震網對零日漏洞的利用,引發了對于政府的種種質疑。人們聯想到,政府在類似漏洞利用程序的秘密交易與使用中,正扮演著越來越活躍的角色。由于有證據顯示,這些活動正在使企業、關鍵基礎設施和個人計算機用戶面臨更危險的處境,這些質疑應該上升到國會層面加以考慮,或至少進行公開討論。
雖然零日漏洞及漏洞利用程序的市場已經出現10多年了,但直到最近,它的規模仍然很小,是一個僅由黑客和網絡犯罪分子參與的地下黑市。然而,在過去幾年間,由于買家和賣家數量暴增,這個市場變得更加商業化,價格也隨成交量水漲船高。隨著政府方面買家的進入,以前的地下黑市逐漸變成了不受監管的網絡武器集市。
零日漏洞商品化傾向的第一個信號出現于2005年12月。當時一個名叫fearwall的賣家把一個零日漏洞掛到了易貝網(eBay)上面叫賣。這件事,讓人開始擔憂從事合法工作的網絡安全研究員和漏洞搜尋者會模仿這種舉動,雇傭掮客、把技能和成果賣給出價最高的人,而不是把軟件漏洞相關信息免費發給負責修復的軟件供應商。在將這個Windows Excel的零日漏洞掛上拍賣臺之前,fearwall已經像“負責任的研究員”應該做的那樣,把相關信息向微軟透露過。但是,軟件巨人卻對fearwall極為冷淡、毫無謝意。當時,微軟還沒有“對外部人士幫助微軟發現漏洞進行獎勵”的機制。既然如此,fearwall決定,把這漏洞公開叫賣,一方面羞辱一下這個軟件巨人,另一方面迫使它盡快將漏洞修復。當易貝方面了解情況并把產品下架時,最高叫價僅為60美元。但這筆失敗的交易為后面的事情埋下了伏筆。
今天,漏洞及漏洞利用程序市場已經發展出多個層次:從軟件供應商和網站所有者為漏洞發現提供獎勵的公開市場項目,到網絡犯罪分子進行私下交易的黑市,還有為滿足全世界執法部門和情報機構無窮需求的灰色秘密市場。
提供獎金的公開市場項目由谷歌、微軟及其他為自家軟件漏洞買單的公司發起,這些項目的出現,讓軟件公司更加重視漏洞修復工作。惠普旗下的TippingPoint公司等第三方安全企業也會購買零日漏洞,然后將其用于測試客戶的網絡,提高抵御攻擊的能力。此外,TippingPoint還會私下把手機到的漏洞透露給軟件供應商,以便其修復。但補丁的制作通常需要幾周到幾個月的時間。在此期間,TippingPoint將為客戶提供額外的保護,讓這些不知情的客戶不會受到漏洞的傷害。
在熱鬧的黑市中,主要客戶有網絡罪犯和商業間諜,產品不光有零日漏洞和漏洞利用程序,還有將漏洞利用程序變成武器所需的載荷:特洛伊木馬,監聽工具包,其他用于竊取網絡銀行數字證書和公司機密情報的惡意工具,以及由若干僵尸計算機組成、具有一定規模的僵尸網絡。這里賣出的漏洞,只有當使用它們的攻擊行為被發現之后,才會被公眾和供應商了解。這一過程可能長達數年時間。研究人員花了幾年時間才發現震網和之前Zlob木馬中使用的.lnk漏洞,就是明證。
但傳統黑市正遇到一些麻煩。它的生意正在被一個新興的零日漏洞及漏洞利用程序市場搶走。有評論人士預測,這個新興市場將對網絡安全領域帶來比傳統黑市更為嚴重的問題。它就是蓬勃發展的數字軍火商灰色市場。這里的主角是防務承包商和私營交易商,他們的政府客戶財大氣粗,把零日漏洞的價碼炒得老高。這把一些原來打算在軟件供應商那里拿獎金的賣家吸引了過來,也讓一些原本會流向供應商、會被修復的漏洞,轉到了只想利用這些漏洞的人們手上。
之所以說這個市場是“灰色的”,是因為買賣雙方都是“好人”,交易的初衷都是為了保障公眾安全和國家安全。但甲之蜜糖,乙之砒霜。誰也不敢保證購買了零日漏洞的政府官員不會把它們在政敵和社會活動人士身上濫用,誰也不敢保證轉送到其他政府手上的漏洞不被濫用。即使國家安全部門出于合法的國家安全目的使用零日漏洞,由于漏洞來自灰色市場,軟件供應商也沒辦法打補丁。那么,如果有國外敵對勢力或獨立黑客也發現了這個漏洞并利用了這些漏洞,就有可能導致包括其他政府部門和本國關鍵基礎設施所有者在內的、不掌握該漏洞的任何一方面臨嚴重風險。
漏洞利用程序的銷售雖然合法,但幾乎不受任何監管。盡管美國的出口管制政策在控制普通軟件出口的同時,也禁止將漏洞利用程序出口至伊朗、朝鮮等國,但漏洞利用程序不像普通軟件那樣具有可以辨別國籍的版權標志,所以沒有任何人會因為把漏洞利用程序賣給外國人而被抓。
不同零日漏洞之間的價格差距很大。系統越難以攻破,用于發現漏洞、研發漏洞利用程序的時間越長,漏洞利用程序的目標軟件使用越普遍,相應漏洞就越稀缺、價格越高。為特定客戶的定制版漏洞利用程序,要比面向多個客戶的通用漏洞利用程序要貴。同時利用多個漏洞幫助攻擊方獲得目標計算機系統權限的漏洞利用程序要價更高。能夠躲避反病毒軟件和其他安全防護手段,卻沒有“引發瀏覽器或系統崩潰、讓計算機機主覺察到不對勁”等副作用的漏洞利用程序,也會更貴一些。
針對Adobe Reader的零日漏洞利用程序要價在5000~3萬美元,針對Mac OS的零日漏洞則可以開到5萬美元。針對Flash 或Windows的可以賣到10萬美元,因為Flash 和Windows的用戶數量非常龐大。針對蘋果手機iOS系統的漏洞也能賣到10萬美元,因為與其他智能手機相比,破解蘋果的系統更難一些。用來攻擊火狐(Firefox)、IE、Chrome等瀏覽器的漏洞利用程序,根據繞開軟件供應商內置安全策略的能力不同,可以賣到6萬~20萬美元。
與公開市場獎勵項目提供的獎金相比,賣家在灰色市場上往往可以多拿幾倍的錢。莫茲拉基金會為旗下的火狐瀏覽器、雷鳥郵件客戶端中的漏洞發現獎金是區區3000美元,而因沒有漏洞發現獎勵機制的而被批評多年的微軟,終于在2013年推出IE11瀏覽器預覽版時附帶了一個獎金為區區11000美元的漏洞發現獎勵項目。現在,微軟總算是大方了一點:如果發現能幫助攻擊者繞過產品自帶安全防護的漏洞,獎10萬美元;如果附有修復漏洞的解決方案,再獎5萬美元。谷歌為Chrome瀏覽器及Gmail、YouTube等網絡應用設立了500~2萬美元的漏洞發現獎金,但每年會舉辦一場挖掘Chrome漏洞的競賽,為某些類型漏洞的發現者提供6萬美元獎金。這些軟件供應商正努力通過這種方式與黑市競爭,然而,在多數情況下,跟政府部門在灰色市場上的出價相比,明顯是小巫見大巫。另外,雖然用戶數以百萬計,但Adobe和蘋果公司堅持不提供漏洞發現獎勵項目。(待續)
零日漏洞的灰色市場出現也有10來年了,但直到最近才出現迅速發展壯大的趨勢。多年來,它的交易模式一直是“自組織”的,交易在安全公司或研究員與政府買家私下聯系后,悄悄地發生。如果有人想賣一個漏洞利用程序,但沒有來自政府的人聯系他,他自己很難找到買家。
2006年,新的情況開始出現。據某安全公司前雇員稱,該公司在一次交易中把好幾個零日漏洞利用程序賣給了一家美國大型防務公司。這些零日漏洞利用程序均以Safari、火狐和IE瀏覽器中的安全漏洞為目標,每個成交價約為10萬美元。對每一筆交易,買家會先支付安全公司5萬美元的首期款,然后每月支付1萬美元,直到結清為止。這樣做的原因是,防止賣家把漏洞利用程序再次賣給其他買家,或者泄露給軟件供應商。
第一個公開將漏洞利用程序賣給政府的人,是安全研究員查理?米勒(Charlie Miller)。他2000年從美國圣母大學(University of Notre Dame)取得數學博士學位后,成為國家安全局旗下的一名黑客。米勒在NSA干了5年。他在簡歷上說,自己一開始是為NSA破解代碼,后來改為攻破計算機——首先進行勘察掃描、摸清外國目標網絡的拓撲結構,然后執行“對外國目標的計算機網絡刺探”任務。離開NSA之后,米勒慢慢成為信息安全圈內以挖掘零日漏洞和制作漏洞利用程序著稱的技術大牛。這些漏洞中的一部分被他賣給了政府。2007年,他首次亮相,就和一名同事一起,成為首個攻破iPhone安全防線的人。他還曾4次榮獲惠普TippingPoint公司組織的、以挖掘特定軟件中漏洞為主題的、每年一度的Pwn2Own黑客大賽冠軍。
[](http://www.aqniu.com/wp-content/uploads/2015/10/640.webp-28.jpg)
查理?米勒
2006年的時候,米勒在一家很小的安全公司就職,利用業務時間做些漏洞挖掘的業務。在此期間,他成功的將一個漏洞利用程序以5萬美元的價格賣給了一家美國政府承包商。具體和他聯系交易的買家是他之前在NSA時的一個熟人,但是他說,他也不知道這個漏洞會去向何方、用作何事。他的漏洞交易合約中從來都不會對買家的用途進行規定。“我不清楚他用這漏洞干的是好事還是壞事,我只知道他是為美國政府做事的。”米勒說,“他們買下的是知識產權,你知道么?他們想用它做什么就做什么。”
2007年,米勒撰寫了一篇關于零日漏洞市場的文章,并在其中承認他曾經把漏洞利用程序賣給過政府。此文一出,輿論嘩然。他寫這篇文章的目的是想告訴人們,這些事情確實存在。他還想通過親身經歷的描寫,幫助其他像自己這樣的研究者避開交易中的陷阱。彼時,在信息安全業界,售賣漏洞利用程序還是見不得人的秘密。研究者們偶爾會在彼此之間提到這些事,但沒人愿意公開談論。米勒很快就明白了個中原因。業內的同事們紛紛指責他把買家推向了危險的境地,還有人呼吁吊銷他的[CISSP](http://www.aqniu.com/infosec-wiki/1006.html "注冊信息系統安全認證專家(Certified information System Security Professional,簡稱 CISSP)是目前世界上最權威、最全面的國際化信息系統安全方面的認證.")(信息系統安全認證專家)執照,因為他的行為違反了職業道德規范。“我把它說出來了……然后被臭罵了一頓。以后我再也不開口了。”米勒說。
對于米勒而言,把漏洞免費透露給軟件供應商沒有任何意義。因為那時候,即使有供應商設立了漏洞發現獎勵項目,獎金也少得可憐。而且,當時的氛圍對米勒這種漏洞挖掘者非常不利。供應商不但不會對漏洞發現者表示感謝,反而會威脅對他們刺探公司系統或軟件的行為提起訴訟。
幾年前,米勒開始不再參與零日漏洞交易。現在,他在推特公司的安全團隊工作。但是,他仍然認為,把零日漏洞賣給政府這件事沒有錯,更沒有違背職業道德規范。“你看,當軍火公司把槍和坦克賣給政府時,有人發瘋嗎?”他還說,在美國研究者把零日漏洞賣給政府的同時,其他國家的黑客也在做著同樣的事。美國政府為零日漏洞出高價,總比眼睜睜的看著它們旁落他家強多了。
“我不認為研究者把漏洞利用程序賣給政府是多大的事,”他對我說,“但我覺得,人們應該……了解正在發生什么事情。我完全同意政府公開的進行這項活動。我在想,他們干嘛不干脆設立一個公開項目,并宣布‘如果找到零日漏洞,我們會把它買下來’呢?”
就在米勒潛心挖掘零日漏洞的那幾年,灰色市場上對于零日漏洞的需求大幅增長。原來一個漏洞利用程序需要幾個月才能賣出去,現在只需要幾周甚至幾天。為了滿足需求,一個生機勃勃的漏洞挖掘與交易生態系統逐漸成形。以漏洞挖掘為主業的小公司如雨后春筍般崛起,大型防務承包商和人力資源部門則紛紛招募職業黑客團隊,以完成為政府開發漏洞利用程序的任務。愿意為獨立賣家承攬漏洞利用程序銷售生意的中間商也越來越多。
有一名身處泰國、在業內化名“The Grugq”的南非籍安全研究員,就是這樣一個中間商。他在黑客朋友與政府買家之間牽線搭橋,從每筆交易總額中收取15%的傭金。他2011年才開始做這個生意,但生意實在太火爆了,到2012年底的時候,他對一名記者說,自己大約已經賺到了100萬美元傭金。媒體還刊登了一張他拍攝于曼谷某酒吧的照片,照片上,他的腳邊放著一個裝滿現金的小背包,顯然是某個賣家付給他的傭金。后來他說,這不過是個玩笑。
他對《福布斯》雜志說,多數經他手的漏洞利用程序都賣給了歐美政府的買家,因為他們比別人出價更高。有一個針對蘋果iOS系統的漏洞利用程序賣到了25萬美元,但后來他判斷自己還是價格開低了,因為買家難掩對這筆交易的興奮。他將自己的成功歸結于他在漏洞利用程序銷售和對客戶提供服務方面的專業精神。“從本質上說,我做的是商業軟件銷售,跟賣正規軟件是一樣的,”他對《福布斯》說,“所以,要把事情做得嚴謹、規范且不失圓滑。”
但是,那段時間真正的漏洞大單并不是米勒這樣的獨立賣家和Grugq這樣的中間人做出來的,而是由安全公司和防務承包商做出來的。他們將漏洞利用程序的研發和面向政府部門的銷售,變成了新型軍事/工業復合體的一個有機組成部分。
盡管政府部門還在自行制作漏洞利用程序,如NSA雇傭了專事此業務的團隊,但由于需求太大,他們還是需要將部分業務外包出去。同時,制作成本也大幅提高:兩三年前,利用一個漏洞就足以獲得目標計算機的系統級權限。但如今,要繞過安全防護,實現同樣的目標,可能需要同時利用多個漏洞。(待續)
交易中的多數公司都不愿公開他們這方面的工作,不僅因為這是秘密的,還因為他們不想因此被反漏洞交易社會活動人士當做批判的目標,更不想引來想偷走這些漏洞利用程序的敵手。由于零日漏洞既可以用于防御,也可以用于進攻,很多公司會給攻擊性活動戴上一個防御工作的帽子。包括Endgame Systems在內的多家美國公司都或多或少的涉足其中。歐洲方面,有專門制作針對工業控制系統漏洞利用程序的馬耳他小公司ReVuln,和以執法部門和情報機構為目標客戶的法國公司VUPEN。此外,還有向執法部門和情報機構出售“與零日漏洞利用程序配合使用的監視工具”的意大利黑客團隊和英國的伽馬集團。
由于非常重視保密管理,多年來,喬治亞州Endgame Systems公司在零日漏洞挖掘業界一直是默默無聞。直到2011年,來自“匿名者”(Anonymous)的黑客攻破了HBGary Federal公司的服務器,泄露了這家公司包括與Endgame高管來往郵件的數千封電郵。郵件中討論了Endgame公司制作漏洞利用程序的工作,以及根據政府部門“盡量保持低調”的建議所做的努力。這些郵件中,還包括一個面向客戶對公司業務進行展望的PPT演示文稿,其中描述了公司加強“美國情報機構和軍事組織遂行信息作戰任務能力”的使命。Endgame公司的董事會主席還同時擔任著CIA旗下風險投資公司——In-Q-Tel公司的首席執行官。
在公開市場上,Endgame公司的主要業務是為客戶提供安全服務,使其免受病毒和僵尸網絡攻擊。但公司卻私下從事著出售寫有“可直接為計算機網絡攻擊行動中提供行動情報”字樣的漏洞和漏洞利用程序包的勾當。Endgame公司成立于2008年,由于其商業前景非常看好,兩年后就拿到了3000萬美元的風險投資資金,之后又拿到了2300萬美元的新一輪風投資金。2011年,Endgame公司CEO克里斯托弗?羅蘭德(Christopher Rouland)向亞特蘭大一份地方報紙宣稱,公司的收益將“每年增長一倍以上。”
泄漏出來的郵件中描述了Endgame公司名為毛依(Maui)、 卡曼(Cayman)和科西嘉(Corsica)的三個產品包。名為“毛依”的產品包,合同金額為每年250萬美元,將每年為買家提供25個零日漏洞利用程序。名為“卡曼”的產品包,合同金額為150萬美元,內容是關于全球數百萬臺易受攻擊計算機的情報,這些計算機已被類似Conficker的僵尸網絡蠕蟲和其他惡意程序所感染。郵件中的預覽圖顯示了俄羅斯境內易受攻擊計算機的位置,以及在核心政府部門和關鍵基礎設施中易受攻擊計算機信息清單,清單中包括每臺計算機的IP地址和使用的操作系統。清單中有位于俄聯邦中央銀行的249臺計算機,還有位于財政部、國家儲蓄銀行、新沃羅涅日核電站和阿秦斯克煉油廠的少量計算機。其中有一部分數據是Endgame通過設置可與被Conficker病毒感染計算機進行通信的“槽洞”來獲得的。每當[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")與“槽洞”通信時,Endgame就可以將[惡意代碼](http://www.aqniu.com/infosec-wiki/827.html "惡意代碼是一種程序,它通過把代碼在不被察覺的情況下鑲嵌到另一段程序中,從而達到破壞被感染電腦數據、運行具有入侵性或破壞性的程序、破壞被感染電腦數據的安全性和完整性的目的。")所在計算機的情報收集起來。關于委內瑞拉的另外一張地圖上,顯示著該國網絡服務器所在位置,以及每臺服務器上正在運行哪些軟件。如果網站服務器被成功滲透、而且配置不當,那么攻擊者就可以通過后門來進入網站的系統和服務器。被入侵的網站列表中包括安第斯開發銀行——為拉美及加勒比海地區和歐洲的18個成員國提供金融服務的發展銀行、委內瑞拉中央預算辦公室、總統辦、國防部和外交部網站。在郵件泄露事件后的2012年,Endgame公司對媒體宣稱,正在砍掉漏洞利用程序開發業務,并于2014年初專門為此事發布了正式聲明。
在Endgame公司上下協力掩蓋其漏洞業務的同時,位于法國蒙彼利埃的VUPEN安全公司卻在零日漏洞交易領域大出風頭。VUPEN標榜自己是一家制作和銷售漏洞利用程序的專業安全公司,可以滿足情報機構和執法部門等客戶在“攻擊性網絡安全行動及合法監聽任務”中的需求。2008年成立時,它的業務是保護政府客戶免遭零日漏洞攻擊;兩年后,公司開始制作用于攻擊行動的漏洞利用程序。2011年,公司營業額達到120萬美元,其中近90%來自國外市場。2013年,公司宣布正在美國設立分部。
VUPEN創始人、CEO查歐基·貝克拉(Chaouki Bekrar)行事大膽、無所顧忌,這讓他經常被那些反對向政府銷售漏洞的人在推特上大加鞭撻。他還經常挑戰那些口風頗緊的競爭對手,讓他們把自己做的事情公諸于眾。“我們是世界上唯一一家公開宣稱吃這碗飯的公司,”他說,“美國和歐洲有很多公司都在做這些事,但他們不敢承認。我們之所以選擇公開,是因為我們胸懷坦蕩。”
Endgame和其他所有公司都隱忍的蟄伏著,貝克拉和他的同事們卻高調的穿梭于各種安全會議,參與類似Pwn2Own的競賽,不斷提升公司知名度。2012年的Pwn2Own大賽在 CanSecWest大會(加拿大的一個計算機安全年會)上進行,由貝克拉和他4名同事組成的戰隊穿著后背印有公司標志的黑色連帽衫,奪得了大賽的冠軍。
[](http://www.aqniu.com/wp-content/uploads/2015/10/640.webp-29.jpg)
VUPEN公司貝克拉團隊榮獲2012年Pwn2Own大賽冠軍
但是,VUPEN對外界的展示,僅限于此。貝克拉不會對別人討論他的背景,也不會回答任何個人問題,只是讓別人把目光放在他的公司上。“我只是個演員,咱們還是聊聊電影吧。”他說。但當別人真問到有關公司的問題時,他一樣會閉緊嘴巴。他不會說出公司有多少雇員、叫什么名字,而只會說“我們是個小公司”。
VUPEN公司的研究員專注于零日漏洞的挖掘和漏洞利用程序的制作。不僅制作已知漏洞的利用程序,也制作零日漏洞利用程序。貝克拉不會告訴別人他開始這項業務以來一共賣出過多少漏洞利用程序,但他明確表示,每年可以發現數百個零日漏洞。“我們有各種各樣的零日漏洞,”他說,“針對各種操作系統的、各種瀏覽器的、還有針對你想要的每種應用軟件的。”
不管貝克拉的話中有幾分是確有其事,幾分是“戰略營銷”,這種策略確實管用。2012年,在他的戰隊贏得Pwn2Own大賽的幾個月后,美國國家安全局NSA認購了VUPEN公司“二進制分析與利用”(Binary Analysis and Exploits ,BAE)一年的服務。迫于公眾壓力而公開的合同非常“簡約”,連合同金額都沒有。不過,將VUPEN選為“2011年年度創業企業”的一家商務咨詢公司透露,合同金額是一年10萬美元。據VUPEN網站上的說明,BAE服務的內容是“提供關于最關鍵、最有價值漏洞的高級技術報告,幫助客戶理解漏洞存在的根本原因、漏洞利用技術、危害緩解手段,以及基于漏洞利用程序或直接利用漏洞的攻擊探測方法。”
維基解密拿到了VUPEN公司的一本內部宣傳冊,上面寫著:VUPEN還提出了一個“威脅防護項目”,通過對本公司研究員發現的獨家漏洞進行深入研究,幫助客戶“降低遭受零日漏洞攻擊的風險”。根據這些項目的描述,他們所做的,無非是幫助客戶加強防護、免受零日漏洞攻擊——零日漏洞利用程序可以用來對系統進行攻擊測試——但是,這些信息已經足以讓客戶用它們對那些未打補丁的系統進行攻擊。公司的“威脅防護包”中,甚至為客戶提供了可以直接用于攻擊的零日漏洞利用程序。此外,VUPEN公司還有一項專門為執法部門和情報機構量身定制的服務,功能是對目標計算機發動秘密攻擊、并實現遠程登入。“執法部門需要最先進的信息入侵技術,和最可靠的攻擊工具,以便遠程、秘密的進入目標計算機系統,”貝克拉在宣傳冊中指出,“使用以前沒有人知道的軟件漏洞及相應的漏洞利用程序,可以繞過反病毒產品和操作系統的安全防護……幫助調查者成功完成任務。”(待續)
入侵程序僅限于北約、太平洋安保條約和東盟成員國及其盟國——貝克拉提到的“數量有限的幾個國家”——的警察和情報部門使用。
貝克拉說,“它們非常敏感,所以我們已嚴格控制客戶數量。”但是,僅北約就有28個成員國,包括羅馬尼亞和土耳其。而這些國家的盟國有40個左右,包括以色列、白俄羅斯、巴基斯坦和俄羅斯。貝克拉又說,VUPEN當然不會因為僅僅因為買家在這個大名單上,就把產品賣給他。
公司所售漏洞利用程序的攻擊目標,涵蓋了微軟、蘋果、Adobe等多家大企業的幾乎所有頂級商業軟件,還包括Oracle等公司制作的企業級數據庫和服務器操作系統。最受歡迎的是針對瀏覽器的漏洞利用程序,貝克拉說針對各個品牌瀏覽器的漏洞利用程序他們都有。VUPEN只出售漏洞利用程序和用來幫助客戶滲入網絡的“中間載荷”。客戶要想得到一個完整的“數字武器”,還需要自行制作與漏洞利用程序配合使用的末端載荷。
震網病毒被發現后,有客戶開始咨詢工業控制系統的漏洞利用程序,公司開始把注意力轉向這個方面。貝克拉說,公司研究團隊對震網進行了分析,它的漏洞利用程序做的很棒。“這些漏洞也找的很合適,利用漏洞的方式更是精彩極了。想利用好這些漏洞可不是件容易的事。”但是,要想真正研發針對工業控制系統的攻擊手段,必須要有用于做實驗的特殊硬件和相關設施。他表示,“我們可沒有這些東西,我們也不打算做這方面的業務。”
漏洞利用程序訂閱客戶可以訪問公司的門戶網站,網站上有零日漏洞利用程序的商品列表,還有按特定操作系統和應用軟件排列的漏洞利用程序清單。漏洞利用程序以“積分”標價,價格分為1分、2分、3分、4分共4檔。訂閱者可以購買一定數量的積分,再用積分拍下想要的商品。每個商品都有一段說明目標軟件和證明自身可靠性的描述文字。每當有新漏洞被發現或者新的漏洞利用程序上線,客戶還可以收到實時提醒。同時,VUPEN還監控著來自微軟等軟件供應商發布的聲明,一旦出現公司漏洞利用程序產品所涉漏洞被發現、或發布了相應補丁的情況,立即提醒客戶相關漏洞及利用程序作廢。這個提醒,有時會通過推特發布。
貝克拉說,他們公司不會只把漏洞利用程序單獨買給一個買家,而是同時向多個買家出售漏洞利用程序的副本。漏洞利用程序用的次數越多,就越容易被人發現,這使得像NSA這樣的對保密性要求很高的大買家不會對它們產生濃厚興趣。貝克拉堅稱,VUPEN只跟少數幾個國家的政府部門合作,還說客戶不會將公司產品用于“大規模攻擊”,因此,這些漏洞利用程序“幾乎沒有機會”被大面積部署。
和米勒一樣,貝克拉對那些批評漏洞交易的人沒有一點好氣。他還說,過去軟件供應商先是拒絕向發現漏洞的研究者支付報酬,后來勉強同意拿錢、卻又不肯出高價,自己卻厚顏無恥的占據了以政府為客戶的漏洞市場。這搞得漏洞研究者實在沒辦法,才只好把漏洞賣給那些愿意為他們辛勤工作和杰出作品支付合理價格的買家。他還堅稱,他做漏洞生意并不是為了錢。“我們不是商人。我們不在乎銷售額。我們更在乎公眾的安全。這關乎倫理。”
在一次Pwn2Own大賽上,當谷歌提出用6萬美元換取貝克拉戰隊用在Chrome瀏覽器上的漏洞利用程序及相應漏洞信息時,貝克拉拒絕了。他開玩笑說,如果谷歌出100萬,他可能會考慮一下。不過,稍后他私下說,即使出100萬,他也不會把它交給谷歌,只會留給自己公司的客戶。當被問到VUPEN的客戶能不能拿出這么多錢的時候,他笑道:“怎么可能呢…他們可沒有這么大的預算。”
同時,他認為自己把公司產品賣給政府,有比賺錢更重要的原因。“我們主要與那些面臨國家安全方面問題的政府。我們幫助他們保護其國家和人民生命安全……像其他監控手段一樣。政府需要知道是否有人正準備干壞事,需要了解人民正在干什么,以便更好保衛國家安全。所以,可以通過多種途徑讓漏洞利用程序為國家安全和挽救生命做出貢獻。”
但批評人士認為,VUPEN這樣的公司沒有任何辦法掌握漏洞利用程序的去向和使用方式,比如,用戶買去用來暗中監聽國內的無辜公民。貝克拉承認,他與客戶之間的合同并沒有明確禁止政府買家用VUPEN的產品監聽本國公民。“但是,我們要求用戶,漏洞利用程序的使用必須合乎倫理。”
貝克拉說,他們在合同中只能說到這一步了,因為,合法的協議本身,就具有“避免不道德用途的所有可能情況”的內涵。“對我們來說這是很清楚的,”他說,“在使用漏洞利用程序時,必須考慮道德、國際規則和國內法律,更不要說用于大規模(破壞性)行動了。”但是,道德這個東西往往是由旁觀者評價的,所以貝克拉承認,他沒辦法控制客戶怎么去把握這個度。“從我的角度來看,唯一的辦法就是控制我賣給哪些國家,而不賣給哪些國家。”
美國民權同盟的克里斯托弗?索菲安(Christopher Soghoian)是VUPEN公司最強硬的批評者之一。他把VUPEN這種漏洞銷售公司稱為“出售死亡的人”和“牛仔”。他們盯著政府的錢袋子,為之提供用于侵犯性監視行為甚至是網絡戰爭的武器彈藥。這讓每個人都處于風險之中。他也承認,不管有沒有VUPEN這樣的公司,政府都會自己制作和使用零日漏洞天利用程序。但是,他還是因為它們的交易不受任何限制,而將其稱為“定時炸彈”。
“一旦有一個賣給政府的‘武器化零日漏洞利用程序’不小心落入壞人之手、并用于攻擊美國的基礎設施,那麻煩可就大了,”索菲安在2011年的一場計算機專業會議上對觀眾說道,“這似乎不是問題,但是……如果有一個拿著低薪又貪腐的警察,把某個武器化漏洞利用程序的副本賣給犯罪團伙或恐怖分子呢?如果‘匿名者’的人黑掉了執法部門的網絡,把這東西偷走呢?”
2013年,規范零日漏洞利用程序及其他網絡武器銷售的行動啟動了。由美、英、俄、德等41國共同締約的武器控制組織——瓦圣納協議宣稱,將首次把可用于黑客攻擊和監視行為和“可能對國際和地區安全穩定造成危害”的軟硬件產品列為“軍民兩用產品”。“軍民兩用”這個詞的含義是,那些必須受到限制的、既可用于軍事用途又可用于和平用途的材料和技術(如用于制造離心機轉子的馬釘鋼)。雖然該組織的聲明不具有法律約束力,但組織成員國原則上應設立針對此類產品的出口許可證制度,并積極參與控制其銷售的國際合作。瓦圣那協議締約國之一德國,則已經制定了一部旨在大力禁止銷售和任意使用漏洞利用程序的法律。其中,安全研究人員定期使用漏洞利用程序測試自己系統以提高安全性的行為,也在非法之列。美國參議院武裝力量委員會的立法者們也于2013年向總統呼吁,應拿出一項政策,“通過單邊出口控制和合作出口控制、執法活動、金融手段、外交接觸以及總統認為適當的其他手段,控制網絡武器擴散”。但是,單憑這些控制手段能起到多大作用呢?沒人知道。因為與傳統武器相比,零日漏洞和其他數字武器更難監控,而上述控制政策需要為漏洞利用程序的外銷發放出口許可證,并對買家進行篩查。這樣不僅會增加合法賣家的費用,而且會讓很多賣家轉到地下。
更進一步的說,這類控制措施中的手段,充其量只能讓犯罪分子、流氓和恐怖分子拿不到漏洞利用程序,而根本無法控制政府在執法行動和國家安全活動中使用它們。零日漏洞灰色市場的興旺清楚的表明,執法部門和情報機構急切的期待著,能拿到震網用的那種零日漏洞利用程序,并愿意為之豪擲萬金。對零日漏洞的瘋狂渴求只會不斷增長,與此同時,與之相關的國家行為也會越來越多。(待續)
