北京
网络安全圈撒“零日”这个词儿,撒得跟婚礼彩纸似的。每隔一周就来一个新头条:“新鲜漏洞披露”,有人张嘴就喊零日。Log4Shell在某个犄角旮旯的库里又冒出一个变种,推上立刻刷屏:又是一起零日。某个CVE编号周二刚挂出来,周三信息安全时间线上大半已把它称作零日。可这个词本身是有精确含义的,我们这帮人几乎把它彻底丢掉了。
原教旨定义很具体:零日漏洞——厂商不知道,任何有能力缓解它的人也不知道。那个“零”,指的是厂商连漏洞存在都不晓得,所以修复倒计时为零天。针对这种漏洞的利用,叫零日利用。已经在野发生的真实攻击,就叫零日攻击。不是“跟你有点关系”,不是“你个人刚听说”,必须是“未知”——对厂商未知、对防御方未知、对所有人未知。
这个说法其实是从warez圈子传过来的。当年“zero day software”指的是正式发布日前就搞到手的软件——第零天,你比别人都早拿到。后来术语流入漏洞研究领域,才染上现在这个更特定的意思,至少是我们理应使用的意思。然而现实走样了:有人发现一个漏洞,可能是研究员、情报机构、也可能是攻击者。这漏洞在黑市上流转,被囤积起来,在从不登上头条的定向行动里悄悄用着。几个月过去了,几年过去了。兰德公司发过研究,平均每款零日利用工具能在野存活近七年。七年——期间没人知道有这么个洞,所有能修它的人都蒙在鼓里。
然后有一天厂商终于发现了。或者某位研究员发布了文章。或者一次外泄逼得人家不得不公开。刷地一下,它就变成了“零日”。标题写手可爱死这个词了——听着就吓人,听着就新鲜,好像有个全新的东西刚从暗处爬出来打算搞死所有人,可人家八成已经游荡了好多年。这不是咬文嚼字,语言会框住我们看待风险的方式。当每一个稍微有点意思的CVE都被贴上零日标签,这个词就彻底没劲儿了。团队会变得麻木:他们听到“零日”,心想跟其他告警一个样,单单这个月就听见五十回了,其中一些在野时间比新人的工龄都长。
而与此同时,那些真正的零日漏洞,是实打实吓人的。没有哪个防守者曾经见过它,特征码不存在,行为检测揪不住它,补丁?赶紧收起来吧,没人知道有问题。震网病毒动用了四个零日,“永恒之蓝”在被影子经纪人倒出来之前也是一个货真价实的零日,而且一当就是好多年。就是这类漏洞,让安全架构师半夜从床上弹起来。
更让人不太舒服的部分来了:国家力量在采购它们。有情报机构设有专门部门,任务就是发掘这类东西。具体的?相关消息便到此戛然而止了。想象一下那个景象——某个你根本没听过名字的接口里,躺着一个可以跨过一切权限的bug,而某些地方正有人反复测试它,年复一年地测试。你手机上现在跑的那个系统版本,里面可能就嵌着这样一枚没人知道的时间胶囊。可一旦它终于被曝光,全网第一反应还是那几个字:“重磅零日来袭!”
安全社区需要一场集体反思:究竟是被“零日”这个营销词绑架,还是重新在乎“有一天你们终将知道它存在”的那份凛冽。否则,等真正的零日擦着你的防火墙边缘滑进来那天,警报声也不会比今天这封邮件响起得更刺耳。毕竟,上个月你已经听说过四十个零日了,谁还会再为一个绷紧神经呢?
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
