前赴后继 又一家安全公司进入零日漏洞交易市场
作者:星期三, 八月 12, 20150

“黑客团队”(hacking Team)数据泄露事件之后的几周里,从事漏洞及漏洞利用代码买卖的小而隐蔽的公司就成了媒体聚光灯投射的焦点。Netragard,这类公司的其中之一,在它与“黑客团队”的交易曝光之后便于本周宣布退出漏洞交易行业。但现在,这一领域迎来了新成员——Zerodium,其背后是几个我们很熟悉的名字。

640.webp (98)

这家公司是由VUPEN创始人查乌奇·贝克拉成立的,他就是一漏洞及利用代码经纪人,常处于这行当合法性和道德大讨论的中心。VUPEN是漏洞交易领域里少有的几家完全靠自己的研究和开发吃饭的公司之一,它不从外界购买漏洞或利用代码。但现在,在这样一个立法者、媒体和政府从未如此关注的时刻,贝克拉却投入了完全从事漏洞及利用代码购买的新冒险中。

Zerodium计划专注于购买高危漏洞,不关心低端部分。它将使用购得的漏洞向客户提供关于漏洞、漏洞利用代码和防御措施的反馈。

公司网站上说:“ZERODIUM向安全研究人员提供丰厚报酬以购得他们发现的影响主流操作系统、软件和设备的零日漏洞及漏洞利用代码。现有漏洞奖励计划大多接受几乎任何类型的漏洞和概念验证代码(PoC),但只支付很少的报酬;ZERODIUM则不然,我们只关心有着功能稳定的利用代码的高危漏洞,而且我们支付的酬金更高。”

Zerodium将寻求最常用平台和应用上的漏洞和利用代码,包括:Windows、OS X和Linux;4款主流浏览器;Flash和阅读器;微软Office套装;安卓、iOS、黑莓和Windows Phone;主流网页和电子邮件服务器。公司对谷歌或推特这种网页服务上只能部分起效的漏洞不感兴趣。

“ZERODIUM不购入理论上可利用或根本不可利用的漏洞。我们只针对有着完全可行的漏洞利用代码的零日漏洞,包含一个或多个阶段倒是无所谓,比如浏览器漏洞利用有或没有沙盒绕过/逃逸步骤均符合要求。”

公司称,会为寻求的漏洞和利用代码支付高额报酬,但不会向生活在受联合国或美国制裁国家的研究者购买。Zerodium没有特别指出它服务的对象是哪种公司或组织,但贝克拉总是声称VUPEN只向非制裁国家的执法机构和政府客户出售其漏洞。

我们只卖给民主国家。我们当然尊重国际规则,而且我们只出售给信得过的国家和民主政体,强权国家不在我们考虑范围之内。

VUPEN运营着一个向客户提供零日和其他类型漏洞的信息及利用代码的订阅服务。公司客户中包括美国国家安全局。

对高端漏洞及利用代码的需求丝毫不见减弱。世界各国的情报机构、司法机关和其他很多政府机构都在加强它们的攻击性安全能力,而这些团队运作的一个关键元素就是零日漏洞的利用。未公开漏洞常常作为司法调查和情报行动的一部分被用于突破目标系统,这也是3周前“黑客团队”数据泄露之后变得更具争议的司法实践和情报操作方式。

相关阅读 图说黑客团队被黑 hacking Team都干了些什么

 

关键词:

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章