近年來隨著駭客發掘更多的零時差攻擊(Zero-day attack)漏洞,可讓駭客能乘人不備發動意料之外的攻擊,零時差攻擊不但防不勝防,而且對各項軟硬體服務、基礎設施造成難以挽回的傷害;駭客除了披露新漏洞來發動零時差攻擊之外,也將漏洞造成的損失以金錢衡量,成為所謂的「漏洞黑市(Exploit black market)」,類似於軍火交易的模式,使駭客能藉由漏洞災害規模的相對應黑市價格,購買針對該漏洞的攻擊工具,並成為另類的軟體漏洞量化衡量指標。
【漏洞黑市之發展,與資安因應之道】
零時差攻擊無所不在、無時不刻的發生,當駭客發現漏洞的的時候,就等待時機發動出其不意的突襲,令受害對象措手不及而遭受駭客重創。根據美國智庫蘭德公司於2014年的一份報告指出,駭客所揭露的零時差攻擊漏洞,可以在受害軟體釋出更新檔補救之前,在駭客之間的「黑市」進行秘密交易;蘭德公司又在報告中指出,2014年的漏洞黑市價格可高達20至30萬美金,甚至曾有喊價達100萬美金的大型漏洞,可見漏洞黑市對資安的影響甚鉅。
另一方面,有鑑於零時差漏洞成為無聲無息的資安威脅,部分軟體業者也發現零時差漏洞帶來的可觀損失,藉由舉辦抓漏洞大賽來發放獎金,也同樣吸引駭客與資安專家躍躍欲試;資安專家協助廠商揪出零時差漏洞的獎金,就如同漏洞黑市一般價值連城,可看出廠商對零時差漏洞的危害,絲毫不敢怠慢,以免駭客藉由漏洞攻破系統,造成比獎金更慘重的損失。
【漏洞黑市代表案例:Zoom】
為進一步探討零時差漏洞在黑市上被揭露後,對資安帶來的衝擊規模,故在此引用零時差漏洞黑市案例,同時探討漏洞預防補救之道,來減少未來更嚴重的漏洞披露與危害。近期以視訊軟體Zoom為較具代表性的漏洞黑市案例,並進一步介紹案例經過與預防之道。
今年四月Zoom視訊軟體爆發零時差漏洞,允許駭客能藉此發動遠端攻擊;但由於該漏洞為全新漏洞,且攻擊技術門檻較高,需要藉由其他攻擊程式才能發動攻擊,故黑市價格一度預估50萬美元;由於此一影響涉及各項產業界、學術機構與政府機關,因此被各國資安主管機關紛紛下令停用Zoom,並改用其他同類視訊軟體。
後來,Zoom又被爆出資料外洩事件,將近50萬筆個資在黑市上被流出盜賣,每個帳號甚至被不到0.01美元賤賣,如此駭客可利用盜來的帳號密碼,對Zoom與使用相同帳號密碼的其他軟體發動攻擊;依據資安專家之建議,除了要儘快修改密碼以外,也應避免在不同網站上使用相同的帳號密碼,同時以密碼管理員將不同網站個別的帳號密碼集中管理。
資料來源: (Abrams, 2020)
圖1 駭客流出的Zoom會員帳號
【小結】
零時差漏洞就是最關鍵的要害,在發作之前是無聲無息,不為人所知的隱患,一旦發作時也無從預測其攻擊方式和受害規模;另由於新的高危險零時差漏洞在黑市內價值連城、一旦被通報修補將會讓漏洞貶值,令駭客攻擊力道下降而減少近一步危害,使得漏洞黑市的攻防成為爭分奪秒的挑戰。
資安專家除了藉由補救漏洞與駭客賽跑外,還要仰賴使用者的舉手之勞,養成備份資料、變更帳號密碼、減少惡意程式接觸等良好習慣,除減少資安專家逐一揪出零時差漏洞的負擔外,也能提升使用者自身的隱私防護,避免駭客經由漏洞來重創網站並盜賣個資。