任何事物都有两面性 探究漏洞的价值

发现漏洞是有价值的。至今，仍有许多人相信是没有漏洞存在的，直到它们被公之于众。我们知道，漏洞是需要暴露的，但是在软件开发商被迫把问题公开的时候，他们扮演了什么角色呢？

对于信息安全，我能够真正着迷的原因之一就是这个领域涉及了数量众多的不同技术。就个人电脑来讲，就有各种各样的体系结构、操作系统、设备和协议需要去学习。这个领域信息充足，从来都不缺乏没嚼头的东西。我们很难在知识面广而不精和术业有专攻上找到平衡点。

谈起系统中的漏洞，对它们的理解已经辐射到了相当大的范围。从一个较高的层次看，也许可以简单地看作什么技术被影响了，以及漏洞最终导致的结果是什么。相反地，如果你从最低层的角度看，作为一个研究者，你能够探索到这个漏洞非常可怕的细节――发现这个漏洞执行的代码和它能够被利用的程度。在这一层上，知道如何利用这个漏洞和如何在实际中利用它是有很大差异的。当然，物极必反，这两者之间可能会存在一种包容现象。这种包容现象能够让人们对这个漏洞采取一些技术防护，同时，从另一方面来讲，即使人们不知道关于这个漏洞的详细技术细节，也能够让人们在足够深的层次上查明这个漏洞，并且对于利用这个漏洞的攻击采取有效的保护措施。

事实上，一些漏洞在这些层次上仅有非常细微的差距，比如单纯的SQL注入攻击（SQL injection）。如果这样的话，对于这个漏洞有非常高层次理解的人在解决或者学习如何利用它时可能不会遇到许多麻烦。反之，就是在这两者之间有极大差距的漏洞了。2004年发现的赛门铁客防火墙内核堆栈溢出漏洞就是这样一个非常好的例子。对漏洞的利用仅仅是在一定时间内的一些特定小群体。

在我离题万里之前，我先告诉你我发现的这些漏洞都能够让人着迷。每一个漏洞都有自己独特的东西，要想完全弄明白每一个漏洞都需要不同的技术。

漏洞是从哪里来的？

虽然这听起来可能是一个简单的问题，但答案并不简单。有两所学校在思考这个问题。我会在将来就每一所学校进行谈论。

大多数公开的漏洞都是被一些安全研究员发现的，通常他们是就像Bugtraq那样的黑客电子邮件组的那些人。一个安全研究员也许是一个公司的雇员、也许是一个完全自由的研究者、也许只是在业余时间浏览代码的所谓研究者。在某些时候，这些人都是很意外地就简单发现了漏洞。在大多数情况下，完全研究清楚一个漏洞是一个相当有深度的过程，可能需要花费一个技术娴熟的研究者大量的时间。

现在，不管是因为什么原因，对一个漏洞的公开经常要与它的具体影响联系起来考虑。即使是最常使用的术语“zero-day”看起来也是意味着并不真实存在的一个未公开的漏洞。相信有太多的人犯了这样的错误，也就是说在这些漏洞被公开暴露之前人们好像认为这些漏洞并不会引起任何威胁。如果一个漏洞已经在一些地方公开暴露，但是没有人得到这个消息，那么人们还是认为这不是一个真正的漏洞。所以我才会这样说。

微软的“责任保密”条款要求安全研究者不得公开安全漏洞，直到软件经销商发布了这个软件的补丁。过去，我们看到过经销商和安全研究者之间的冲突，他们在暴露这些漏洞上是两种截然不同的方式。经销商想争取时间来修补漏洞，这个过程是相当低调的。安全研究者则通过发表讲话直接向经销商公开漏洞信息，不管这是否是他们要暴露这个安全漏洞的动机。尽管这些情况看起来有着相似的目标，但冲突还是经常会引发的。

现在，看起来好像安全机构在公布漏洞的时候只在总体上介绍一下漏洞。在某些情况下，这些漏洞问题在公布之前数周、数月或者是数年就已经报告给了经销商。这是不需要担保的。因此，很自然我就会认为报告问题的人是惟一知道漏洞存在的人。这样，你认为他是惟一对漏洞威胁感到恐惧的人也是没有问题的。