漏洞历史，数据库和统计数据…面对你的恐惧

这次演讲将给你一些历史的视角，以充分理解和欣赏我们真正的位置。让我们从这次演讲是如何开始的开始。所以我读了一些文章，我读了一些70年代早期的有趣的研究论文，我给很多比我年长、更聪明、更有智慧的人发了电子邮件，包括一些在60年代就在大型机上工作的人。我读了很多古老的书来寻找未来，这让我思考一个问题，我们为什么会在这里?这让我想起了一句可以回答这个问题的名言:“不能记住过去的人注定要重蹈覆辙。”当然，这产生了一百种变体，我们现在将其归因于Shepard Burke Vanaget =和受人尊敬的Jesse Ventura，但谁在计算呢?当谈论漏洞历史时，你真的必须选择一个开始日期，这可能是任意的。20年前，我会选择20世纪60年代。15年前，50年代。十年前，可以说是20世纪30年代。 Now, I think the early 1900s is a good starting point.
选择这样一个日期的重要部分是要记住，漏洞的核心是跨越特权边界的能力。考虑到这一点，让我给你们讲个故事。2011年，新科学家发表了一篇关于马可尼无线电报的报道，促使我后来挖掘出更多细节。该设备发明于1903年之前，是通信技术的重大进步，摆脱了有线线路。它的主要创造者是意大利人古格列尔莫·马可尼(Guglielmo Marconi)，他身边有助手约翰·弗莱明(John Fleming)和亚瑟·布洛克(Arthur Blok)。马可尼，像今天大多数安全供应商一样，说他的设备是安全的，信息是私密的。他自豪地说:“我可以调整我的乐器，这样其他没有类似调的乐器就无法捕捉到我的信息。”为了展示他的新设备，马可尼于1903年6月4日举行了一次演示。
他在康沃尔郡，离示威游行300英里远，准备发送一个信息，证明他们可以长途旅行。弗莱明被安排接受这一信息，并在伦敦皇家学院剧院给观众留下深刻印象。在无线传输信息到达的几分钟前，观众听到了剧院黄铜投影灯发出的滴答声。布洛克认出这是摩尔斯电码，并很快发现有人在发送强大的无线脉冲，其强度足以干扰投影仪的放电灯。布洛克在心里解码了这封信，意识到它在一遍又一遍地拼写一个滑稽的词:老鼠。老鼠。老鼠。在那之后，是一连串粗俗的打油诗，然后是人身侮辱。就这样，马可尼，中断停止了，示威继续进行，但破坏已经造成了。事后，马可尼对此很不高兴，就像今天的一些安全供应商一样，不愿回应批评。 “I will not demonstrate to any man who throws doubt upon the system,” he said at the time. Fleming, pictured here later in life, wasn’t so rigid. He sent a fuming letter to the Times of London, dubbing the hack “scientific hooliganism” and “monkey-ish pranks,” calling it an outrage against the traditions of the Royal Institution. That is much like vendors today screaming, “That isn’t vulnerability.” Fleming asked the newspaper for help in finding the culprit.
仅仅几天后，《泰晤士报》就刊登了一封承认黑客行为的信。这位绅士名叫约翰·内维尔·马斯基林(John Nevil Maskelyne)，是一位舞台魔术师和发明家，他曾让马可尼告诉他，他关于隐私的概念是个笑话。他在《纽约时报》的承认导致弗莱明和他自己之间的几次公开争吵。基本上是1903年的一场战争。可以说，马斯基林是世界上第一个现代黑客，就像今天的黑客一样，他在展示自己的技能。因此，马可尼的“精确波长”广播专利技术在进入市场之前就被打破了。当然，今天我们知道这是一项简单的技术，我们把收音机调到不同的频道。这导致了VulnDB中最古老的两个漏洞，用于远程中间人披露的未加密消息传输和欺骗消息的能力。但故事还有更深层的含义。马斯基林显然在事件发生前一年受雇于东方电报公司，对马可尼进行间谍活动。 Maskelyne had even written an article in the November 7, 1902 issue of “The Electrician” about the very technology, half a year before Marconi’s demo. The comparisons to full disclosure, wily hackers and internet trolls, is real strong and personally I’m waiting on a movie given all the intriguing drama. The lesson though, is if you say it’s secure or private, verify it first.
接下来，我们跳到第二次世界大战中机电转子密码机用于信息安全，用于无线电报的背面。其中最著名的是由德国工程师亚瑟·谢尔比乌斯发明的谜机。你可能从电影《U-571》、《谜机》和《模仿游戏》中知道这个词。1932年，波兰和三位密码学家首次破解了德国军用谜机。在接下来的几年里，英格玛的后续模型被其他国家创造出来，然后被打破。不仅是德国，包括日本在内的其他国家的各种密码机都遭到了入侵。德国人使用的三个型号的洛伦兹装置也被破坏了，第一个最初在1942年破裂。不管你知不知道，我们都要感谢这位小美女，她引领了我们之后的事业，最终引领了我们的工作。1943年12月，第一台单一用途的电子数字计算机被制造出来，用于破解洛伦兹密码。它被称为巨像。 The Lorenz and other devices were compromised during World War II by codebreakers at Bletchley Park in the UK with the aid of this computer. Jumping forward a decade, the 1950s gave us the rise of the phone freaks. Many forget that early telephone systems were electromechanical machines that would evolve into huge digital computers. In 1955, the Western Electric lab’s Panel Machine’s Switching System had an issue. Using a modulated signal, someone could see an internal chunk between two cities, which was considered to be a privileged operation, not intended for customers. Then they would ask the remote operator to connect to a local number, bypassing the billing system allowing for free long distance calls. In 1960, the Western Electric labs for a Crossbar was found to have a vulnerability, known as the infamous Blue Box Exploit, a carefully timed 2600 tone could be sent down the line to trick the remote switch into thinking the trunk was idle, allowing for that free phone call. This is where the phone company learned the hard way that user input was a pain in the ass. Some children’s toys, as well as home-built electronics could be used to circumvent the system to make free calls.
电话偷窃者最终会滥用电话系统超过十年，直到70年代利用这个漏洞。好了，现在是我们更熟悉的电脑历史。我们知道巨像早于后来的计算机，但20世纪60年代给我们带来了真正的多用户数字机器。他们还带来了一些计算机漏洞，即使在今天，我们也非常熟悉。这是IBM 7094，这是我所知道的第一个存在软件漏洞，导致获得特权的多用户计算机系统。从62年到66年，问题被确定为允许泄露密码，绕过时间使用限制，并使系统崩溃。虽然60年代是雷达上的一个光点，但70年代给我们带来了很多关于脆弱世界的乐趣。
谁还记得美妙的游戏“俄勒冈小道”?虽然它不是一个多用户游戏，但你可以在TTY终端和电话线上玩它。它提醒我们，即使是无害的应用，对用户输入的信任也是不好的。孩子们发现，在硬币上插入一个负数可能会导致整数下溢，从而让他们操纵货币。这是一台PDP-10, 1966年制造，一直开到80年代。它运行两种操作系统之一，top -10或TENEX。1972年，TENEX被发现存在计时技术漏洞，允许用户找出其他人的密码。第二款是运行通用电气gcos3的霍尼韦尔DPS 6。在72年到79年之间，它有三个漏洞。
导师编程语言是为图中所示的PLATO IV计算机系统开发的。在74年，通过向远程终端发送精心制作的EXT命令，你可以锁定它，需要重置电源来修复，远程拒绝服务诞生了。这是我MIT的霍尼韦尔6180，是Multics的众多计算机之一。在70年代，Multics中至少有16个漏洞。
据统计，这句话可以说是70年代的神谕。这些漏洞包括特权升级、拒绝服务、文件加密妥协和信息泄露。我们知道其中的几个，因为在79年初，罗杰·谢尔带领海军研究生院的一个团队攻击了多族人。在测试过程中，他们渗透了一个Multics装置，并增加了一个后门。这个后门很小，需要密码才能使用，正如壳牌公司描述的那样，“所以它被阉割了”。测试影响了多台机器，他们最终修改了霍尼韦尔的Multics母版。即使在团队告诉霍尼韦尔它的存在以及它的工作原理后，供应商也找不到它。
他们没有进一步寻找和修复，而是在后门到位的情况下继续分发。从技术上讲，这是第一个政府后门操作系统。有趣的是，Carger和Shell在74年写了一篇论文，他们在5年前做了同样的事情，但是后门没有被分发。这是美国宇航局使用的91型IBM 360计算机。360系列运行OS/360，是三个版本之一。1974年，它被发现有访问限制和旁路漏洞。这个操作系统至今仍在使用，IBM z/OS在z系列计算机上仍然支持system 360软件。更有趣的是，从1964年到2005年，使用了50年，该操作系统中只有一个漏洞被披露。也就是说，从2004年起，已有75个操作系统软件漏洞被披露。这是1978年托特纳姆学院的PDP-11。 RSTS was a multi-user time sharing operating system from Digital Equipment Corporation. In ‘75, four vulnerabilities were identified in RSTS including denial-of-service, user credential disclosure, file disclosure, and an unspecified remote issue with the login process. That last bit is interesting to a vulnerability historian like myself. Rather than full disclosure of the vulnerability, we have limited disclosure from administrators who saw it used to compromise a system in the wild. This is a Xerox 560, capable of running CPVE operating system released in ‘73.
两年后，发现了一个漏洞，允许本地用户绕过内置内存保护来提升权限。另一个PDP-11，照片上是丹尼斯·里奇和肯·汤普森。这两个名字可能很熟悉，因为他们是Unix的创造者，而Unix是后来数百个变体的基础，包括Solaris、AIX、BSD、macOS和Linux。75年，在一个与射线检查相关的登录过程中发现了一个未指明的漏洞。又一个模糊的披露，这次来自惠普实验室。这可能是第一个公开漏洞的供应商。六年后，在发布的程序中发现了另一个V6问题，这可以说是Unix漏洞的闸门打开了。在接下来的10年里，又有十几起病例被报道。IB77穿孔卡系统是一台运行四种不同操作系统之一的大型计算机的一部分，发现了两个漏洞，一个是1977年的特权升级漏洞，另一个是79年的密码文件泄露漏洞。在这一点上，我们应该考虑相同类型的漏洞不断出现，一次又一次，来自六个供应商。 Last, we move back to encryption, but in the form of digital algorithms. The new data-seal algorithm was a commercial cipher. It was a precursor to the data encryption standard, or DES, which is still a foundation used today. In ‘77, NDS was found vulnerable to a slide attack that resulted in a full compromise. This was one of the early computer-based algorithms that fell and would be one of hundreds to fall including DES. Vulnerabilities were surfacing enough in the 70s so it was a concern to many. From here, we get into a more modern security world that we all recognize. Remember, most admins back then, were not security people and few were dedicated to that task.
相反，他们只希望在极少数情况下保护他们的系统。到了80年代，这些漏洞变得越来越普遍，以至于有些人决定列出它们，并应该予以维护。这些最初的列表基本上是早期的漏洞数据库。不同于今天，但往往是相同的意图和目标:编目所有的弱点。在80年代之前，原始的无懈可击数据库(VDB)很可能是1973年在Multics中修复的安全漏洞。虽然这不仅仅是安全漏洞，但对于漏洞历史学家来说，这是一种圣杯。这份漏洞清单最终被制成了一本书，或者看起来是这样，并于1977年印刷出来。你看到的那个图片是通用的，“我们没有谷歌Books使用的封面图片，”我了解到。显然，我想要一本印刷书，以便回顾它，并将任何缺失的VulnDB集成到VulnDB中。太棒了，谷歌找不到副本，甚至在亚马逊或电子书上也找不到。
但是你看，我可以在图书馆找到它。据谷歌Books称，它存在于941英里外的加利福尼亚州的一个图书馆中。没人想去加州，对吧?当然，这引发了我合乎逻辑的、含蓄的反应，我很不高兴。幸运的是，我在宾夕法尼亚州的一个小型会议上有一份电子版，这是一位朋友的好意，她要求图书馆把复印件寄给她。谁知道教授有如此惊人的力量。所以在寻找了两年之后，我终于拥有了它。最终，有6个来自Multics的bug被添加到VulnDB中。自从那次冒险之后，这份名单终于被别人放到了网上。回到这里。 The 70s and 80s also gave us our first taste of supervisory control and data acquisition or SCADA vulnerabilities. SCADA is a term for those little things like the power grid, water systems, and other infrastructure. Note that while the first publication of the SCADA vuln was in 1983, the problem had actually been around a while. Also interesting to note that the next SCADA vuln would be published a full 17 years later in 2001. In 1983, the Nuclear Regulatory Commission issued information notice numbered 8383 about portable radio transmitters and nuclear power plants.
这似乎是无害的。它并没有被标注为“重要”。但这到底意味着什么呢?第一起事故发生在1975年阿拉巴马州的核电站，技术人员发现一种特殊的差动继电器是无线电频率敏感的。换句话说，一个标准的对讲机可以关闭核电站的关键系统。让我们慢慢理解。是的，第一次事故，这意味着在79年到2011年之间在不同的核反应堆有更多的事故。直到94年，你看到的主要是基于大型机和unix的漏洞，包括本地和远程漏洞，像Snefru, Cafrey, Lokey, Lucifer和Basomatic这样的加密算法像苍蝇一样掉下来。加密算法仍然有很酷的名字。然后1994年爆发了，潘多拉的盒子在脆弱的世界里打开了。 With the commercialization of the internet, birth of the World Wide Web, and more rapid deployment, we saw the eternal fountain of web based vulnerabilities. Over the next 15 years, we’d see yearly vulnerability counts jump considerably as a result.
仅2019年就披露了超过2.3万个漏洞。顺便说一下，这是有史以来第一个网络服务器。有了这些，我们将进入演讲的下一部分。INFOSEC的基础之一是修补漏洞的猫鼠游戏。世界上每个组织都在某种程度上这样做。但三十年后，vdb仍然没有轻松地获得它。我将介绍vdb出现问题的一些原因。首先，为什么它们很重要?因为它们是漏洞管理的基础。防火墙、入侵检测、漏洞扫描器都依赖于它们。 Organizations that rely on vulnerability intelligence get it from one in some fashion or another. Mature organizations can use this data to make better decisions and avoid problem vendors or software.
但所有这些都假设我们有可靠的数据。如果你不知道一个漏洞，你显然无法保护自己免受它的伤害。即使在2020年，我们看到八年前的漏洞报告仍在使用。你可以买到你想要的所有眨眼盒，但如果你得不到良好的vuln情报，那就没用了，因为它们根本不可靠。让我们从vdb中出现的问题开始。他们会做很多假设，包括你使用什么软件，什么细节对你来说很重要，你关心哪些漏洞，他们还假设你对自己的报道很满意。许多是商业性的，受到商业决策的影响，比如朝九晚五的工作。政府的数据库CVE实际上并不跟踪漏洞何时被披露，有些数据库实际上并不包括来自CVE的数据，而CVE是免费的。vdb不达标的原因有很多。例如，不同的语言意味着有些人无法就VDB是什么或漏洞意味着什么达成一致。 Most VDBs largely operate how they did the day they started. Every product and service evolves except seemingly most VDBs. Why? Complacency and the Mendoza Line. The Mendoza Line is an expression in baseball, deriving from the name of shortstop Mario Mendoza, whose poor batting average is taken to define the threshold of incompenent hitting. CVE, run by MITRE and funded by taxpayers, is the Mendoza Line in VDB world, Many third party offerings are based almost entirely on CVE so they end up close to the line as well. VDBs simply never had enough resources to keep up with what’s out there. Disclosures can be a nightmare and not just for the researchers.
一旦漏洞被揭露，通常还不是故事的结束。其中许多甚至没有捕捉到所有相关或有用的部分。抽象，一个简单的概念，但却是我们世界的噩梦。抽象是我们对一个或一组名词进行分类的方式。根据我们的标准，一个CVE ID最多可以映射66个不同的vulns。在其他时候，他们可能会为一个漏洞分配三个不同的id。IBM的数据库服务于他们的安全产品，因此一个漏洞可能有两个条目，对应到两种hth华体会最新官方网站不同的检查方法。我们抽象的方式直接导致了我们如何计算漏洞并生成统计数据。如果你说一次披露是一次，而我说是三个，我们的统计数据就会大不相同。Secunia就是一个例子，因为它们会为同一个vuln创建许多条目。 Like Heartbleed, for which they rated 36 entries.
如果我们照着做，我们将有712个Heartbleed条目，都是针对同一个openSSL漏洞。Secunia说，他们的计数方法是一种可行的度量方法，可以计算出明显不存在的不同漏洞的数量。统计数据的好坏取决于它们的解释和免责声明。图表上的图例是一个很好的开始，但它并没有开始说明数据从何而来，如何制成表格，以及存在哪些统计偏差。那么，我们在收集信息时面临哪些问题呢?即使在五年前，语言障碍也不是什么大问题，随着CNVB或中国国家脆弱性数据库以更大的容量运行，我们很难理解报告。翻译的中文做得很差。即使它可以工作，我们可以了解vuln的类型，也有一个技术障碍。CNVD可能会说它是一个导致代码执行的空指针d引用，但这种情况极其罕见。罕见的如何? We have one documented case from 2012, where Adobe said a nul-pointer-D reference could result in arbitrary code execution.
从那时起，Adobe产品中只有12个其他的npd，没有一个导致代码执行。hth华体会最新官方网站解决方案?每个VDB团队都需要一个能流利阅读中文、日语和俄语的人。一个可以在没有其他人参与的情况下远程利用的漏洞是至关重要的。需要某人点击并执行操作的漏洞仍然很严重，但它代表了一个略高的利用门槛。我们知道，经常点击并说服他们这样做的人有时是微不足道的。但这种区别很容易区分，所以我们需要这样做，但研究人员和供应商往往没有这样做，或者混淆了它们。对于那些熟悉地址消毒器或ASAN调试器的人来说，我敢打赌你会经常看到这个输出。在我们的世界中，如果缓冲区溢出触发读或写，我们会特别注意，因为影响是非常不同的。
读取导致信息泄露导致拒绝服务。写操作可以导致代码执行。许多研究人员和一些开发人员不理解这一点，并将两者一视同仁。如果你阅读新闻文章，特别是在关注安全的网站上，注意到他们往往是快速和肮脏的，他们倾向于鹦鹉学舌供应商的建议，而不做自己的分析。但也不能对开发者太生气。修复有bug的代码并修补漏洞要比进行根本原因分析、编写建议然后正确分类要快得多。在这种情况下，研究人员将空白密码和硬编码密码作为两个独立的问题来计算。如果账户不同，就会有一个论点，因为解决方案不同。请修改密码或等待厂商补丁。
这变成了一个迂腐的VDB论证，这是我最喜欢的一种论证。但仔细观察，我们发现他们谈论的是同一个账户，这当然是一个单一的漏洞。在许多情况下，相同的内容被发布到多个地方，甚至供应商也会这样做，我们通常必须同时拥有两个URL，以防有人搜索一个URL或另一个URL。那么所有流行的披露点，如bug跟踪器或漏洞利用数据库呢?不同的公共和私人数据库，国家数据库，讨论的博客呢?
在一个完美的世界里，我们会引用所有这些。但这属于vdb的资源问题。当研究人员没有包含供应商链接，或者有时让他们猜测或做大量耗时的挖掘，经过相当多的搜索后，这是一个立即明显的问题，所以我们必须询问研究人员。这是我们通常没有的时间。有时我们会遇到开发人员，他们的提交消息没有那么有用，这大大增加了寻找解决方案所需的时间。因此，一个来自VDB世界的PSA，请参考门票，拉请求，顾问id或使用关键字来帮助使修复更容易明显。我们必须试着理解研究人员的建议，至少可以说是相互矛盾的。本例有本地、本地物理和远程。供应商有时会写大量术语的建议，这些术语是他们产品特有的，以至于变得难以理解。长期以来，安全研究人员和公司一直在为这些建议打广告，但有时它们会变得很荒谬。
这是右侧单个漏洞披露的截图。看到底部那个小盒子了吗?是啊，我也是。把它放大，我们看到，在所有这些之后，它是固定的。没有关于修复的信息，也没有链接。所以有时候名气比实际的帮助更重要。正如你所记得的，CVE是一个行业标准，被广泛使用并经常引用。这样做的全部目的是为漏洞提供唯一标识符。由于CVE ID为数字，因此会发生错误。人们不是剪切粘贴，而是把它们打出来，脆弱性混乱随之而来。 Not quite that dramatic, but some do jokingly refer to me as the CVE police. Anyone doing basic VDB work should run across these weekly if not, more often. MITRE, who runs CVE servers doesn’t seem to care. And why do this? Because accuracy matters. And I’m a masochist apparently.
有些情况很容易发现，有简单的错别字，但其他可能是简单的错别字，但有时一个小小的错别字会导致一个兔子洞，需要大量的笔记来澄清作业中发生了什么。但是等等，还有更多令人头疼的事情。我们用速射。少数商业利用框架的动机是保持利用细节的私密性，这使得很难确定它们是否是同一个问题。我们喜欢揭露时间线，但当它们包含糟糕的科幻穿越情节时，我们就会畏缩。我明白，我真的明白，但供应商将漏洞细节置于付费墙后，迫使客户使用它，尽管他们将安全工作外包给像我这样无法访问它的人。信息披露是通过领英、成就、出版物或任何东西，甚至是个人简介来完成的，它们通常没有可操作的细节。他们没有帮助。通过Twitter个人资料和推文披露信息，真的吗?似乎总是保留CVE ID，这意味着没有可操作的细节。 CPE, which is different, allows you to programmatically use vuln data to easily integrate into your software but with CVE’s limits, that means a lot of vendors and products won’t have actual CPE data, making that integration very difficult. Trying to get clarity from a researcher, vendor, or CVE numbering authority can be a raging headache. Over 100 million repos on a single site, Github, how do we begin to scale to that volume? What else? Here’s a snip of laundry list of other things we don’t have time to get into. So why does all of this matter?
当我们发现自己在选举中，相当多的州使用基于软件的电子投票机，其中一些已经有10年的历史了。每一辆现代汽车都有计算机系统，我们已经转向了新一代大量基于软件的汽车。记住，这不仅仅是关于漏洞。常规的软件漏洞可能会造成严重的后果。即使是那些用于测试的默认凭据，如果将其投入生产，也会导致问题。比如这辆漂亮的杜卡迪，它有一个四位数的默认代码来启动自行车。更可怕的是，医疗设备变得严重依赖软件。早在1985年，我们就看到了Therac 25号，就是照片上的那个，它有一个竞争条件，可能会导致潜在的致命剂量的辐射。事实上，它确实杀死了人。这种现代救生技术，就像带有无线诊断功能但没有加密认证的心脏起搏器。 How bad of a thread is this? Former Vice President, Dick Cheney, had the wireless feature of his pacemaker disabled in 2007. That was one year before the annual halperin published a seminal paper on ICD vulnerabilities. In five years, before a pacemaker hacking plot in the TV show “Homeland” appeared.
不仅是心脏起搏器，还有胰岛素泵，它们也不需要身份验证或加密，但可以接受无线信号，将胰岛素瓶倾倒到人体内。显而易见的教训是，无论如何想象，漏洞都不是什么新鲜事。过去112年一再向我们表明，硬件和软件是脆弱的。1902年的明文传输，1939年的加密失败，1955年以来盲目信任用户输入，1973年以来缓冲区溢出。为什么?很简单，因为我们没有解决根本的问题。相反，我们不断地把创可贴贴在其他创可贴上，拼命地试图堵住这艘正在沉没的船的一个洞，而不是从根源上解决问题。
我们不断提出新的、令人兴奋的、有利可图的方法来解决这些症状。我们花了无数个小时来讨论完全披露给供应商多少时间来修复报告的漏洞。与此同时，包括一些最大的供应商在内的供应商仍然在拖延，即使在问题被披露之后，也需要长达三年的时间来解决简单的问题。老生常谈的问题是，我们如何解决这个问题?我更喜欢破坏而不是建造，所以这不是我喜欢的可乐品牌。我认为解决这个问题的权力不在于安保人员。我认为这取决于开发者世界。在将代码推向生产之前，在审计中进行安全编码实践，可能是我们的救星。在开始提问之前，我想邀请你和我以及我们团队的其他成员一起出去玩。我们将在苏格兰皇家银行的展位上停留约一小时。 If you have any questions about vulnerabilities or anything else, let’s chat. Thank you for your time.