I'n Blog 之萬象真藏

一、什麼是0-Day漏洞

0-day漏洞是指在官方發佈Patch之前的漏洞，因此它使得絕大多數的機器都處於易受攻 擊，沒有任何保護，類似無藥可救的狀態。最常見的0-day漏洞都是由黑客或者安全組織發佈的，有時甚至會同時給出攻擊代碼，尤其是IE的0-day 漏洞，對於寫流氓軟件、病毒、木馬都是非常有用的。0-day漏洞公佈和官方Patch出現之間這個窗口期，是傳播的最佳時期。

每次出現一個0-day漏洞，就意味著有一大批的網絡用戶要遭殃了。為了讓讀者能明白其中的厲害關係，下面用圖示描述一下0-day的演變過程，如圖1所示意。

從圖1中可以看出，存在於一個實體中的潛在漏洞被各類安全人員發掘出來後，由於一些社會原因 只是在一個很小的範圍內傳播這個漏洞，這一批掌握著漏洞利用方法的人（漏洞發現人員或具有破壞性的黑客）可能會因為一些原因或是受到利益的驅動，從而出售 漏洞或者利用該0-day漏洞來入侵網絡上的計算機。顯而易見，從0-day漏洞被發現到網絡實體提供商以及安全公司發佈補丁或解決方案的這段時間，網絡 上的計算機用戶對利用0-day漏洞的攻擊是沒有任何防範對策的。

因此，0-day漏洞具有巨大的經濟價值。例如，2006年底就有黑客出售Vista的0- day漏洞，要價是50,000美元。同年，法國計算機安全研究機構FrSIRT(前身為K-Otik)關閉了其站點上的公開漏洞利用代碼部分，並且宣佈 其所有的漏洞和相關已證實的利用代碼將通過他們特殊的VNS(Vulnerablility Notification Service，漏洞通報服務)方式進行買賣。

二、0-Day漏洞的國外市場

Charles Miller是獨立安全評鑑協會(Independent Security Evaluators, ISE)的首席安全顧問。兩年前，Charles Miller發現了Linux操作系統通用組件的一個遠程可利用漏洞。他決定出售這個漏洞信息，就像當今許多企業漏洞研究者所做的一樣。

由於已經離開美國國家安全局(National Security Agency)，安全專家Miller打算把這個漏洞出售給美國政府。Miller在Workshop on the Economics of Information Security發表了一篇文章，論述了他出售安全漏洞的經歷，並對安全漏洞市場進行了分析。

由於Miller發現的是Linux方面的漏洞，一位買家出價$10,000，同時，另一位買家讓他自己報價。當他要價$80,000時，他的聯繫人馬上就同意了。

Miller說：「其實我能要價更高。」

此次交易強調了對於漏洞研究者來說出售漏洞的一個重要問題是如何決定漏洞的價格。此外，時間 也是很重要的因素。Miller在完成這項交易時感覺壓力很大，因為如果其它人也發現了這個漏洞，那麼這個漏洞的價值將急劇下降。在Miller那篇文章 裡描述了另一個交易過程，當Miller出售一個微軟的PowerPoint漏洞時，微軟已經為這個漏洞打上補丁。

Terri Forslof是3Com子公司TippingPoint的安全主管，他認為研究者在出售漏洞時必須考慮相關的道德因素。

「在漏洞的補丁出現之前，能夠利用這個漏洞獲得投資回報的時間長短決定了該漏洞的價值，」Forslof說，「如果我花$50,000購買了這個漏洞，我將做些什麼？我當然希望這個漏洞永遠不出補丁。」

由於研究者們都不願意放棄自己挖掘出的來之不易的信息，也不願意主動將漏洞公佈在諸如 iDefense's Vulnerability Contributor Program和3Com's Zero-Day Initiative之類的漏洞標準庫之中，因此漏洞發現者逐漸希望通過他們的工作得到回報，出售漏洞也就變得越來越普及。

在出售第一個漏洞時，Miller發現以一個公平的價格出售漏洞是一個困難的事情。政府機構 出價$80,000向他購買這個漏洞，條件是漏洞利用代碼必須在Linux系統上進行工作，當時他沒有答應。兩個星期後，由於擔心這個漏洞被其它人發現， Miller以一個更低價$50,000把漏洞的利用代碼出售給了這個機構。

Miller說：「出售這個漏洞不算成功，因為我不知道這個漏洞的市場價，可能這個價格只是市價的1/10或者更少。」

而且，Miller在政府部門裡有聯繫人。但是在剛開始時他並不能找到合適人的進行交易，因此，如果哪個朋友能提供更好的聯繫人，Miller會給他10%的提成。

「這次交易發生的主要原因是我有自己的聯繫人，但是這對一個安全研究者來說並不是必須的。」Miller說。

但是出售第二個漏洞時並沒有這麼好的運氣。

在一月份的時候，Miller的一個朋友想通過他出售一個PowerPoint XP和2003的漏洞。Miller發現根本沒有一個指南幫助他確定這個漏洞的價格，但是他相信公司會出價$20,000而政府部門可能出價$50,000。

實際上，有很多人想買這個漏洞，但是都在討價還價，有一個公司還價高達$12,000。不幸的是，在他完成這個交易之前，Microsoft已經發佈了這個漏洞的補丁。Miller說，「時間的延長、尋找買家的困難和定價的問題使這次交易泡湯了。」

Miller說：「研究人員沒有出售研究成果所需的相關信息和聯繫人，這是不公平的」。

但是，TippingPoint公司的Forslof強調，向政府出售漏洞無須確定一個確定 公平的價格。合法的市場包括了那些正規公司，它們利用漏洞信息來保護用戶的權益，同時聯繫軟件廠商修復這個漏洞。但是對於政府部門來說，它們組成一個灰色 的市場，因為他們大部分情況下不會通知軟件廠商，而且出售者也不知道他們利用漏洞信息去幹什麼。而在黑色市場上，買家很可能是利用這些漏洞進行違法的勾 當，這些買家付的價錢是最高的，但是會使普通用戶處理危險的境地。

三、0-Day漏洞的國內市場

在國外交易0-day漏洞的人很多，已經形成了一個「市場」。而國內的黑客同行，於2006 年在網上建立了一個專門出售入侵程序號稱中國第一0-day的網站，儘管類似的提供黑客工具的網站很多，但此網站與其它網站的區別在於0-day的特性十 分明顯：價格較高的攻擊程序的攻擊對象，還沒有相應的安全補丁，也就是說這樣的攻擊程序很可能具有一擊必中的效果。這個網站成立不久便在搜索引擎中消失 了，也許已經關閉，也許轉入地下。但不管怎樣，0-day帶來的潛在經濟利益不可抹殺，而其將來對信息安全的影響以及危害也絕不能輕視。

不僅是專業的黑客，目前有許多計算機專業的在校學生也熱衷於漏洞的挖掘與交易。號稱全球最大 免費中文黑客網站的「校園黑客聯盟」至發稿日期為止已經有35305名註冊會員，已經註冊的會員上論壇裡交流黑客技術並進行漏洞交易。2007年6月16 日，有會員在論壇要價15萬論壇幣（10論壇幣=1元人民幣）出售一國的網絡硬盤0-day漏洞；同日，有另一會員要價30萬論壇幣出售一個「絕對免殺」 的灰鴿子，或者還可以以100萬的價格，直接購買持續免殺的灰鴿子。

雖然出售漏洞不是一件很光彩的事情，但是由於經濟利益的驅動，0-day漏洞也推動了漏洞挖掘技術的不斷發展與安全產業的持續進步