关于0-day数字军火行业

作者:Maor Shwartz

原文:https://medium.com/@maor_s/update-about-the-0-day-industry-8d8bb49e8dbb

译者:Vault Labs

译者序:数字军火行业涉足未公开(0-day)的和已经公开(N-day)的漏洞以及相关的漏洞利用,数字军火是一种无形的武器,这种武器的构造和形态难以被普通人理解,即使是从业信息安全多年的安全工程师,安全分析师和CISO(安全首席官)也经常把诸多概念混淆,什么是 bug?什么是 exploitable bug?什么是漏洞?什么是漏洞利用?什么是漏洞利用平面?什么是漏洞利用方法?他们的关系是什么?早在 HardenedLinux 还有全职 maintainer 的阶段(2015-2020),我们就致力于基于开放的方法论对抗数字军火,到2021年成立了 HardenedVault 后逐步的把基础架构领域的各个环节工程化,在 Vault Labs 看来,攻击和防御双方信息是极度不对称的,我们行走了三分之一个地球,不论到哪里,如果你说你是从事数字军火领域的那一定很多人乐意跟你做生意,反之,如果你富有激情的讲解系统安全的防御,即你是打造盾牌的那一位,不好意思,你或许会遇到有人不屑一顾的表情就像在说“Fuc* off 去你大爷浪费我时间!”一样,另外,我们收到的反馈中,不乏有对于极端威胁模型的困惑,大部分人基于各种动机和原因认为面对 The Desert of the Real 是没有意义的或者压根认为真实的荒漠不存在,这正是当我们看到 Maor 的文章后非常兴奋的原因,毕竟再遇到有人问相同的问题直接让他们去读 Maor 的那两篇文章即可,这个策略一定会奏效于那些坚持探索真相的人,不论他们是否从事信息安全工作,这也是我们翻译的主要原因,这次翻译是得到了原作者的同意进行的。

关于0-day数字军火行业

在过去的一年左右,活跃的网络黑市正在达到一个新的成熟水平。

今天世界上正在发生一些值得关注的有趣事情:

(1) 技术

(2) 供应

(3) 需求

(4) 连通性

技术

背景:许多攻击者的主要攻击媒介是通过浏览器感染受害者。最受欢迎的设备当然是手机。

在过去的一年中,移动设备和浏览器供应商大量投资于新的缓解措施和阻止整个攻击面。这些行动似乎反映了供应商的战略转变——从保护产品本身到实现纵深防御。

通过执行新策略,供应商正在:

(1) 强迫漏洞研究者攻克每个新的缓解措施,以交付“可用”的产品

(2) 关闭整个攻击面

(3) 提高了漏洞研究的入门门槛

这种方法给漏洞研究者带来了很大的负担,是行业变革的主要推动力。例如 https://twitter.com/jifa/status/1580835350209265664?s=20&t=HmlsJV-5IrNqc_h7lwln_w

供应

技术的变化以不同的方式影响了0-day研究的供给方面:

(1) 团队里没有“我”:在此之前,个体研究者能够找到并销售他们的产品。但是现在,很少有个体研究者能够保持相同的产出水平。市场上更常见的活动是研究者合作组建研究团队。通过合作,研究者可以利用彼此的经验和知识,最终产生可销售的产品。

一个有趣的副作用是,当研究者开始合作时,如何构建补偿结构的问题。每个研究团队都有其薪酬体系,通常包括以下一种或多种:薪水、成功奖金(可以是固定的、销售百分比等)和股权。

(2) 只有在退潮时,你才会发现谁在裸泳:在行业繁荣几年后,研究者习惯了高薪酬、保证奖金(按努力计算)和股权的报酬。现在情况已经改变,从宏观经济压力(利率、通货膨胀、战争、流行病)到行业特定挑战(将在“需求”部分介绍)和技术。这使得研究者处于非常困难的境地。

一般来说,在主动网络安全行业(0-day研究)中有四种类型的漏洞研究者:

一流:能够找到和利用0-day漏洞的研究者

二流:能够找到0-day漏洞或编写漏洞利用的研究者

三流:能够编写N-day漏洞利用的研究者

四流:赌徒

此前公司和研究团队欢迎(并愿意慷慨支付)所有类型的研究者。

(2.1) 越多越好:若有足够的资源雇用他们,公司利用的策略是“如果我们雇用更多研究者,我们将增加获得更好产出的机会”。

如今,资源稀缺,公司将削减那些对公司核心任务没有直接影响的研究者的成本。

(2.2) 联系和公共资本:0-day市场上有很多人对自己有很高的评价,或者其他人对他们评价很高,但实际上他们无法交付(例如一流到三流的研究者)可用的产品。需要时间才能意识到一个研究者无法交付,通常需要1-2年时间。然后,该研究者会转到行业中的另一个公司,再次需要1-2年的时间才能意识到这个研究者不具备交付能力。通常在第二家公司之后,这将成为公开的信息,但这个过程需要4年时间。

现在我们已经到了大多数研究者都知道谁值多少的时候了。那些曾经在行业中但没有证明自己的研究者将会在当前市场形势下很难找到职位,或者他们会不得不接受比以前薪酬低的条件。

(2.3) 技术变革将门槛提高,这意味着过去是一流的研究者可能会降到更低的等级或完全退出行业——工作变得更加困难了。

(3) 零件的新市场:零件市场并不是一个新概念,零件并不是“完整的产品”(如RCE、LPE、SBX等),但现在这个市场的重要性正在增加。供应商的技术变革迫使漏洞研究者花费时间和资源寻找绕过新缓解防御措施的方法。在某些情况下,研究者会将缓解措施绕过作为零件或独特的利用技术,但不会有“完整的产品”。这些零件将使其他研究者、研究团队和其他利益相关者(e2e、公司、政府等)能够推进他们的研究并节省时间。因此,我认为零件市场在未来几年内将大幅增长。

(4) 可用产品:从漏洞研究者/研究团队的角度来看,要交付一个“可用”的产品,需要包括所有新缓解措施的绕过,这给了供应商一个优势,他们可以在更新之间改变系统并“破坏”研究者的工作。换句话说,利用技术变得更加复杂,有更多易于失败的组件。因此,研究者将推动更好的付款条件、更少的支持和承诺,从市场购买产品或提供新的商业模式。

需求

(1) 从寻找漏洞到做出可用项目的一条龙式业务的竞争造成了损失:随着漏洞挖掘和漏洞利用变得越来越困难,一条龙公司也面临着困境:

(1.1) 更高的运营成本:由于数量减少,每个漏洞需要更多的工作,项目变得更加昂贵。

(1.2) SLA:由于没有解决方案(例如可用状态下的完整制造0-day链条),公司无法保持SLA。

(1.3) 收款:由于不符合SLA,公司无法收取资金(付款)。

(1.4) 监管:监管变得更加严格,公司因此失去了客户。

结果是许多一条龙公司破产或合并成一家公司以求生存。其副作用在短期内是,供应链上的实体数量减少了,从市场购买项目的可用资源也减少了。

很快,这将影响市场,研究者将只能向有限的买家兜售他们的项目,在某些情况下,他们将不得不降低项目的要价。

(2) 拼图的一块:由于技术变革,政府和一条龙公司可能会拒绝购买在市场上提供的可用项目。例如,在过去iOS链由Safari RCE + iOS LPE组成时,客户可以放心地从市场上购买项目,即使缺少其他部分。

今天的情况已经改变——在某些情况下,客户不会购买攻击链的某些部分,除非他们拥有其他部分,或者他们有足够的信心可以在短时间内购买/找到它们。现代攻击链非常复杂,有许多可能出故障的部分。因此,如果客户不确定他们能够迅速利用这些部分,他们将不会冒资本风险。

这可能导致研究者无法销售他们的项目,并愿意降低价格以获得收益。

连通性

代理商的崛起:过去,经纪人在将研究方与客户方联系起来时发挥着重要作用,同时使双方对彼此保持匿名。随着行业的成熟,研究者和客户都互相认识并在会议、培训和直接沟通中交往(来自研究者和客户方)。

如果经纪人有兴趣继续参与该行业,他们必须转型。大多数经纪人必须经历的变化是停止充当经纪人的角色,并发展成为新的形式:

(1)研究团队:经纪人与他们曾合作过的研究者合作(获得投资并雇用/合作等),并组建一个研究团队。在这种情况下,“经纪人”成为新公司的业务领导者,并负责以付费研发、销售项目、招聘新研究者和与市场上的其他实体合作的形式带来业务。

(2)代理商:虽然今天的研究者有更多机会直接联系客户,但其中一些人对业务方面不感兴趣,正在寻找代表他们的人。与传统经纪不同,在这里经纪人成为研究者/研究团队的代理人。代理人将代表研究,并全透明地管理研究者的谈判/交易。此外,在代理人的情况下,研究者最终直接与最终客户签订合同,代理人在交易中获得他们同意的费用。

(3)转型:一些经纪人与他们认识的研究者合作,并完全退出了活跃的网络世界。