一旦有一个卖给政府的‘武器化零日漏洞利用程序’不小心落入坏人之手、并用于攻击美国的基础设施,那麻烦可就大了……
第七章 零日漏洞交易(接上)
入侵程序仅限于北约、太平洋安保条约和东盟成员国及其盟国——贝克拉提到的“数量有限的几个国家”——的警察和情报部门使用。
贝克拉说,“它们非常敏感,所以我们已严格控制客户数量。”但是,仅北约就有28个成员国,包括罗马尼亚和土耳其。而这些国家的盟国有40个左右,包括以色列、白俄罗斯、巴基斯坦和俄罗斯。贝克拉又说,VUPEN当然不会因为仅仅因为买家在这个大名单上,就把产品卖给他。
公司所售漏洞利用程序的攻击目标,涵盖了微软、苹果、Adobe等多家大企业的几乎所有顶级商业软件,还包括Oracle等公司制作的企业级数据库和服务器操作系统。最受欢迎的是针对浏览器的漏洞利用程序,贝克拉说针对各个品牌浏览器的漏洞利用程序他们都有。VUPEN只出售漏洞利用程序和用来帮助客户渗入网络的“中间载荷”。客户要想得到一个完整的“数字武器”,还需要自行制作与漏洞利用程序配合使用的末端载荷。
震网病毒被发现后,有客户开始咨询工业控制系统的漏洞利用程序,公司开始把注意力转向这个方面。贝克拉说,公司研究团队对震网进行了分析,它的漏洞利用程序做的很棒。“这些漏洞也找的很合适,利用漏洞的方式更是精彩极了。想利用好这些漏洞可不是件容易的事。”但是,要想真正研发针对工业控制系统的攻击手段,必须要有用于做实验的特殊硬件和相关设施。他表示,“我们可没有这些东西,我们也不打算做这方面的业务。”
漏洞利用程序订阅客户可以访问公司的门户网站,网站上有零日漏洞利用程序的商品列表,还有按特定操作系统和应用软件排列的漏洞利用程序清单。漏洞利用程序以“积分”标价,价格分为1分、2分、3分、4分共4档。订阅者可以购买一定数量的积分,再用积分拍下想要的商品。每个商品都有一段说明目标软件和证明自身可靠性的描述文字。每当有新漏洞被发现或者新的漏洞利用程序上线,客户还可以收到实时提醒。同时,VUPEN还监控着来自微软等软件供应商发布的声明,一旦出现公司漏洞利用程序产品所涉漏洞被发现、或发布了相应补丁的情况,立即提醒客户相关漏洞及利用程序作废。这个提醒,有时会通过推特发布。
贝克拉说,他们公司不会只把漏洞利用程序单独买给一个买家,而是同时向多个买家出售漏洞利用程序的副本。漏洞利用程序用的次数越多,就越容易被人发现,这使得像NSA这样的对保密性要求很高的大买家不会对它们产生浓厚兴趣。贝克拉坚称,VUPEN只跟少数几个国家的政府部门合作,还说客户不会将公司产品用于“大规模攻击”,因此,这些漏洞利用程序“几乎没有机会”被大面积部署。
和米勒一样,贝克拉对那些批评漏洞交易的人没有一点好气。他还说,过去软件供应商先是拒绝向发现漏洞的研究者支付报酬,后来勉强同意拿钱、却又不肯出高价,自己却厚颜无耻的占据了以政府为客户的漏洞市场。这搞得漏洞研究者实在没办法,才只好把漏洞卖给那些愿意为他们辛勤工作和杰出作品支付合理价格的买家。他还坚称,他做漏洞生意并不是为了钱。“我们不是商人。我们不在乎销售额。我们更在乎公众的安全。这关乎伦理。”
在一次Pwn2Own大赛上,当谷歌提出用6万美元换取贝克拉战队用在Chrome浏览器上的漏洞利用程序及相应漏洞信息时,贝克拉拒绝了。他开玩笑说,如果谷歌出100万,他可能会考虑一下。不过,稍后他私下说,即使出100万,他也不会把它交给谷歌,只会留给自己公司的客户。当被问到VUPEN的客户能不能拿出这么多钱的时候,他笑道:“怎么可能呢…他们可没有这么大的预算。”
同时,他认为自己把公司产品卖给政府,有比赚钱更重要的原因。“我们主要与那些面临国家安全方面问题的政府。我们帮助他们保护其国家和人民生命安全……像其他监控手段一样。政府需要知道是否有人正准备干坏事,需要了解人民正在干什么,以便更好保卫国家安全。所以,可以通过多种途径让漏洞利用程序为国家安全和挽救生命做出贡献。”
但批评人士认为,VUPEN这样的公司没有任何办法掌握漏洞利用程序的去向和使用方式,比如,用户买去用来暗中监听国内的无辜公民。贝克拉承认,他与客户之间的合同并没有明确禁止政府买家用VUPEN的产品监听本国公民。“但是,我们要求用户,漏洞利用程序的使用必须合乎伦理。”
贝克拉说,他们在合同中只能说到这一步了,因为,合法的协议本身,就具有“避免不道德用途的所有可能情况”的内涵。“对我们来说这是很清楚的,”他说,“在使用漏洞利用程序时,必须考虑道德、国际规则和国内法律,更不要说用于大规模(破坏性)行动了。”但是,道德这个东西往往是由旁观者评价的,所以贝克拉承认,他没办法控制客户怎么去把握这个度。“从我的角度来看,唯一的办法就是控制我卖给哪些国家,而不卖给哪些国家。”
美国民权同盟的克里斯托弗•索菲安(Christopher Soghoian)是VUPEN公司最强硬的批评者之一。他把VUPEN这种漏洞销售公司称为“出售死亡的人”和“牛仔”。他们盯着政府的钱袋子,为之提供用于侵犯性监视行为甚至是网络战争的武器弹药。这让每个人都处于风险之中。他也承认,不管有没有VUPEN这样的公司,政府都会自己制作和使用零日漏洞天利用程序。但是,他还是因为它们的交易不受任何限制,而将其称为“定时炸弹”。
“一旦有一个卖给政府的‘武器化零日漏洞利用程序’不小心落入坏人之手、并用于攻击美国的基础设施,那麻烦可就大了,”索菲安在2011年的一场计算机专业会议上对观众说道,“这似乎不是问题,但是……如果有一个拿着低薪又贪腐的警察,把某个武器化漏洞利用程序的副本卖给犯罪团伙或恐怖分子呢?如果‘匿名者’的人黑掉了执法部门的网络,把这东西偷走呢?”
2013年,规范零日漏洞利用程序及其他网络武器销售的行动启动了。由美、英、俄、德等41国共同缔约的武器控制组织——瓦圣纳协议宣称,将首次把可用于黑客攻击和监视行为和“可能对国际和地区安全稳定造成危害”的软硬件产品列为“军民两用产品”。“军民两用”这个词的含义是,那些必须受到限制的、既可用于军事用途又可用于和平用途的材料和技术(如用于制造离心机转子的马钉钢)。虽然该组织的声明不具有法律约束力,但组织成员国原则上应设立针对此类产品的出口许可证制度,并积极参与控制其销售的国际合作。瓦圣那协议缔约国之一德国,则已经制定了一部旨在大力禁止销售和任意使用漏洞利用程序的法律。其中,安全研究人员定期使用漏洞利用程序测试自己系统以提高安全性的行为,也在非法之列。美国参议院武装力量委员会的立法者们也于2013年向总统呼吁,应拿出一项政策,“通过单边出口控制和合作出口控制、执法活动、金融手段、外交接触以及总统认为适当的其他手段,控制网络武器扩散”。但是,单凭这些控制手段能起到多大作用呢?没人知道。因为与传统武器相比,零日漏洞和其他数字武器更难监控,而上述控制政策需要为漏洞利用程序的外销发放出口许可证,并对买家进行筛查。这样不仅会增加合法卖家的费用,而且会让很多卖家转到地下。
更进一步的说,这类控制措施中的手段,充其量只能让犯罪分子、流氓和恐怖分子拿不到漏洞利用程序,而根本无法控制政府在执法行动和国家安全活动中使用它们。零日漏洞灰色市场的兴旺清楚的表明,执法部门和情报机构急切的期待着,能拿到震网用的那种零日漏洞利用程序,并愿意为之豪掷万金。对零日漏洞的疯狂渴求只会不断增长,与此同时,与之相关的国家行为也会越来越多。(待续)
译者:李云凡
