軟件漏洞市場研究

[摘 要]軟件漏洞是信息安全的核心問題之一，在人們就軟件漏洞信息是否應當披露、如何披露進行激烈爭論的同時，軟件漏洞的黑市交易活動猖獗，學者們認為應當發展軟件漏洞的合法市場以打擊黑市交易，并提出了軟件漏洞市場的相關理論，一些組織也在實踐中進行了建立軟件漏洞市場的嘗試，但其發展受到軟件漏洞信息的一些固有屬性的阻礙。本文建議建立可信第三方交易平臺和軟件漏洞鑒定評估機制，克服障礙，促進軟件漏洞市場的發展。

[關鍵詞]軟件 漏洞市場 交易平臺

隨著信息化社會的到來，信息安全已成為社會發展的基礎和保障，然而，層出不窮的黑客攻擊事件，網上病毒、惡意軟件的泛濫，給信息安全帶來了極大的挑戰。追根溯源，其中一個核心的問題就在于構成信息系統的軟件存在漏洞。軟件漏洞對于信息安全至關重要，其價值便日益凸顯，許多安全服務公司開始購買漏洞信息，而一些軟件開發者也開始對向其報告軟件漏洞付酬。實際上，漏洞信息已經成為可以交易的商品，軟件漏洞市場問題開始為人所矚目。

一、軟件漏洞披露及漏洞黑市

1.漏洞保密

漏洞信息并不是一開始就是市場上公開交易的商品。曾經在相當長的時間內，人們認為保守軟件漏洞秘密是確保信息安全的最好方式，因為若軟件存在漏洞的情況不為人所知，則攻擊者很可能不會發現。漏洞信息只在少數利益團體之間交換，并不為大眾公開。在1988年計算機應急反應小組(CERT)成立后，研究人員發現軟件漏洞一般先向其報告，CERT驗證后再將其反饋給軟件開發者，直到開發者推出相應的漏洞補丁后，CERT才將漏洞信息公開披露。然而，這種以保密換安全的方式并不有助于軟件安全性的真正提高，CERT獲得了大量的漏洞報告，但是驗證過程緩慢，軟件開發者得到研究人員或者CERT的漏洞信息通報后，往往不急于推出漏洞補丁。這種從發現漏洞到補丁推出的緩慢過程受到了廣泛的批評。

2.完全披露

1993年，Bugtraq郵件列表系統開始以郵件列表和新聞群組的形式公開討論軟件漏洞，研究者在此將其發現的漏洞詳盡地披露，甚至還公開出版。自1995年，加入“完全披露”的人大幅增加。“完全披露”的支持者認為此項政策可以迫使軟件開發者更為積極地填補漏洞，從而促進軟件安全。他們認為公眾的審查是提高軟件安全性的惟一值得信賴的途徑，將軟件漏洞秘而不宣，看起來似乎使黑客難以知曉，不過，事實證明，黑客在揭露秘密的軟件漏洞方面技術高超。完全披露政策的批評者指出，黑客也可以使用郵件列表系統獲知軟件漏洞并編寫攻擊程序。在漏洞公開披露以前，只有那些自己發現漏洞的人才有可能攻擊漏洞，他們所能威脅的計算機有限。如果他們使用自動攻擊軟件或者蠕蟲，被發現的機率相當高，隨之他們所利用的后門會被公眾所知并被修補。然而，如果漏洞被公開披露，全世界都知道了這個漏洞，那么受害的計算機會顯著增加。

3.負責任的披露

基于以上激烈爭論，一些軟件公司和安全研究人員推出了“負責任的披露”政策，其基本理念為威脅披露漏洞與實際披露同樣有效，一個負責任的研究人員會悄悄地給軟件開發者修補其軟件的機會。2000年，在其他信息安全團體還在為該建議進行辯論時，CERT/CC 推出了一個新的漏洞披露政策。不管開發者是否推出了相應補丁，所有漏洞報告都會在其首次報告后45天向公眾披露。另外，一軟件公司和安全服務公司開始在互聯網安全組織指南之下共同開發統一的漏洞披露框架，他們設定了一個寬限期，在此期限內漏洞信息不應向第三方披露，直到軟件開發公司推出了補丁程序。

4.漏洞黑市

作為一個計算機安全研究人員，發現一個應用軟件或者操作系統的漏洞后，他可以將該漏洞報告給軟件發行者，也可以直接將其公開披露，而實際上，一直都存在著另外的選擇，那就是將此信息在黑市上出售。據信，軟件漏洞的黑市交易一直以來都大量存在。網絡犯罪組織出高價購買那些能夠幫助其攻破數據庫竊取數據及實現其他犯罪目的的信息，而一些唯利是圖的研究人員(黑客)與之一拍即合，出賣其發現的漏洞信息。原來，黑客們獵取軟件漏洞的主要目的在于自己能夠成功利用，從而獲取不法利益。但是近來這種情況有所改變，黑客發現軟件漏洞后的首要選擇不再是自用，而是將漏洞信息出售給出價高的買主。美國學者Sutton和Nagle對軟件漏洞黑市的運作模式進行了較為深入的研究，將其分為訂單模式與零售模式。網絡惡意組織雇傭黑客，研究特定目標軟件的漏洞，即為訂單模式。而零售模式則與之相反，黑客找到了相關軟件漏洞，兜售給合適的惡意買家。

二、軟件漏洞市場的理論和實踐

1.軟件漏洞市場的理論探索

在漏洞披露的爭論中，21世紀早期，信息安全經濟學開始出現，一種漏洞披露市場化的趨勢開始隨之浮出水面，在理論和實踐層面均有體現。劍橋大學計算機實驗室的Anderson就主張絕大多數的安全問題不能僅通過技術途徑解決，相反，一些微觀經濟學的觀點更能解釋某些安全問題。英國電信公司首席安全技術官Schneier也認為經濟學有其適當的理論來處理計算機安全問題。[6]學者們認為，建立軟件漏洞(合法)市場，使黑客及其他軟件安全研究人員可以將其漏洞信息出售給軟件開發商、合法的軟件安全公司等，可以在一定程度上切斷黑客進入黑市的源動力。再加上黑市交易將面臨的刑事追訴等法律風險，軟件漏洞市場的建立，會大大削弱黑市交易。

在具體的市場機制理論上，德國學者Bouml;hme對漏洞市場的研究較為深入和細致。最初Bouml;hme提出了漏洞市場的四種模式，即漏洞挑戰、漏洞掮客、利用派生和網絡保險。漏洞挑戰是最早用以證明產品安全性的概念，其最簡單的模式就是軟件開發者對向其報告軟件漏洞的人支付報酬?；诖朔N報酬，一部分黑客可能會將自己發現的軟件漏洞報告給軟件開發者，而不是將其在黑市交易或者自己利用。漏洞掮客模式是以一個獨立的組織為核心建立漏洞信息共享群體，此核心組織向外購買軟件漏洞信息，爾后在其會員中共享。其會員有軟件開發者，他們需要獲知自己軟件的漏洞信息從而修正軟件;有軟件的用戶團體，他們對安全有更高的要求，需要在軟件補丁推出之前防止他人利用該漏洞攻擊自己的系統。利用派生和網絡保險其實并不是軟件漏洞的市場模式，而是為促進軟件安全而設想的另外兩種市場模式而已。

2.軟件漏洞市場的實踐嘗試

在實踐層面，漏洞信息的合法市場同樣在發展。2002年，美國安全分析監測公司iDefense公布了漏洞貢獻者計劃(Vulnerability Contribution Program)，對經其驗證的漏洞信息提供報酬。根據該計劃，對那些可能威脅其公司客戶或者公眾安全并造成損害的軟件漏洞，iDefense公司對向其提供詳盡研究報告的個人提供最高15000美元的報酬。 另外，iDefense公司每年還將從所有的漏洞報告中選出四個年度最有價值的研究，給予5000至50000美元不等的獎勵。

2005年TippingPoint公司公布了零時差項目(Zero Day Initiative) 計劃。根據該計劃，漏洞研究人員應當在該項目注冊并提交其漏洞信息，項目組對該漏洞信息進行估價，若研究人員接受報價，則交易成功。如果沒有作出報價或者研究人員不接受報價，漏洞信息仍將屬于研究人員并且不會用于零時差項目。另外，該項目還對已采納的漏洞信息和推薦新的研究人員加入該項目給予積分獎勵，并根據積分的不同劃分四個等級，每個等級可獲不同比例的獎金。

2007年，瑞士安全公司WabisabiLabi推出了漏洞拍賣網站，像在拍賣站點eBay上一樣，針對安全漏洞信息發布人的要求，WabiSabiLabi提供了多種競價方式，可以按照發布人的固定價格進行銷售，也可以在多個賣主之間進行拍賣。WabiSabiLabi聲稱它們的交易網站只向“合法的”買主服務，他們希望成立這一市場后，可以使那些從事安全研究領域的科研人員的辛勤付出得到公平回報，確保他們不再被迫免費公開自己的安全資料，甚至將這些資料兜售給網絡犯罪分子。

三、軟件漏洞市場發展的內在障礙

盡管學者們為漏洞市場設想了種種理論模式，實踐中也有不少有益的嘗試，但基于漏洞信息自身的特點，其市場化面臨著許多傳統產品和服務所沒有的障礙。

1.漏洞信息時效性強

漏洞信息的價值可以瞬間由價值連城跌為一文不名。這是因為漏洞信息其實質為一種商業秘密，只有在其不被廣為所知的時候才值錢，一旦漏洞被公開或者補丁發布，該漏洞信息便毫無價值。還有，其他的因素也可能削弱漏洞信息的價值，比如新技術的引入，對漏洞信息的獨立重復發現。因此，研究者必須假定今天就是其發現具有價值的最后一天，也就是說，任何有關漏洞信息的交易必須盡快完成。一旦研究者發現了一個漏洞，他必須盡快找到買家，談好價格，完成交易。但是，在目前的市場環境下，這是不可能的。

2.價格不透明

對于不同平臺下不同應用軟件的不同漏洞信息，沒有任何公開的信息可以對價格進行參考。漏洞信息的價值受多種因素影響，比如包含漏洞軟件的應用廣泛程度，使用該軟件是否需要驗證，典型的防火墻設置對阻止登陸該軟件效果如何，利用該漏洞是否需要用戶參與，發現漏洞的難易程度等等。這些因素絕大部分難以計量，雖然研究揭示了一些關于漏洞信息價值的范例和大致的原則，但還遠遠不能讓買賣雙方清楚該漏洞信息的公平市場價值。沒有這個價值信息，雙方便不能以公平的方式達成一致，總是有一方吃虧。

3.尋找合適的交易對象難度很大

現在的市場對于合法的出售軟件漏洞信息依然不夠開放和透明。當研究者發現了一個漏洞，希望將該信息出售，卻沒有一個集中的途徑找到買家。除了iDefense， Tippingpoint以及 SnoSoft， 購買公司并不會做廣告稱其購買漏洞信息。而且，除了個別公司，軟件開發者通常不會購買自己產品的漏洞信息。研究者被迫向其能夠聯系的人一一詢問，向任何其認為可能有興趣的公司一一聯系，這種方式存在很多問題。首先，如果不使漏洞信息很容易被破譯，有時很難對一個漏洞進行準確描述。因此，研究者其聯系的人越少越好。其次，這個過程很花時間，即使在最短的時間內聯系上了對此感興趣的公司，研究者也很有可能在最初難以聯系到正確的人，時間上的耽擱可能最終會使信息一文不名。

4.驗證買家合法性不易

由于沒有一條明確的途徑可以找到漏洞信息的買家，研究者經常被迫將其發現告訴許多人，意圖大海撈針，其后果往往是研究者并不熟悉的買家出現。如果說作為個體的漏洞研究者只想將信息出售給合法的買家，在大多數情況下其并無太多的資源和途徑驗證買家的意圖并規避法律責任。

5.漏洞信息的有效性及價值無法以沒有損害的方式驗證

研究者試圖出售漏洞信息所必須面對的麻煩問題之一就是在未泄露該信息的情況下證明漏洞信息的有效性，這也是信息產品所要面對的一般問題。證明有效性的惟一方式就是要么揭露信息本身，要么以某種方式予以證明。很明顯，在出售之前揭露信息非研究者所愿，因為那將使其面臨喪失該信息的知識產權的風險。通過利用漏洞的方式展示漏洞信息也并不是一個好的選擇，研究者不可能以利用自己系統的方式展示，因為他人無法驗證該系統是否被改變過。通過利用買方控制下的系統的方式展示同樣有問題，因為研究者無法獲知買方是否會暗地里記錄利用程序的工作。沒有可信第三方的介入，此買賣中的任何一方無法建立對對方的信任。賣方不愿在得到付款前披露漏洞信息，買方也不愿意在收到信息前付錢。

6.漏洞知識產權交易法律風險大

由于交易的標的是并不廣為人知的信息，所以很難做到既披露信息又不冒被他人篡奪信息知識產權的風險。比如，如果研究者向潛在的買家提供漏洞信息，買家完全可以拒絕購買，然后再將該信息當作自己的知識產權賣給他人，研究者對此無能為力。而且，此種交往大多還是跨國性質的，這更增加了問題的復雜性，限制了潛在合同的實際履行性。另外，為了得到最大的報酬，作為賣家的漏洞研究者必須將信息的所有權利轉讓給買家。然而，買家無法防止研究者“一女數嫁”，甚至于在出賣后公開披露該信息。當然，此種交易的合同應當包含如果研究者公開披露了該信息，則應當返還價款、支付違約金甚至賠償損失等法律責任條款。然而，如果研究者化名將該信息出售給第三人或者公開披露，將很難證明，買家只能乞求賣家不將該信息透露給他人。

四、軟件漏洞市場機制的完善

上述的絕大部分問題要歸因于該市場秘密的特性，所以，增加其透明度和組織性有助于緩解問題。盡管解決這些問題并非易事，我們還是可以采取一些措施來促進漏洞市場的發展。

1.建設可信第三方交易平臺

以具有公信力的中介組織為基礎，建立獨立于買賣雙方的可信第三方交易平臺，為漏洞信息交易提供一個集中交易的場所，創造一個公平、高效、低風險的交易環境。中介組織在這里只為雙方提供定約的機會和場所，為保證交易環境的公平氛圍，其并不買賣漏洞信息，只向買賣雙方收取適當的中介費用。為保證其獨立性和信息的安全性，該中介組織的成立條件應當極其嚴格，可以考慮以半官方的形式存在。

在可信第三方交易平臺的框架之下，健全相關制度，降低漏洞市場的交易風險。首先，交易平臺應當設定嚴格的會員準入和管理制度，防止惡意主體的進入。經營交易平臺的中介組織應當對申請加入交易平臺的會員進行嚴格審查，記錄清白的信息安全研究人員、軟件開發者、信息安全服務公司才能進場交易;一旦發現在交易中有惡意侵犯他人知識產權，或者利用軟件漏洞進行犯罪活動的，立即終止其會員資格，并通告其他會員。其次，建立洽商與交易備案制度。所有漏洞信息洽商和交易應當在交易平臺備案，該備案可以在一定程度上防止一些組織或者個人為了獲取對方軟件漏洞的商業秘密所進行的惡意磋商或者漏洞信息權利人所進行的“一女數嫁”式的重復交易。另外，漏洞信息交易和洽商的備案也使得以往神秘的漏洞信息流向變得有案可查，不管是賣方再次將該信息在黑市出售，還是買方將該漏洞信息利用于非法目的，國家法定機關通過對備案資料的研究可能會使相關案件的偵破變得簡單容易。如此，忌于違法的高風險，漏洞市場的交易風險會大大降低。

2.建立軟件漏洞鑒定評估機制

在原有的漏洞市場機制中，漏洞信息難以以沒有損害的方式進行驗證，賣方不愿在得到付款前冒險披露漏洞信息，買方也不愿意在收到信息并進行驗證前付錢。筆者認為，可以建立軟件漏洞的鑒定評估機制來打破這種僵局。漏洞信息知識產權的擁有者為避免在交易前由買方驗證信息帶來的巨大風險，可在交易前將漏洞信息獨立于買賣雙方的可信第三方鑒定評估機構對漏洞的有效性進行鑒定。鑒定機構根據鑒定委托書對相關漏洞進行驗證后，出具鑒定書。鑒定機構應對鑒定書的科學性負責，在鑒定中弄虛作假或者有重大過失的，國家行政主管機關應當對其進行處罰。軟件漏洞信息的購買方因此而遭受損失的，鑒定機構應承擔連帶賠償責任。漏洞鑒定評估機構還可以接受委托對軟件漏洞信息的價值進行評估。筆者并不認為評估機構的評估可以代替買賣雙方的討價還價，但評估可以給買賣雙方確定漏洞信息價值一個重要的參考，尤其是雙方理想價位有重大差距時，可以促成達成一個理性的價格。另外，評估機構的評估還可以在軟件漏洞知識產軟遭受侵權確定法律責任時發揮重要作用。

參考文獻:

[1] CERT/CC. Vulnerability Disclosure Policy 2000.

[2] Matt Whipp. Black market thrives on vulnerability trading[EB/OL].(2006/3/7)[2009/8/1].http://www.pcpro.co.uk/news/84523/black-market-thrives-on-vulnerability-trading.html.

[3] Sutton， Michael， and Frank Nagle. Emerging Economic Models for Vulnerability Research[EB/OL]. [2009/8/1]. http://weis2006.econinfosec.org/docs/17.pdf.

[4] Anderson， R.Why Information Security Is Hard--an Economic Perspective[EB/OL].(2001/12/14)[2009/8/1]. http://www.acsac.org/2001/abstracts/thu-1530-b-anderson.html.

[5] Anderson， Ross， and Tyler Moore. The Economics of Information Security[J]. Science， 2006，314:610-613.

[6] Schneier. Economics and Information Security [EB/OL].(2006/6/29)[2009/8/1]. http://www.schneier.com/blog/archives/2006/06/economics_and_i_1.html

[7] Jaziar Radianti，Jose. J. Gonzalez. Understanding Hidden Information Security Threats:The Vulnerability Black Market[A]. Proceedings of the 40th Hawaii International Conference on System Sciences-2007 [C]. Washington: IEEE Computer Society，2007.

[8] Rainer Bouml;hme.A Comparison of Market Approaches to Software Vulnerability Disclosure[A]. Emerging Trends in Information and Communication Security[C]. Heidelberg: Springer，2006:298-311