打印本文 打印本文  关闭窗口 关闭窗口  
泥客百科:0DAY漏洞
时间:2013/11/23 22:34:44

0day 无外乎破解的意思;最早的破解是专门针对软件的,叫做WAREZ,后来才发展到游戏,音乐,影视等其他内容的。0day中的0表示zero,早期的0day表示在软件发行后的24小时内就出现破解版本,现在我们已经引申了这个含义,只要是在软件或者其他东西发布后,在最短时间内出现相关破解的,都可以叫0day。 0day是一个统称,所有的破解都可以叫0day。

概念

0Day的概念最早用于软件和游戏破解,属于非盈利性和非商业化的组织行为,其基本内涵是“即时性”。Warez被许多人误认为是一个最大的软件破解组织,而实际上,Warez如黑客一样,只是一种行为。0Day也是。当时的0Day是指在正版软件或游戏发布的当天甚至之前,发布附带着序列号或者解密器的破解版,让使用者可以不用付费就能长期使用。因此,虽然Warez和0Dday都是反盗版的重要打击对象,却同时受到免费使用者和业内同行的推崇。尽管Warez和0Day的拥护者对以此而谋利的盗版商不齿,但商业利益的驱动还是将破解行为的商业化推到了高峰。而眼下的0Day,正在对信息安全产生越来越严重的威胁。

“0day”其实就是Warez的一种传播形式,“0day”不是说那些破解专家不到1天就“搞定”某个软件,而是说他在最短的时间内迅速地“解锁”,并在网上发布。0day的真正意思是“即时发布”(尽管不是真的当天发布),大家可以把它看作是一种精神。

“0day”是一种自发的网络运动而已,“warez”是对破解的泛称;如果有人说他属于“0day组织”,并不是说他真的在一个叫做“0day”的破解组织里干活,其真正涵义是他属于某个破解组织,而这个组织经常向0day发布作品。很多人说“0day”是一个邪恶的组织,其实他们只是将自己的破解作品以“0day”的发行形式发布,分享给全世界的人。

“0day”的主要目的是交换,完全是非商业化、非盈利、志愿的行为。如果有人将0day的东西拿去做成盗版光盘,那么与0day的本意无关。

0day漏洞,是已经被发现(有可能未被公开),而官方还没有相关补丁的漏洞。

信息安全意义上的0Day

信息安全意义上的0Day是指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。

2005年12月8日,几乎影响Windows所有操作系统的WMF漏洞在网上公开,虽然微软在8天后提前发布了安全补丁(微软的惯例是在每月的第一个周二),但就在这8天内出现了二百多个利用此漏洞的攻击脚本。漏洞信息的公开加速了软件生产企业的安全补丁更新进程,减少了恶意程序的危害程度。但如果是不公开的0Day呢?WMF漏洞公开之前,又有多少人已经利用了它?是否有很多0Day一直在秘密流传?例如,给全球网络带来巨大危害的“冲击波”和“震荡波”这两种病毒,如果它们的漏洞信息没有公开,自然也就没有这两种超级病毒的产生。反过来想,有什么理由认为眼下不存在类似的有着重大安全隐患的漏洞呢?(Dtlogin远程溢出漏洞于2002年被发现,2004年公布。)

看不见的才是最可怕的,这就是0Day的真正威胁。

不可避免的0Day

信息价值的飞速提升,互联网在全球的普及,数字经济的广泛应用,这一切都刺激着信息安全市场的不断扩大,软件破解、口令解密、间谍软件、木马病毒全部都从早期的仅做研究和向他人炫耀的目的转化为纯商业利益的运作,并迅速地传播开来,从操作系统到数据库,从应用软件到第三方程序和插件,再到遍布全球的漏洞发布中心,看看它们当中有多少0Day存在?可以毫不夸张的说,在安全补丁程序发布之前,所有的漏洞信息都是0Day,但是从未发布过安全补丁的软件是否就意味着它们当中不存在0Day呢?

有人说:“每一个稍具规模的应用软件都可能存在0Day。”没错!从理论上讲,漏洞必定存在,只是尚未发现,而弥补措施永远滞后而已。

只要用户方不独自开发操作系统或应用程序,或者说只要使用第三方的软件,0Day的出现就是迟早的事,无论你是使用数据库还是网站管理平台,无论你是使用媒体播放器还是绘图工具,即便是专职安全防护的软件程序本身,都会出现安全漏洞,这已是不争的事实,但最可怕的不是漏洞存在的先天性,而是0Day的不可预知性。

发展趋势

0Day走向何方

越来越多的破解者和黑客们,已经把目光从率先发布漏洞信息的荣誉感转变到利用这些漏洞而得到的经济利益上,互联网到处充斥着数以万计的充满入侵激情的脚本小子,更不用说那些以窃取信息为职业的商业间谍和情报人员了。于是,0Day有了市场。

国外两年前就有了0Day的网上交易,黑客们通过网上报价出售手中未公开的漏洞信息,一个操作系统或数据库的远程溢出源码可以卖到上千美元甚至更高;而国内的黑客同行,前不久也在网上建立了一个专门出售入侵程序号称中国第一0Day的网站,尽管类似的提供黑客工具的网站很多,但此网站与其它网站的区别在于0Day的特性十分明显:价格较高的攻击程序的攻击对象,还没有相应的安全补丁,也就是说这样的攻击程序很可能具有一击必中的效果。这个网站成立不久便在搜索引擎中消失了,也许已经关闭,也许转入地下。但不管怎样,0Day带来的潜在经济利益不可抹杀,而其将来对信息安全的影响以及危害也绝不能轻视。

软件上的0Day几乎不可避免,那硬件呢?硬件是否存在0Day?答案无疑是肯定的。近年来,思科路由器漏洞频繁出现,今年2月,已被曝光的某知名网络产品漏洞至今仍未被修复。对于那些基于IP协议连接网络的路由、网关、交换机,哪个电信运营商敢百分之百地 保证自己的网络设备万无一失?(2005年4月11日,全国超过二十个城市的互联网出现群发性故障;同年7月12日,北京20万ADSL用户断网)。

早在两年前,英特尔的首席技术官就提出过互联网不能承受与日俱增的使用者这一想法,当时,被很多人认为是无稽之谈。今年6月,在美国的商业圆桌会议上,包括惠普公司、IBM公司、Sun公司、通用汽车公司、家得宝公司和可口可乐公司等在内的160个企业代表呼吁政府要对发生大规模网络故障的可能性做好准备工作……

当今的互联网,病毒、蠕虫、僵尸网络、间谍软件、DDoS犹如洪水般泛滥,所有的这一切都或多或少地从0Day走过,互联网瘫痪绝不遥远。

0day的主要发布类型

ISO

某些软件为了保留原汁原味,就将原版光碟做成ISO、Bin文件,然后用WinRAR分卷压缩后,加上nfo说明档发行。碰到有加密的光碟,也会选择CloneCD等格式来发布。Nero、BlindWrite等其它烧录软件的镜像档较少见,但也有。 在国内一般叫做光盘版。

RIP

专门制作RIP的游戏小组会将游戏以RIP的形式发布。所谓RIP就是把游戏能去掉的都去掉,以达到最小的尺寸(前提是符合标准的RIP规则——Standard RIP Rules,简称SRR),对游戏数据进行压缩、分卷、每个分卷还要用ZIP打包、再加上NFO、发布。RIP在国内一般叫做“硬盘版”

crack&keygen

这些主要是针对共享软件,因为软件本身比较容易找到,因而注册就是最重要的事情。破解补丁与注册机是最考验cracker的东西了,原则上能写出完美注册机的是最好情况,不行的话,就要用破解补丁了。

基于发行内容

软件

0day软件通常是一些程序或者工具,包含了破解、注册机或者使用该软件所需的序列号、以及最关键的程序本身。0day软件一般发布于FTP上,按照日期来进行排列,一天之中基本上会有不同小组来发布上百种软件。每个发布都会采用分卷压缩的方式来发布,这样如果在下载过程中出现错误则不需要重新下载全部文件,仅仅是出现错误的文件重新下载。压缩包命名采用严格的8.3格式。

游戏  

这样也不用说了吧,就是新鲜热辣的游戏。包括前一阵子最热门的“极品飞车-热力追击2”、“FIFA2003”等。TT的感觉是RIP的游戏越来越少了,ISO版越来越多,可能和大家的带宽增长有关系吧。

电影

0day电影是什么?简单化的说,就是release group(发布群)将自己手里的dvd或者其他的电影源盘,做成方便网络流通的一种形式,为大家提供共享。如今我们所说的0day电影,一般分为了两种。一种是纯粹原创性质的,即从寻找片源到制作发布,不经过任何市场的因素。完全独立完成。不要惊讶,也许这些人手里,在电影尚未首映之前,已经拥有了“正版”的DVD影片。而另一种,则是从市场上购买DVD碟,进行破解和复制、传播。为了保护版权,在DVD的制作中,包含了一种叫做 DVD CSS的加密技术,正是因为这样一个技术,使得一般人无法对DVD进行直接的复制,如果你要分享——把碟借给你的朋友吧。但是,为了破除DVD厂商的这种保护,挪威有一名叫做john Johnansen的天才少年,在他15岁的时候编制了DeCSS,用来破解DVD CSS的保护。使得利用家用电脑对DVD碟片进行直接复制成为可能。

也许有的人看到这里会问:为什么有的人在电影发布之前就已经拥有了“正版”影片。这就不得不提到0day组织的构成。一个完整的0day单体组织称为topsite,领导者为OP。topsite由IRC(一种聊天程序)和FTP(一种网络传输方式)组成,IRC负责交流,FTP负责发布作品。进入IRC需要极严格的审查程序,包括对申请者的技术、资源甚至是人品,而FTP的限制更加严格,甚至只能在限定的IP地址段内才能登录。一个 topsite包含了若干个group(团队,简称grp),首领为admin,grp是0day作品的直接制造者,他们制作的“产品”最终汇总到topsite中进行统一发布。在每个topsite中,又有详细的分工,以0day电影为例:负责提供原材料的supplier,负责制作的ripper,负责在站点间传输的race等等。在提供给topsite发布之前,会有人专门负责nuke(对制作的0day影片质量进行审核)。

Supplier,这是一个对0day电影来说至关重要的人物,特别是原创性的0day电影。他的身份很可能是电影院的一个放映员、老板,也可能是电影局审查员,甚至,是电影公司的内部成员。与盗版商所接触的“内线”不同,这些人提供片源,并不出于某种利益上的企图,他们所希望的只是:分享。如果一个topsite的名声大到了足够的显赫,甚至会有人主动和他们联系,提供片源。而更多的时候,则要看机缘巧合——没准你身边某个好朋友就是这样一个能在第一时间接触到最新电影并把它弄出来的人。那么恭喜你,你将在圈内大大地火一把,因为你甚至能在电影还没公映之前就已经制作完成了0day电影拷贝。不过,即使能够制作完成,也不会提前发布出去,这一时间仅限于内部交流。在几年前,有一个名为CFB的grp将暴雪公司的一个游戏软件在公开发售前一个多月就以破解的形式发布了出去,结果给整个0day组织带来了灭顶之灾——在暴雪公司的强烈抗议下,整个欧洲有近1/3的0day组织被FBI、各国警察及国家安全机构联合扫荡、关闭。数十个计算机精英被抓入大牢。

一部0day电影一般会分为以下几个步骤发布:第一时间发布的是TS版。这是直接用摄录机在电影院里对荧幕翻拍得到的产品。然后是TC版也就是胶片版——通过在电影院播放的胶片直接扫描得到的影片。接下来就是已经接近市面上销售的DVD质量的SCR版,也就是电影厂商提供给电影评审委员会所看的片子。实际上,这一版本往往在电影首映之前已经制作完成,但是为了自身保护,grp会“循序渐进”地等到适合的时机才发布。最后,则是市面同步的 retail dvd版本。 不过,一般retail dvd都会压缩制作成rip,一种容量更小,便于流通,但是播放质量损失不大的格式。一部电影,一般会按照时间长短压缩成容量在700M左右1-3部分 ——700M正好是一张CD碟的容量。不过这种格式只能在电脑上播放,不能刻录成DVD碟片。盗版商所采用的则是DVD-R,将破解好的DVD,做成一个 Image文件形式在网络上流传,下载后直接刻录就能得到DVD电影碟片。