美国《时代》周刊7月21日(提前出版)一期发表题为《零世界大战——黑客如何窃取你的秘密》的封面文章,作者是列夫·格罗斯曼。文章称,互联网是一个战场,战利品是你的信息,而漏洞则是武器。
美国《时代》周刊7月21日一期(提前出版)封面
漏洞成为网战武器
网络战不是未来,而是已经存在,并且已经司空见惯。在这场战争中,随处都是战场,漏洞是武器,而黑客则是军火商。
一个软件漏洞的价值能以金钱来衡量,这有点让人匪夷所思。漏洞即错误。通常,我们要花钱修复漏洞。而漏洞大有市场则是我们所处的科技时代更令人匪夷所思的结果。在这个科技时代,我们的整个世界——我们的商业活动、医疗记录、社会生活和政府——正在一点一点地脱离现实世界,以数据形式进入由软件构成的计算机内核。很多人出于善意或恶意对这些数据抱有兴趣。其中一些人是间谍,还有一些人是罪犯。漏洞就是他们用以获取数据的武器。
几年前的一个例子能充分说明,是什么让漏洞如此有用。当时,美国和以色列联合研发了一种复杂的计算机病毒,其目的是侵入并破坏位于伊朗纳坦兹市的某个进行铀浓缩的核设施。这种名为“震网”(Stuxnet)的病毒或许是第一个真正的网络武器。一名双重间谍利用U盘将这种病毒植入核设施的计算机系统。该病毒在查看整个计算机系统后向主人传回详细的情报,随后开始大规模侵入控制离心机的计算机,并最终导致大约20%的离心机陷入瘫痪。(由于美国和以色列政府在这个问题上仍然保持沉默,以上均为通过安全专家和媒体提供的事实推演所得。)
是什么让 “震网”病毒如此有效?一个词:漏洞。要成功侵入目标系统,“震网”病毒至少利用了4个不同的系统漏洞,包括一个微软视窗操作系统的漏洞。这些漏洞——更确切地说,利用这些漏洞所需的知识——本身就像伊朗人正在提炼的浓缩铀,但是以软件的形式存在:它们是昂贵且高度精密的武器,构成了极端复杂的武器系统的核心。当“震网”病毒从纳坦兹市的核设施扩散并导致全球大约10万台计算机受到感染后,这些漏洞让“震网”病毒具有更大的破坏力。
美国大肆滥用漏洞
早在“震网”病毒出现之前,为漏洞埋单的想法就已经出现。1995年,美国网景通信公司(Netscape)推出了“漏洞奖金”计划,任何人只要找出该公司浏览器的漏洞都能获得现金奖励。2002年,美国信息防护公司(iDefense)开始购买各种漏洞。2005年,TippingPoint公司也推出了类似的购买计划。鉴于公开市场上的“零日漏洞”交易日趋活跃和混乱,这两项计划作为安全的“零日漏洞”处理厂(类似于放射性废物库),提供了一种安全的选择。(“零日”这个术语是指漏洞的新鲜程度。“零日漏洞”是指漏洞公开的时间为零天,因此还没有人尝试修复它。)如果你发现了一个漏洞,你能以公道的价格卖给iDefense或TippingPoint公司,而不是卖给出价最高但天知道会做出什么事情来的买家。iDefense和TippingPoint 公司会提醒客户警惕这些漏洞,并与软件开发商合作修复它们。这两家公司还有一个共同点:在2005年和2006年连续两年聘用实习生阿龙·波特努瓦。
波特努瓦是一个超级网络攻击专家。2006年,波特努瓦从美国东北大学辍学,开始全职在TippingPoint公司工作。2012年,他从该公司辞职,并创立了自己的Exodus公司。在这个不大的精英领域中,还有总部位于法国南部的Vupen公司、马耳他的Revuln公司、美国的Netragard公司和加拿大的Telus公司。(Netragard公司的信条是:“我们保护你们不受我们这种人的攻击。”)Exodus公司总部位于奥斯汀的一栋办公楼内,与会计师和地产经纪人为邻。即使以新创立的科技公司为标准,这家公司的总部也过于简朴:仅有一个室内装饰——一面挂在墙上的海盗旗。
Exodus公司9名研究人员的日常工作就是攻击目标软件,寻找侵入系统的办法。他们的目标包括浏览器、电邮客户端、即时通讯客户端、Flash、Java、工业控制系统,以及任何可以被攻击者作为突破口的东西。
通常,Exodus公司的研究人员发现一个漏洞后,会起草一份专业报告和技术文件,说明这个漏洞是什么?在哪里?如何发现它?它在什么版本的软件上运行?如何修复?等等。最重要的是,Exodus公司会告诉你如何激活并利用这个漏洞。购买Exodus公司的漏洞需要注册成为会员,年费在20万美元左右。
基于漏洞交易提供的漏洞正在被用于犯罪或不道德目的这个假设,对于该行业的评价可谓毁誉参半。总部位于华盛顿特区的Endgame公司多年以来向美国政府出售软件漏洞,它被《福布斯》杂志称为“黑客领域的黑水公司”。加拿大华人网 http://www.sinoca.com/
SinoCa.COM All Rights Reserved.