecurityEducation)。为了让学生在学习计算机安全时能进行动手实践，KevinDu等人基于VMWare、Minix、Linux和其他开源软件开发了实验环境套件SEED，目前SEED支持的实验包括3类：设计与实现实验、探索实验以及漏洞与攻击实验。设计与实现实验让学生学习安全原理如何在操作系统中得到设计和实现，熟悉操作系统的开发过程。实验的基础平台是Minix3，目前支持的实验种类包括在Minix上访问控制机制、IPSec协议、防火墙以及加密文件系统等安全机制。探索实验通过让学生对现有操作系统机制的观察、学习和探索，感受安全机制在实际系统中的效果，同时让学生可以分析和评估这些安全机制的有缺点。实验的平台是Linux，目前支持的实验包括对Set-UID、SYNCookie和PAM机制的探索。漏洞与攻击实验让学生通过实验攻击过程理解系统漏洞的一般特征，避免在将来犯同样的错误。实验的平台是Linux，目前支持的实验包括缓冲区溢出、TCP/IP协议栈实现漏洞以及XSS等各类漏洞。软件漏洞和网络应用是最大安全威胁eNet消息：近日，SANS组织发布年度安全报告称，网络应用和微软办公软件中的安全漏洞是当今互联网用户面临的最大威胁。SANS称，由于开发者不使用安全代码技术开发网络应用程序，因此，给黑客以可乘之机，使他们可以获得用户的数据信息。互联网上，PC和服务器之间进行的网络应用数据交换，使黑客有机会利用安全漏洞收集用户信息。报告指出，2006至2007年，微软办公软件中的安全漏洞上升了300%，最为明显的就是在电子表格中出现的新漏洞。这种漏洞允许黑客控制文件，当文件打开时，PC就会被恶意软件感染。SANS组织建议开发者使用网络应用扫描仪，以有效发现程序漏洞；使用安全代码测试工具，进行渗透测试服务，为应用开发确立安全原则。建议IT管理人员使用网络应用防火墙，制定积极有效的漏洞修复计划。2008.2-3中国教育网络31