震网对零日漏洞的利用,引发了对于政府的种种质疑。人们联想到,政府在类似漏洞利用程序的秘密交易与使用中,正扮演着越来越活跃的角色。由于有证据显示,这些活动正在使企业、关键基础设施和个人计算机用户面临更危险的处境,这些质疑应该上升到国会层面加以考虑,或至少进行公开讨论。
虽然零日漏洞及漏洞利用程序的市场已经出现10多年了,但直到最近,它的规模仍然很小,是一个仅由黑客和网络犯罪分子参与的地下黑市。然而,在过去几年间,由于买家和卖家数量暴增,这个市场变得更加商业化,价格也随成交量水涨船高。随着政府方面买家的进入,以前的地下黑市逐渐变成了不受监管的网络武器集市。
零日漏洞商品化倾向的第一个信号出现于2005年12月。当时一个名叫fearwall的卖家把一个零日漏洞挂到了易贝网(eBay)上面叫卖。这件事,让人开始担忧从事合法工作的网络安全研究员和漏洞搜寻者会模仿这种举动,雇佣掮客、把技能和成果卖给出价最高的人,而不是把软件漏洞相关信息免费发给负责修复的软件供应商。在将这个Windows Excel的零日漏洞挂上拍卖台之前,fearwall已经像“负责任的研究员”应该做的那样,把相关信息向微软透露过。但是,软件巨人却对fearwall极为冷淡、毫无谢意。当时,微软还没有“对外部人士帮助微软发现漏洞进行奖励”的机制。既然如此,fearwall决定,把这漏洞公开叫卖,一方面羞辱一下这个软件巨人,另一方面迫使它尽快将漏洞修复。当易贝方面了解情况并把产品下架时,最高叫价仅为60美元。但这笔失败的交易为后面的事情埋下了伏笔。
今天,漏洞及漏洞利用程序市场已经发展出多个层次:从软件供应商和网站所有者为漏洞发现提供奖励的公开市场项目,到网络犯罪分子进行私下交易的黑市,还有为满足全世界执法部门和情报机构无穷需求的灰色秘密市场。
提供奖金的公开市场项目由谷歌、微软及其他为自家软件漏洞买单的公司发起,这些项目的出现,让软件公司更加重视漏洞修复工作。惠普旗下的TippingPoint公司等第三方安全企业也会购买零日漏洞,然后将其用于测试客户的网络,提高抵御攻击的能力。此外,TippingPoint还会私下把手机到的漏洞透露给软件供应商,以便其修复。但补丁的制作通常需要几周到几个月的时间。在此期间,TippingPoint将为客户提供额外的保护,让这些不知情的客户不会受到漏洞的伤害。
在热闹的黑市中,主要客户有网络罪犯和商业间谍,产品不光有零日漏洞和漏洞利用程序,还有将漏洞利用程序变成武器所需的载荷:特洛伊木马,监听工具包,其他用于窃取网络银行数字证书和公司机密情报的恶意工具,以及由若干僵尸计算机组成、具有一定规模的僵尸网络。这里卖出的漏洞,只有当使用它们的攻击行为被发现之后,才会被公众和供应商了解。这一过程可能长达数年时间。研究人员花了几年时间才发现震网和之前Zlob木马中使用的.lnk漏洞,就是明证。
但传统黑市正遇到一些麻烦。它的生意正在被一个新兴的零日漏洞及漏洞利用程序市场抢走。有评论人士预测,这个新兴市场将对网络安全领域带来比传统黑市更为严重的问题。它就是蓬勃发展的数字军火商灰色市场。这里的主角是防务承包商和私营交易商,他们的政府客户财大气粗,把零日漏洞的价码炒得老高。这把一些原来打算在软件供应商那里拿奖金的卖家吸引了过来,也让一些原本会流向供应商、会被修复的漏洞,转到了只想利用这些漏洞的人们手上。
之所以说这个市场是“灰色的”,是因为买卖双方都是“好人”,交易的初衷都是为了保障公众安全和国家安全。但甲之蜜糖,乙之砒霜。谁也不敢保证购买了零日漏洞的政府官员不会把它们在政敌和社会活动人士身上滥用,谁也不敢保证转送到其他政府手上的漏洞不被滥用。即使国家安全部门出于合法的国家安全目的使用零日漏洞,由于漏洞来自灰色市场,软件供应商也没办法打补丁。那么,如果有国外敌对势力或独立黑客也发现了这个漏洞并利用了这些漏洞,就有可能导致包括其他政府部门和本国关键基础设施所有者在内的、不掌握该漏洞的任何一方面临严重风险。
漏洞利用程序的销售虽然合法,但几乎不受任何监管。尽管美国的出口管制政策在控制普通软件出口的同时,也禁止将漏洞利用程序出口至伊朗、朝鲜等国,但漏洞利用程序不像普通软件那样具有可以辨别国籍的版权标志,所以没有任何人会因为把漏洞利用程序卖给外国人而被抓。
不同零日漏洞之间的价格差距很大。系统越难以攻破,用于发现漏洞、研发漏洞利用程序的时间越长,漏洞利用程序的目标软件使用越普遍,相应漏洞就越稀缺、价格越高。为特定客户的定制版漏洞利用程序,要比面向多个客户的通用漏洞利用程序要贵。同时利用多个漏洞帮助攻击方获得目标计算机系统权限的漏洞利用程序要价更高。能够躲避反病毒软件和其他安全防护手段,却没有“引发浏览器或系统崩溃、让计算机机主觉察到不对劲”等副作用的漏洞利用程序,也会更贵一些。
针对Adobe Reader的零日漏洞利用程序要价在5000~3万美元,针对Mac OS的零日漏洞则可以开到5万美元。针对Flash 或Windows的可以卖到10万美元,因为Flash 和Windows的用户数量非常庞大。针对苹果手机iOS系统的漏洞也能卖到10万美元,因为与其他智能手机相比,破解苹果的系统更难一些。用来攻击火狐(Firefox)、IE、Chrome等浏览器的漏洞利用程序,根据绕开软件供应商内置安全策略的能力不同,可以卖到6万~20万美元。
与公开市场奖励项目提供的奖金相比,卖家在灰色市场上往往可以多拿几倍的钱。莫兹拉基金会为旗下的火狐浏览器、雷鸟邮件客户端中的漏洞发现奖金是区区3000美元,而因没有漏洞发现奖励机制的而被批评多年的微软,终于在2013年推出IE11浏览器预览版时附带了一个奖金为区区11000美元的漏洞发现奖励项目。现在,微软总算是大方了一点:如果发现能帮助攻击者绕过产品自带安全防护的漏洞,奖10万美元;如果附有修复漏洞的解决方案,再奖5万美元。谷歌为Chrome浏览器及Gmail、YouTube等网络应用设立了500~2万美元的漏洞发现奖金,但每年会举办一场挖掘Chrome漏洞的竞赛,为某些类型漏洞的发现者提供6万美元奖金。这些软件供应商正努力通过这种方式与黑市竞争,然而,在多数情况下,跟政府部门在灰色市场上的出价相比,明显是小巫见大巫。另外,虽然用户数以百万计,但Adobe和苹果公司坚持不提供漏洞发现奖励项目。(待续)
零日漏洞的灰色市场出现也有10来年了,但直到最近才出现迅速发展壮大的趋势。多年来,它的交易模式一直是“自组织”的,交易在安全公司或研究员与政府买家私下联系后,悄悄地发生。如果有人想卖一个漏洞利用程序,但没有来自政府的人联系他,他自己很难找到买家。
2006年,新的情况开始出现。据某安全公司前雇员称,该公司在一次交易中把好几个零日漏洞利用程序卖给了一家美国大型防务公司。这些零日漏洞利用程序均以Safari、火狐和IE浏览器中的安全漏洞为目标,每个成交价约为10万美元。对每一笔交易,买家会先支付安全公司5万美元的首期款,然后每月支付1万美元,直到结清为止。这样做的原因是,防止卖家把漏洞利用程序再次卖给其他买家,或者泄露给软件供应商。
第一个公开将漏洞利用程序卖给政府的人,是安全研究员查理•米勒(Charlie Miller)。他2000年从美国圣母大学(University of Notre Dame)取得数学博士学位后,成为国家安全局旗下的一名黑客。米勒在NSA干了5年。他在简历上说,自己一开始是为NSA破解代码,后来改为攻破计算机——首先进行勘察扫描、摸清外国目标网络的拓扑结构,然后执行“对外国目标的计算机网络刺探”任务。离开NSA之后,米勒慢慢成为信息安全圈内以挖掘零日漏洞和制作漏洞利用程序著称的技术大牛。这些漏洞中的一部分被他卖给了政府。2007年,他首次亮相,就和一名同事一起,成为首个攻破iPhone安全防线的人。他还曾4次荣获惠普TippingPoint公司组织的、以挖掘特定软件中漏洞为主题的、每年一度的Pwn2Own黑客大赛冠军。
[![](https://box.kancloud.cn/2015-12-08_5666b181ea892.jpg)](http://www.aqniu.com/wp-content/uploads/2015/10/640.webp-28.jpg)
查理•米勒
2006年的时候,米勒在一家很小的安全公司就职,利用业务时间做些漏洞挖掘的业务。在此期间,他成功的将一个漏洞利用程序以5万美元的价格卖给了一家美国政府承包商。具体和他联系交易的买家是他之前在NSA时的一个熟人,但是他说,他也不知道这个漏洞会去向何方、用作何事。他的漏洞交易合约中从来都不会对买家的用途进行规定。“我不清楚他用这漏洞干的是好事还是坏事,我只知道他是为美国政府做事的。”米勒说,“他们买下的是知识产权,你知道么?他们想用它做什么就做什么。”
2007年,米勒撰写了一篇关于零日漏洞市场的文章,并在其中承认他曾经把漏洞利用程序卖给过政府。此文一出,舆论哗然。他写这篇文章的目的是想告诉人们,这些事情确实存在。他还想通过亲身经历的描写,帮助其他像自己这样的研究者避开交易中的陷阱。彼时,在信息安全业界,售卖漏洞利用程序还是见不得人的秘密。研究者们偶尔会在彼此之间提到这些事,但没人愿意公开谈论。米勒很快就明白了个中原因。业内的同事们纷纷指责他把买家推向了危险的境地,还有人呼吁吊销他的[CISSP](http://www.aqniu.com/infosec-wiki/1006.html "注册信息系统安全认证专家(Certified information System Security Professional,简称 CISSP)是目前世界上最权威、最全面的国际化信息系统安全方面的认证.")(信息系统安全认证专家)执照,因为他的行为违反了职业道德规范。“我把它说出来了……然后被臭骂了一顿。以后我再也不开口了。”米勒说。
对于米勒而言,把漏洞免费透露给软件供应商没有任何意义。因为那时候,即使有供应商设立了漏洞发现奖励项目,奖金也少得可怜。而且,当时的氛围对米勒这种漏洞挖掘者非常不利。供应商不但不会对漏洞发现者表示感谢,反而会威胁对他们刺探公司系统或软件的行为提起诉讼。
几年前,米勒开始不再参与零日漏洞交易。现在,他在推特公司的安全团队工作。但是,他仍然认为,把零日漏洞卖给政府这件事没有错,更没有违背职业道德规范。“你看,当军火公司把枪和坦克卖给政府时,有人发疯吗?”他还说,在美国研究者把零日漏洞卖给政府的同时,其他国家的黑客也在做着同样的事。美国政府为零日漏洞出高价,总比眼睁睁的看着它们旁落他家强多了。
“我不认为研究者把漏洞利用程序卖给政府是多大的事,”他对我说,“但我觉得,人们应该……了解正在发生什么事情。我完全同意政府公开的进行这项活动。我在想,他们干嘛不干脆设立一个公开项目,并宣布‘如果找到零日漏洞,我们会把它买下来’呢?”
就在米勒潜心挖掘零日漏洞的那几年,灰色市场上对于零日漏洞的需求大幅增长。原来一个漏洞利用程序需要几个月才能卖出去,现在只需要几周甚至几天。为了满足需求,一个生机勃勃的漏洞挖掘与交易生态系统逐渐成形。以漏洞挖掘为主业的小公司如雨后春笋般崛起,大型防务承包商和人力资源部门则纷纷招募职业黑客团队,以完成为政府开发漏洞利用程序的任务。愿意为独立卖家承揽漏洞利用程序销售生意的中间商也越来越多。
有一名身处泰国、在业内化名“The Grugq”的南非籍安全研究员,就是这样一个中间商。他在黑客朋友与政府买家之间牵线搭桥,从每笔交易总额中收取15%的佣金。他2011年才开始做这个生意,但生意实在太火爆了,到2012年底的时候,他对一名记者说,自己大约已经赚到了100万美元佣金。媒体还刊登了一张他拍摄于曼谷某酒吧的照片,照片上,他的脚边放着一个装满现金的小背包,显然是某个卖家付给他的佣金。后来他说,这不过是个玩笑。
他对《福布斯》杂志说,多数经他手的漏洞利用程序都卖给了欧美政府的买家,因为他们比别人出价更高。有一个针对苹果iOS系统的漏洞利用程序卖到了25万美元,但后来他判断自己还是价格开低了,因为买家难掩对这笔交易的兴奋。他将自己的成功归结于他在漏洞利用程序销售和对客户提供服务方面的专业精神。“从本质上说,我做的是商业软件销售,跟卖正规软件是一样的,”他对《福布斯》说,“所以,要把事情做得严谨、规范且不失圆滑。”
但是,那段时间真正的漏洞大单并不是米勒这样的独立卖家和Grugq这样的中间人做出来的,而是由安全公司和防务承包商做出来的。他们将漏洞利用程序的研发和面向政府部门的销售,变成了新型军事/工业复合体的一个有机组成部分。
尽管政府部门还在自行制作漏洞利用程序,如NSA雇佣了专事此业务的团队,但由于需求太大,他们还是需要将部分业务外包出去。同时,制作成本也大幅提高:两三年前,利用一个漏洞就足以获得目标计算机的系统级权限。但如今,要绕过安全防护,实现同样的目标,可能需要同时利用多个漏洞。(待续)
交易中的多数公司都不愿公开他们这方面的工作,不仅因为这是秘密的,还因为他们不想因此被反漏洞交易社会活动人士当做批判的目标,更不想引来想偷走这些漏洞利用程序的敌手。由于零日漏洞既可以用于防御,也可以用于进攻,很多公司会给攻击性活动戴上一个防御工作的帽子。包括Endgame Systems在内的多家美国公司都或多或少的涉足其中。欧洲方面,有专门制作针对工业控制系统漏洞利用程序的马耳他小公司ReVuln,和以执法部门和情报机构为目标客户的法国公司VUPEN。此外,还有向执法部门和情报机构出售“与零日漏洞利用程序配合使用的监视工具”的意大利黑客团队和英国的伽马集团。
由于非常重视保密管理,多年来,乔治亚州Endgame Systems公司在零日漏洞挖掘业界一直是默默无闻。直到2011年,来自“匿名者”(Anonymous)的黑客攻破了HBGary Federal公司的服务器,泄露了这家公司包括与Endgame高管来往邮件的数千封电邮。邮件中讨论了Endgame公司制作漏洞利用程序的工作,以及根据政府部门“尽量保持低调”的建议所做的努力。这些邮件中,还包括一个面向客户对公司业务进行展望的PPT演示文稿,其中描述了公司加强“美国情报机构和军事组织遂行信息作战任务能力”的使命。Endgame公司的董事会主席还同时担任着CIA旗下风险投资公司——In-Q-Tel公司的首席执行官。
在公开市场上,Endgame公司的主要业务是为客户提供安全服务,使其免受病毒和僵尸网络攻击。但公司却私下从事着出售写有“可直接为计算机网络攻击行动中提供行动情报”字样的漏洞和漏洞利用程序包的勾当。Endgame公司成立于2008年,由于其商业前景非常看好,两年后就拿到了3000万美元的风险投资资金,之后又拿到了2300万美元的新一轮风投资金。2011年,Endgame公司CEO克里斯托弗•罗兰德(Christopher Rouland)向亚特兰大一份地方报纸宣称,公司的收益将“每年增长一倍以上。”
泄漏出来的邮件中描述了Endgame公司名为毛依(Maui)、 卡曼(Cayman)和科西嘉(Corsica)的三个产品包。名为“毛依”的产品包,合同金额为每年250万美元,将每年为买家提供25个零日漏洞利用程序。名为“卡曼”的产品包,合同金额为150万美元,内容是关于全球数百万台易受攻击计算机的情报,这些计算机已被类似Conficker的僵尸网络蠕虫和其他恶意程序所感染。邮件中的预览图显示了俄罗斯境内易受攻击计算机的位置,以及在核心政府部门和关键基础设施中易受攻击计算机信息清单,清单中包括每台计算机的IP地址和使用的操作系统。清单中有位于俄联邦中央银行的249台计算机,还有位于财政部、国家储蓄银行、新沃罗涅日核电站和阿秦斯克炼油厂的少量计算机。其中有一部分数据是Endgame通过设置可与被Conficker病毒感染计算机进行通信的“槽洞”来获得的。每当[恶意代码](http://www.aqniu.com/infosec-wiki/827.html "恶意代码是一种程序,它通过把代码在不被察觉的情况下镶嵌到另一段程序中,从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。")与“槽洞”通信时,Endgame就可以将[恶意代码](http://www.aqniu.com/infosec-wiki/827.html "恶意代码是一种程序,它通过把代码在不被察觉的情况下镶嵌到另一段程序中,从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。")所在计算机的情报收集起来。关于委内瑞拉的另外一张地图上,显示着该国网络服务器所在位置,以及每台服务器上正在运行哪些软件。如果网站服务器被成功渗透、而且配置不当,那么攻击者就可以通过后门来进入网站的系统和服务器。被入侵的网站列表中包括安第斯开发银行——为拉美及加勒比海地区和欧洲的18个成员国提供金融服务的发展银行、委内瑞拉中央预算办公室、总统办、国防部和外交部网站。在邮件泄露事件后的2012年,Endgame公司对媒体宣称,正在砍掉漏洞利用程序开发业务,并于2014年初专门为此事发布了正式声明。
在Endgame公司上下协力掩盖其漏洞业务的同时,位于法国蒙彼利埃的VUPEN安全公司却在零日漏洞交易领域大出风头。VUPEN标榜自己是一家制作和销售漏洞利用程序的专业安全公司,可以满足情报机构和执法部门等客户在“攻击性网络安全行动及合法监听任务”中的需求。2008年成立时,它的业务是保护政府客户免遭零日漏洞攻击;两年后,公司开始制作用于攻击行动的漏洞利用程序。2011年,公司营业额达到120万美元,其中近90%来自国外市场。2013年,公司宣布正在美国设立分部。
VUPEN创始人、CEO查欧基·贝克拉(Chaouki Bekrar)行事大胆、无所顾忌,这让他经常被那些反对向政府销售漏洞的人在推特上大加鞭挞。他还经常挑战那些口风颇紧的竞争对手,让他们把自己做的事情公诸于众。“我们是世界上唯一一家公开宣称吃这碗饭的公司,”他说,“美国和欧洲有很多公司都在做这些事,但他们不敢承认。我们之所以选择公开,是因为我们胸怀坦荡。”
Endgame和其他所有公司都隐忍的蛰伏着,贝克拉和他的同事们却高调的穿梭于各种安全会议,参与类似Pwn2Own的竞赛,不断提升公司知名度。2012年的Pwn2Own大赛在 CanSecWest大会(加拿大的一个计算机安全年会)上进行,由贝克拉和他4名同事组成的战队穿着后背印有公司标志的黑色连帽衫,夺得了大赛的冠军。
[![](https://box.kancloud.cn/2015-12-08_5666b1828f52b.jpg)](http://www.aqniu.com/wp-content/uploads/2015/10/640.webp-29.jpg)
VUPEN公司贝克拉团队荣获2012年Pwn2Own大赛冠军
但是,VUPEN对外界的展示,仅限于此。贝克拉不会对别人讨论他的背景,也不会回答任何个人问题,只是让别人把目光放在他的公司上。“我只是个演员,咱们还是聊聊电影吧。”他说。但当别人真问到有关公司的问题时,他一样会闭紧嘴巴。他不会说出公司有多少雇员、叫什么名字,而只会说“我们是个小公司”。
VUPEN公司的研究员专注于零日漏洞的挖掘和漏洞利用程序的制作。不仅制作已知漏洞的利用程序,也制作零日漏洞利用程序。贝克拉不会告诉别人他开始这项业务以来一共卖出过多少漏洞利用程序,但他明确表示,每年可以发现数百个零日漏洞。“我们有各种各样的零日漏洞,”他说,“针对各种操作系统的、各种浏览器的、还有针对你想要的每种应用软件的。”
不管贝克拉的话中有几分是确有其事,几分是“战略营销”,这种策略确实管用。2012年,在他的战队赢得Pwn2Own大赛的几个月后,美国国家安全局NSA认购了VUPEN公司“二进制分析与利用”(Binary Analysis and Exploits ,BAE)一年的服务。迫于公众压力而公开的合同非常“简约”,连合同金额都没有。不过,将VUPEN选为“2011年年度创业企业”的一家商务咨询公司透露,合同金额是一年10万美元。据VUPEN网站上的说明,BAE服务的内容是“提供关于最关键、最有价值漏洞的高级技术报告,帮助客户理解漏洞存在的根本原因、漏洞利用技术、危害缓解手段,以及基于漏洞利用程序或直接利用漏洞的攻击探测方法。”
维基解密拿到了VUPEN公司的一本内部宣传册,上面写着:VUPEN还提出了一个“威胁防护项目”,通过对本公司研究员发现的独家漏洞进行深入研究,帮助客户“降低遭受零日漏洞攻击的风险”。根据这些项目的描述,他们所做的,无非是帮助客户加强防护、免受零日漏洞攻击——零日漏洞利用程序可以用来对系统进行攻击测试——但是,这些信息已经足以让客户用它们对那些未打补丁的系统进行攻击。公司的“威胁防护包”中,甚至为客户提供了可以直接用于攻击的零日漏洞利用程序。此外,VUPEN公司还有一项专门为执法部门和情报机构量身定制的服务,功能是对目标计算机发动秘密攻击、并实现远程登入。“执法部门需要最先进的信息入侵技术,和最可靠的攻击工具,以便远程、秘密的进入目标计算机系统,”贝克拉在宣传册中指出,“使用以前没有人知道的软件漏洞及相应的漏洞利用程序,可以绕过反病毒产品和操作系统的安全防护……帮助调查者成功完成任务。”(待续)
入侵程序仅限于北约、太平洋安保条约和东盟成员国及其盟国——贝克拉提到的“数量有限的几个国家”——的警察和情报部门使用。
贝克拉说,“它们非常敏感,所以我们已严格控制客户数量。”但是,仅北约就有28个成员国,包括罗马尼亚和土耳其。而这些国家的盟国有40个左右,包括以色列、白俄罗斯、巴基斯坦和俄罗斯。贝克拉又说,VUPEN当然不会因为仅仅因为买家在这个大名单上,就把产品卖给他。
公司所售漏洞利用程序的攻击目标,涵盖了微软、苹果、Adobe等多家大企业的几乎所有顶级商业软件,还包括Oracle等公司制作的企业级数据库和服务器操作系统。最受欢迎的是针对浏览器的漏洞利用程序,贝克拉说针对各个品牌浏览器的漏洞利用程序他们都有。VUPEN只出售漏洞利用程序和用来帮助客户渗入网络的“中间载荷”。客户要想得到一个完整的“数字武器”,还需要自行制作与漏洞利用程序配合使用的末端载荷。
震网病毒被发现后,有客户开始咨询工业控制系统的漏洞利用程序,公司开始把注意力转向这个方面。贝克拉说,公司研究团队对震网进行了分析,它的漏洞利用程序做的很棒。“这些漏洞也找的很合适,利用漏洞的方式更是精彩极了。想利用好这些漏洞可不是件容易的事。”但是,要想真正研发针对工业控制系统的攻击手段,必须要有用于做实验的特殊硬件和相关设施。他表示,“我们可没有这些东西,我们也不打算做这方面的业务。”
漏洞利用程序订阅客户可以访问公司的门户网站,网站上有零日漏洞利用程序的商品列表,还有按特定操作系统和应用软件排列的漏洞利用程序清单。漏洞利用程序以“积分”标价,价格分为1分、2分、3分、4分共4档。订阅者可以购买一定数量的积分,再用积分拍下想要的商品。每个商品都有一段说明目标软件和证明自身可靠性的描述文字。每当有新漏洞被发现或者新的漏洞利用程序上线,客户还可以收到实时提醒。同时,VUPEN还监控着来自微软等软件供应商发布的声明,一旦出现公司漏洞利用程序产品所涉漏洞被发现、或发布了相应补丁的情况,立即提醒客户相关漏洞及利用程序作废。这个提醒,有时会通过推特发布。
贝克拉说,他们公司不会只把漏洞利用程序单独买给一个买家,而是同时向多个买家出售漏洞利用程序的副本。漏洞利用程序用的次数越多,就越容易被人发现,这使得像NSA这样的对保密性要求很高的大买家不会对它们产生浓厚兴趣。贝克拉坚称,VUPEN只跟少数几个国家的政府部门合作,还说客户不会将公司产品用于“大规模攻击”,因此,这些漏洞利用程序“几乎没有机会”被大面积部署。
和米勒一样,贝克拉对那些批评漏洞交易的人没有一点好气。他还说,过去软件供应商先是拒绝向发现漏洞的研究者支付报酬,后来勉强同意拿钱、却又不肯出高价,自己却厚颜无耻的占据了以政府为客户的漏洞市场。这搞得漏洞研究者实在没办法,才只好把漏洞卖给那些愿意为他们辛勤工作和杰出作品支付合理价格的买家。他还坚称,他做漏洞生意并不是为了钱。“我们不是商人。我们不在乎销售额。我们更在乎公众的安全。这关乎伦理。”
在一次Pwn2Own大赛上,当谷歌提出用6万美元换取贝克拉战队用在Chrome浏览器上的漏洞利用程序及相应漏洞信息时,贝克拉拒绝了。他开玩笑说,如果谷歌出100万,他可能会考虑一下。不过,稍后他私下说,即使出100万,他也不会把它交给谷歌,只会留给自己公司的客户。当被问到VUPEN的客户能不能拿出这么多钱的时候,他笑道:“怎么可能呢…他们可没有这么大的预算。”
同时,他认为自己把公司产品卖给政府,有比赚钱更重要的原因。“我们主要与那些面临国家安全方面问题的政府。我们帮助他们保护其国家和人民生命安全……像其他监控手段一样。政府需要知道是否有人正准备干坏事,需要了解人民正在干什么,以便更好保卫国家安全。所以,可以通过多种途径让漏洞利用程序为国家安全和挽救生命做出贡献。”
但批评人士认为,VUPEN这样的公司没有任何办法掌握漏洞利用程序的去向和使用方式,比如,用户买去用来暗中监听国内的无辜公民。贝克拉承认,他与客户之间的合同并没有明确禁止政府买家用VUPEN的产品监听本国公民。“但是,我们要求用户,漏洞利用程序的使用必须合乎伦理。”
贝克拉说,他们在合同中只能说到这一步了,因为,合法的协议本身,就具有“避免不道德用途的所有可能情况”的内涵。“对我们来说这是很清楚的,”他说,“在使用漏洞利用程序时,必须考虑道德、国际规则和国内法律,更不要说用于大规模(破坏性)行动了。”但是,道德这个东西往往是由旁观者评价的,所以贝克拉承认,他没办法控制客户怎么去把握这个度。“从我的角度来看,唯一的办法就是控制我卖给哪些国家,而不卖给哪些国家。”
美国民权同盟的克里斯托弗•索菲安(Christopher Soghoian)是VUPEN公司最强硬的批评者之一。他把VUPEN这种漏洞销售公司称为“出售死亡的人”和“牛仔”。他们盯着政府的钱袋子,为之提供用于侵犯性监视行为甚至是网络战争的武器弹药。这让每个人都处于风险之中。他也承认,不管有没有VUPEN这样的公司,政府都会自己制作和使用零日漏洞天利用程序。但是,他还是因为它们的交易不受任何限制,而将其称为“定时炸弹”。
“一旦有一个卖给政府的‘武器化零日漏洞利用程序’不小心落入坏人之手、并用于攻击美国的基础设施,那麻烦可就大了,”索菲安在2011年的一场计算机专业会议上对观众说道,“这似乎不是问题,但是……如果有一个拿着低薪又贪腐的警察,把某个武器化漏洞利用程序的副本卖给犯罪团伙或恐怖分子呢?如果‘匿名者’的人黑掉了执法部门的网络,把这东西偷走呢?”
2013年,规范零日漏洞利用程序及其他网络武器销售的行动启动了。由美、英、俄、德等41国共同缔约的武器控制组织——瓦圣纳协议宣称,将首次把可用于黑客攻击和监视行为和“可能对国际和地区安全稳定造成危害”的软硬件产品列为“军民两用产品”。“军民两用”这个词的含义是,那些必须受到限制的、既可用于军事用途又可用于和平用途的材料和技术(如用于制造离心机转子的马钉钢)。虽然该组织的声明不具有法律约束力,但组织成员国原则上应设立针对此类产品的出口许可证制度,并积极参与控制其销售的国际合作。瓦圣那协议缔约国之一德国,则已经制定了一部旨在大力禁止销售和任意使用漏洞利用程序的法律。其中,安全研究人员定期使用漏洞利用程序测试自己系统以提高安全性的行为,也在非法之列。美国参议院武装力量委员会的立法者们也于2013年向总统呼吁,应拿出一项政策,“通过单边出口控制和合作出口控制、执法活动、金融手段、外交接触以及总统认为适当的其他手段,控制网络武器扩散”。但是,单凭这些控制手段能起到多大作用呢?没人知道。因为与传统武器相比,零日漏洞和其他数字武器更难监控,而上述控制政策需要为漏洞利用程序的外销发放出口许可证,并对买家进行筛查。这样不仅会增加合法卖家的费用,而且会让很多卖家转到地下。
更进一步的说,这类控制措施中的手段,充其量只能让犯罪分子、流氓和恐怖分子拿不到漏洞利用程序,而根本无法控制政府在执法行动和国家安全活动中使用它们。零日漏洞灰色市场的兴旺清楚的表明,执法部门和情报机构急切的期待着,能拿到震网用的那种零日漏洞利用程序,并愿意为之豪掷万金。对零日漏洞的疯狂渴求只会不断增长,与此同时,与之相关的国家行为也会越来越多。(待续)