他在黑客朋友与政府买家之间牵线搭桥,从每笔交易总额中收取15%的佣金。他2011年才开始做这个生意,但生意实在太火爆了,到2012年底的时候,他对一名记者说,自己大约已经赚到了100万美元佣金……
第七章 零日漏洞交易(接上)
零日漏洞的灰色市场出现也有10来年了,但直到最近才出现迅速发展壮大的趋势。多年来,它的交易模式一直是“自组织”的,交易在安全公司或研究员与政府买家私下联系后,悄悄地发生。如果有人想卖一个漏洞利用程序,但没有来自政府的人联系他,他自己很难找到买家。
2006年,新的情况开始出现。据某安全公司前雇员称,该公司在一次交易中把好几个零日漏洞利用程序卖给了一家美国大型防务公司。这些零日漏洞利用程序均以Safari、火狐和IE浏览器中的安全漏洞为目标,每个成交价约为10万美元。对每一笔交易,买家会先支付安全公司5万美元的首期款,然后每月支付1万美元,直到结清为止。这样做的原因是,防止卖家把漏洞利用程序再次卖给其他买家,或者泄露给软件供应商。
第一个公开将漏洞利用程序卖给政府的人,是安全研究员查理•米勒(Charlie Miller)。他2000年从美国圣母大学(University of Notre Dame)取得数学博士学位后,成为国家安全局旗下的一名黑客。米勒在NSA干了5年。他在简历上说,自己一开始是为NSA破解代码,后来改为攻破计算机——首先进行勘察扫描、摸清外国目标网络的拓扑结构,然后执行“对外国目标的计算机网络刺探”任务。离开NSA之后,米勒慢慢成为信息安全圈内以挖掘零日漏洞和制作漏洞利用程序著称的技术大牛。这些漏洞中的一部分被他卖给了政府。2007年,他首次亮相,就和一名同事一起,成为首个攻破iPhone安全防线的人。他还曾4次荣获惠普TippingPoint公司组织的、以挖掘特定软件中漏洞为主题的、每年一度的Pwn2Own黑客大赛冠军。
查理•米勒
2006年的时候,米勒在一家很小的安全公司就职,利用业务时间做些漏洞挖掘的业务。在此期间,他成功的将一个漏洞利用程序以5万美元的价格卖给了一家美国政府承包商。具体和他联系交易的买家是他之前在NSA时的一个熟人,但是他说,他也不知道这个漏洞会去向何方、用作何事。他的漏洞交易合约中从来都不会对买家的用途进行规定。“我不清楚他用这漏洞干的是好事还是坏事,我只知道他是为美国政府做事的。”米勒说,“他们买下的是知识产权,你知道么?他们想用它做什么就做什么。”
2007年,米勒撰写了一篇关于零日漏洞市场的文章,并在其中承认他曾经把漏洞利用程序卖给过政府。此文一出,舆论哗然。他写这篇文章的目的是想告诉人们,这些事情确实存在。他还想通过亲身经历的描写,帮助其他像自己这样的研究者避开交易中的陷阱。彼时,在信息安全业界,售卖漏洞利用程序还是见不得人的秘密。研究者们偶尔会在彼此之间提到这些事,但没人愿意公开谈论。米勒很快就明白了个中原因。业内的同事们纷纷指责他把买家推向了危险的境地,还有人呼吁吊销他的CISSP(信息系统安全认证专家)执照,因为他的行为违反了职业道德规范。“我把它说出来了……然后被臭骂了一顿。以后我再也不开口了。”米勒说。
对于米勒而言,把漏洞免费透露给软件供应商没有任何意义。因为那时候,即使有供应商设立了漏洞发现奖励项目,奖金也少得可怜。而且,当时的氛围对米勒这种漏洞挖掘者非常不利。供应商不但不会对漏洞发现者表示感谢,反而会威胁对他们刺探公司系统或软件的行为提起诉讼。
几年前,米勒开始不再参与零日漏洞交易。现在,他在推特公司的安全团队工作。但是,他仍然认为,把零日漏洞卖给政府这件事没有错,更没有违背职业道德规范。“你看,当军火公司把枪和坦克卖给政府时,有人发疯吗?”他还说,在美国研究者把零日漏洞卖给政府的同时,其他国家的黑客也在做着同样的事。美国政府为零日漏洞出高价,总比眼睁睁的看着它们旁落他家强多了。
“我不认为研究者把漏洞利用程序卖给政府是多大的事,”他对我说,“但我觉得,人们应该……了解正在发生什么事情。我完全同意政府公开的进行这项活动。我在想,他们干嘛不干脆设立一个公开项目,并宣布‘如果找到零日漏洞,我们会把它买下来’呢?”
就在米勒潜心挖掘零日漏洞的那几年,灰色市场上对于零日漏洞的需求大幅增长。原来一个漏洞利用程序需要几个月才能卖出去,现在只需要几周甚至几天。为了满足需求,一个生机勃勃的漏洞挖掘与交易生态系统逐渐成形。以漏洞挖掘为主业的小公司如雨后春笋般崛起,大型防务承包商和人力资源部门则纷纷招募职业黑客团队,以完成为政府开发漏洞利用程序的任务。愿意为独立卖家承揽漏洞利用程序销售生意的中间商也越来越多。
有一名身处泰国、在业内化名“The Grugq”的南非籍安全研究员,就是这样一个中间商。他在黑客朋友与政府买家之间牵线搭桥,从每笔交易总额中收取15%的佣金。他2011年才开始做这个生意,但生意实在太火爆了,到2012年底的时候,他对一名记者说,自己大约已经赚到了100万美元佣金。媒体还刊登了一张他拍摄于曼谷某酒吧的照片,照片上,他的脚边放着一个装满现金的小背包,显然是某个卖家付给他的佣金。后来他说,这不过是个玩笑。
他对《福布斯》杂志说,多数经他手的漏洞利用程序都卖给了欧美政府的买家,因为他们比别人出价更高。有一个针对苹果iOS系统的漏洞利用程序卖到了25万美元,但后来他判断自己还是价格开低了,因为买家难掩对这笔交易的兴奋。他将自己的成功归结于他在漏洞利用程序销售和对客户提供服务方面的专业精神。“从本质上说,我做的是商业软件销售,跟卖正规软件是一样的,”他对《福布斯》说,“所以,要把事情做得严谨、规范且不失圆滑。”
但是,那段时间真正的漏洞大单并不是米勒这样的独立卖家和Grugq这样的中间人做出来的,而是由安全公司和防务承包商做出来的。他们将漏洞利用程序的研发和面向政府部门的销售,变成了新型军事/工业复合体的一个有机组成部分。
尽管政府部门还在自行制作漏洞利用程序,如NSA雇佣了专事此业务的团队,但由于需求太大,他们还是需要将部分业务外包出去。同时,制作成本也大幅提高:两三年前,利用一个漏洞就足以获得目标计算机的系统级权限。但如今,要绕过安全防护,实现同样的目标,可能需要同时利用多个漏洞。(待续)
译者:李云凡