沉默是否比披露零日漏洞更好

一段时间以来，人们都知道西方政府网络机构囤积了零日漏洞，希望能在目标的联网设备中找到利用这些漏洞的方法。与此同时，安全研究人员敦促这些政府尽快公布这些漏洞的发现，以便在罪犯和不那么友好的政府发现并利用这些漏洞之前迅速修补这些漏洞。

现在，一项新的研究表明，保持沉默可能是保护社会的更好方法，因为零日被发现的几率很低。

这项研究由美国进行从2002年到2006年，美国兰德公司发现了200个零日漏洞和它们的漏洞。此外，两个人发现相同漏洞的可能性——研究人员称之为碰撞率——大约是每年5.7%。

报告认为，这两个事实表明，披露漏洞所能提供的保护程度可能是有限的，而对那些既想保护自己的系统、又想利用他人系统漏洞的人来说，保持沉默——或“囤积”——漏洞可能是一个合理的选择。

维基解密上周公布了一份据称是美国中央情报局(CIA)工具的黑客档案，这些工具被用来利用多种设备的漏洞，这份报告增加了人们对此的兴趣。

“典型的‘白帽’研究人员更有动力在发现零日漏洞后立即通知软件供应商，”该研究的主要作者、兰德公司的信息科学家莉莲·阿布龙(Lillian Ablon)在新闻发布会上说。“其他的，像系统安全渗透测试公司和‘灰色帽子’实体，有动力储存它们。但是决定是储存还是公开披露一个“零日漏洞”——或其相应的“利空”——是一个权衡的游戏，尤其是对政府而言。

“从国家政府的角度来看，如果一个人的对手也知道这个漏洞，那么公开披露这个漏洞将有助于加强自己的防御，迫使受影响的供应商实施一个补丁，防止对手利用这个漏洞攻击他们，”Ablon说。“另一方面，公开披露一个对手不知道的漏洞会让他们占上风，因为对手可以利用这个漏洞抵御任何攻击，同时仍然保留一个只有自己知道的漏洞清单。”在这种情况下，囤积是最好的选择。”

在研究的200多个零日漏洞和漏洞利用中，近40%仍是公开未知的。25%的脆弱性活不过1.5年，而另外25%的脆弱性活过了9.5年。

一旦发现一个可利用的漏洞，开发一个完全有效的漏洞的时间相对较快，平均时间为22天。

虽然零日的平均寿命很长可能支持囤积漏洞的论点，但报告也指出，发现漏洞的机会仍然存在。作者写道:“一些人可能会认为，如果其他人(尤其是对手)有可能发现同样的零日漏洞，那么保持零日隐私并让一个群体处于脆弱状态的潜在严重后果，就有必要立即披露和修补漏洞。”

“按照这种思路，最好的决定可能是，只有在确信没有其他人能找到零日的情况下，才囤积核武器;否则披露。”