针对Flash 或Windows的可以卖到10万美元,因为Flash 和Windows的用户数量非常庞大。针对苹果手机iOS系统的漏洞也能卖到10万美元,因为与其他智能手机相比,破解苹果的系统更难一些……
第七章 零日漏洞交易
震网对零日漏洞的利用,引发了对于政府的种种质疑。人们联想到,政府在类似漏洞利用程序的秘密交易与使用中,正扮演着越来越活跃的角色。由于有证据显示,这些活动正在使企业、关键基础设施和个人计算机用户面临更危险的处境,这些质疑应该上升到国会层面加以考虑,或至少进行公开讨论。
虽然零日漏洞及漏洞利用程序的市场已经出现10多年了,但直到最近,它的规模仍然很小,是一个仅由黑客和网络犯罪分子参与的地下黑市。然而,在过去几年间,由于买家和卖家数量暴增,这个市场变得更加商业化,价格也随成交量水涨船高。随着政府方面买家的进入,以前的地下黑市逐渐变成了不受监管的网络武器集市。
零日漏洞商品化倾向的第一个信号出现于2005年12月。当时一个名叫fearwall的卖家把一个零日漏洞挂到了易贝网(eBay)上面叫卖。这件事,让人开始担忧从事合法工作的网络安全研究员和漏洞搜寻者会模仿这种举动,雇佣掮客、把技能和成果卖给出价最高的人,而不是把软件漏洞相关信息免费发给负责修复的软件供应商。在将这个Windows Excel的零日漏洞挂上拍卖台之前,fearwall已经像“负责任的研究员”应该做的那样,把相关信息向微软透露过。但是,软件巨人却对fearwall极为冷淡、毫无谢意。当时,微软还没有“对外部人士帮助微软发现漏洞进行奖励”的机制。既然如此,fearwall决定,把这漏洞公开叫卖,一方面羞辱一下这个软件巨人,另一方面迫使它尽快将漏洞修复。当易贝方面了解情况并把产品下架时,最高叫价仅为60美元。但这笔失败的交易为后面的事情埋下了伏笔。
今天,漏洞及漏洞利用程序市场已经发展出多个层次:从软件供应商和网站所有者为漏洞发现提供奖励的公开市场项目,到网络犯罪分子进行私下交易的黑市,还有为满足全世界执法部门和情报机构无穷需求的灰色秘密市场。
提供奖金的公开市场项目由谷歌、微软及其他为自家软件漏洞买单的公司发起,这些项目的出现,让软件公司更加重视漏洞修复工作。惠普旗下的TippingPoint公司等第三方安全企业也会购买零日漏洞,然后将其用于测试客户的网络,提高抵御攻击的能力。此外,TippingPoint还会私下把手机到的漏洞透露给软件供应商,以便其修复。但补丁的制作通常需要几周到几个月的时间。在此期间,TippingPoint将为客户提供额外的保护,让这些不知情的客户不会受到漏洞的伤害。
在热闹的黑市中,主要客户有网络罪犯和商业间谍,产品不光有零日漏洞和漏洞利用程序,还有将漏洞利用程序变成武器所需的载荷:特洛伊木马,监听工具包,其他用于窃取网络银行数字证书和公司机密情报的恶意工具,以及由若干僵尸计算机组成、具有一定规模的僵尸网络。这里卖出的漏洞,只有当使用它们的攻击行为被发现之后,才会被公众和供应商了解。这一过程可能长达数年时间。研究人员花了几年时间才发现震网和之前Zlob木马中使用的.lnk漏洞,就是明证。
但传统黑市正遇到一些麻烦。它的生意正在被一个新兴的零日漏洞及漏洞利用程序市场抢走。有评论人士预测,这个新兴市场将对网络安全领域带来比传统黑市更为严重的问题。它就是蓬勃发展的数字军火商灰色市场。这里的主角是防务承包商和私营交易商,他们的政府客户财大气粗,把零日漏洞的价码炒得老高。这把一些原来打算在软件供应商那里拿奖金的卖家吸引了过来,也让一些原本会流向供应商、会被修复的漏洞,转到了只想利用这些漏洞的人们手上。
之所以说这个市场是“灰色的”,是因为买卖双方都是“好人”,交易的初衷都是为了保障公众安全和国家安全。但甲之蜜糖,乙之砒霜。谁也不敢保证购买了零日漏洞的政府官员不会把它们在政敌和社会活动人士身上滥用,谁也不敢保证转送到其他政府手上的漏洞不被滥用。即使国家安全部门出于合法的国家安全目的使用零日漏洞,由于漏洞来自灰色市场,软件供应商也没办法打补丁。那么,如果有国外敌对势力或独立黑客也发现了这个漏洞并利用了这些漏洞,就有可能导致包括其他政府部门和本国关键基础设施所有者在内的、不掌握该漏洞的任何一方面临严重风险。
漏洞利用程序的销售虽然合法,但几乎不受任何监管。尽管美国的出口管制政策在控制普通软件出口的同时,也禁止将漏洞利用程序出口至伊朗、朝鲜等国,但漏洞利用程序不像普通软件那样具有可以辨别国籍的版权标志,所以没有任何人会因为把漏洞利用程序卖给外国人而被抓。
不同零日漏洞之间的价格差距很大。系统越难以攻破,用于发现漏洞、研发漏洞利用程序的时间越长,漏洞利用程序的目标软件使用越普遍,相应漏洞就越稀缺、价格越高。为特定客户的定制版漏洞利用程序,要比面向多个客户的通用漏洞利用程序要贵。同时利用多个漏洞帮助攻击方获得目标计算机系统权限的漏洞利用程序要价更高。能够躲避反病毒软件和其他安全防护手段,却没有“引发浏览器或系统崩溃、让计算机机主觉察到不对劲”等副作用的漏洞利用程序,也会更贵一些。
针对Adobe Reader的零日漏洞利用程序要价在5000~3万美元,针对Mac OS的零日漏洞则可以开到5万美元。针对Flash 或Windows的可以卖到10万美元,因为Flash 和Windows的用户数量非常庞大。针对苹果手机iOS系统的漏洞也能卖到10万美元,因为与其他智能手机相比,破解苹果的系统更难一些。用来攻击火狐(Firefox)、IE、Chrome等浏览器的漏洞利用程序,根据绕开软件供应商内置安全策略的能力不同,可以卖到6万~20万美元。
与公开市场奖励项目提供的奖金相比,卖家在灰色市场上往往可以多拿几倍的钱。莫兹拉基金会为旗下的火狐浏览器、雷鸟邮件客户端中的漏洞发现奖金是区区3000美元,而因没有漏洞发现奖励机制的而被批评多年的微软,终于在2013年推出IE11浏览器预览版时附带了一个奖金为区区11000美元的漏洞发现奖励项目。现在,微软总算是大方了一点:如果发现能帮助攻击者绕过产品自带安全防护的漏洞,奖10万美元;如果附有修复漏洞的解决方案,再奖5万美元。谷歌为Chrome浏览器及Gmail、YouTube等网络应用设立了500~2万美元的漏洞发现奖金,但每年会举办一场挖掘Chrome漏洞的竞赛,为某些类型漏洞的发现者提供6万美元奖金。这些软件供应商正努力通过这种方式与黑市竞争,然而,在多数情况下,跟政府部门在灰色市场上的出价相比,明显是小巫见大巫。另外,虽然用户数以百万计,但Adobe和苹果公司坚持不提供漏洞发现奖励项目。(待续)
译者:李云凡
