|
當Windows XP在5年前發布時�,黑客查找其中缺陷的動機是名譽而非經濟利益�。但是�,現在軟件缺陷具有了真正的經濟價值�����。它們的交易通常在網絡上進行�����,而且買賣雙方都是合法的安全公司����。
Vista成為了最新的目標����。iDefense Labs本月表示��,它將為前6位找到Vista中缺陷的研究人員提供8000美元獎金��,并為利用這些缺陷的代碼提供4000美元���。iDefense會將這些信息出售給企業和政府機關���,幫助它們保護自己的Vista系統����。
微軟等并不認同這樣的獎勵計劃���,但它們面臨著更大的問題:互聯網犯罪分子愿意出更大的價錢�����,提前了解能夠供他們興風作浪的軟件缺陷消息�����。
趨勢科技去年12月份指出�����,在一個羅馬尼亞互聯網論壇上看到一個售價為5萬美元的Vista缺陷����。安全專家表示����,這一價格似乎是可靠的��,他們經常會發現黑客在論壇上出售發現的軟件缺陷和利用這些缺陷的代碼���。最受歡迎的所謂的“零日利用代碼”��,因為這樣的代碼能夠迅速傳播��。
傳統上�,軟件廠商要求安全研究人員在發現缺陷后首先向它們通報�,以便它們能夠開發補丁軟件���,保護更多用戶的安全�。但是����,安全研究人員認為�,他們的時間和努力應當有更高的價值�。
小安全軟件廠商Gleg創始人列格洛夫說�����,要發現一個缺陷�,研究人員需要大量的研究工作��,而他們能夠獲得的通常只是軟件廠商的一聲“謝謝”��,有時甚至連這也得不到���。
Gleg向全球12家企業客戶出售缺陷研究報告�,費用最低為1萬美元�����。列格洛夫表示����,他經���;亟^出價更高的電腦犯罪分子���。
濫用這樣的信息發動攻擊或幫助別人發動攻擊是非法的�����,但發現和出售缺陷的行為并不非法���。軟件缺陷的價格通常在200美元和數萬美元之間���。
當然了����,微軟并非是唯一的目標��。合法的安全研究人員和地下的黑客會在所有廣泛使用的軟件中尋找缺陷����,其中包括甲骨文的數據庫和蘋果的Mac操作系統�。一種軟件越普及����,對它進行攻擊的代碼的價格也就越高����。
在可預期的未來�,Vista中缺陷的銷售將繼續落后于應用更廣泛的軟件缺陷的銷售�����,甚至也會低于Windows XP�。在談到安全缺陷網絡地下市場時�,微軟安全響應中心的主管米勒說�,當然了���,這令我們感到擔憂�。由于地下缺陷交易市場的存在�����,軟件廠商開發補丁軟件的速度將落在黑客發動攻擊的后面����。
在整個1990年代��,軟件廠商和缺陷研究人員就軟件缺陷披露方式進行了激烈爭論����。軟件廠商認為����,向公眾披露軟件缺陷將為黑客開發利用缺陷代碼和制作病毒方面提供幫助�。安全研究人員則認為��,廠商希望掩蓋它們的失誤����,公開披露缺陷信息使企業和個人能夠更好地保護他們的系統�。
雙方達成了不穩定的妥協��。在發現安全缺陷后�,安全研究人員將向廠商通報����,等待廠商發布官方補丁軟件后再向公眾披露缺陷資料��。廠商則應當給予研究人員相應的榮譽����。
趨勢負責全球教育業務的主管佩里說����,但是����,在最近的5年中���,已經沒有安全研究人員愿意接受這種榮譽了��。2002年�����,iDefense Labs成為了全球首批購買軟件缺陷的公司之一���,它為每個缺陷支付數百美元�����。
2005年��,TippingPoint也加入了買賣軟件缺陷的行列�,去年���,它買賣了82個軟件缺陷�����。iDefense表示�,其自由研究人員在2006年發現的軟件缺陷數量由2005年的180個增長到了305個����,根據嚴重程度���,它會為每個缺陷支付1000-10000美元的費用����。
安全研究人員非常歡迎缺陷能夠換來真金白銀的主意�。2005年12月份��,一名自稱為“Fearwall”的黑客曾試圖在eBay上出售一個能夠通過Excel破壞計算機的軟件���,在被撤銷前��,它的價格曾達到了53美元�����。在此后的數個月中�,數起互聯網攻擊利用了Excel中的缺陷�����,這使得安全專家相信�����,它的開發者找到了銷售它的其它途徑���。
2006年1月份���,卡巴斯基實驗室發現了新興的軟件缺陷市場的更多證據���。它當時還披露�,俄羅斯的黑客團伙已經出售了一個針對微軟圖形格式文件━━WMF的零日利用代碼�,價格是4000美元�����。這使得犯罪分子得以在數萬名互聯網用戶的計算機上安裝了間諜件和其它惡意代碼�。微軟匆匆忙忙地發布了一款補丁軟件��。微軟在9月份又發布了一款補丁軟件�,修正IE的矢量圖形引擎中的一個缺陷�。
eEye Digital Security合伙創始人邁弗雷特表示���,黑市上軟件缺陷的價格要高于合法的公司支付的價格����。即使是有道德的安全研究人員也感到���,iDefense和TippingPoint等公司支付的報酬不足以彌補在復雜和相對安全的軟件中發現缺陷所需要的時間和努力��。一些黑客根本不關心是誰購買了他們的軟件缺陷資料����。
一名黑客表示�,盡管微軟大幅度提高了Vista的安全性���,但地下黑客圈有足夠的經濟利益動機來發現其中的“短板兒”����。這可能是大話���,微軟已經采取了大量預防性措施�����,例如�,阻止非授權軟件在內核中運行�����,在操作系統和瀏覽器之間建立了安全隔離層����。
微軟希望地下軟件缺陷市場會消失�����,它說�����,我們將向幫助微軟的研究人員表示感謝�����。但獨立安全研究人員表示����,這種時代已經一去不復返了����。地下軟件缺陷市場的動力是現金��。
本文出自:億恩科技【www.endtimedelusion.com】
服務器租用/服務器托管中國五強�����!虛擬主機域名注冊頂級提供商��!15年品質保障����!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯通骨干機房
0371-60135900
