黑客如何窃取你的秘密:互联网战场漏洞成武器(图)

　　Exodus公司的客户基本可以分为两类：攻击型和防守型。防守型的包括安全公司和反病毒软件开发商，他们希望获取可以用于产品的信息，或为客户提供有关系统威胁的最新信息。攻击型的包括侵入测试者，他们利用Exodus公司的“零日漏洞”模拟攻击自己或别人的网络。

　　还有一些客户可不是模拟而已。众所周知，美国国家安全局和联邦调查局喜欢在目标计算机上植入监视软件，以收集情报；联邦调查局甚至正在游说法院，以更容易地获得采取这种行动的授权。如何在别人的计算机上植入软件，而又不被别人发现？其中一个办法就是利用漏洞。

　　根据《华盛顿邮报》对爱德华·斯诺登泄露的机密文件的分析，在美国国家安全局的预算中，有2510万美元用于“额外秘密购买软件漏洞”；还有6.52亿美元用于代号GENIE的秘密计划——在外国计算机网络上植入恶意代码。截至2013年底，GENIE计划预计已经控制全球大约8.5万台计算机。

　　根据斯诺登提供的机密文件，2011年美国对中国、俄罗斯、伊朗和朝鲜等国家发起了231次网络攻击。而这还只是2011年的数字。在2015年美国国防预算中，有50亿美元用于网络空间行动，而我们对这个领域却知之甚少。

　　漏洞黑市令人担忧

　　鉴于软件漏洞的潜在攻击性，你可能认为，美国政府希望像控制战斗机和地雷交易一样控制软件漏洞交易。但事实上，监管者才着手进行控制。去年12月，由美国和其他40个国家签署的《瓦瑟纳尔协定》进行了修订，将“侵入软件”纳入受到限制的军民两用技术名单，但到目前为止，这项修订尚未得到落实。美国政府一名高级官员说，目前，美国政府还不想真正控制这个市场。市场行为更多地依赖自愿和自律。卖给谁？不卖给谁？这让波特努瓦和他的团队有时不得不做出道德选择。

　　尽管如此，滥用漏洞的可能性却切实存在。零日漏洞可不管你侵入的是谁的计算机，或者为什么侵入？今年4月28日，卡巴斯基实验室的研究人员透露，Adobe Flash软件存在一种零日漏洞。如果能诱使目标计算机的使用者访问一个特定的网站，就能利用这个漏洞在目标计算机上植入恶意代码。经研究人员查实，这个特定的网站属于叙利亚司法部。我们有理由推断，叙利亚政府正在利用零日漏洞监视国内的异见人士。

　　如果一个不受任何国家控制的政治组织对公共设施发起攻击，那将是一场真正的梦魇。例如，恐怖主义组织。美国联邦调查局在纽约负责网络和特殊行动的前特工玛丽·加利根说：“如果你能确定其中一种零日漏洞，就能利用它们造成严重破坏。”她以控制工业系统的软件“数据采集与监视控制系统”（SCADA）为例，该系统就是“震网”病毒攻击的目标。她说：“我们能想到的一切工业系统——制造车间、电网、供水或电梯——都是由与互联网连接的数据设备运行的。真正令人担忧的是，这是保护力度最弱的环节。”

　　即使无足轻重的独裁者和网络犯罪分子不能从Exodus公司购买漏洞，他们也能从活跃的漏洞黑市上购买。有人认为这是一个严重的问题，有人则不以为然。兰德公司在今年3月的报告中指出，漏洞黑市是“一些受金钱驱使、具有高度组织性和复杂性的组织的竞技场”。

　　波特努瓦对黑市漏洞的质量嗤之以鼻。他说，黑市上的大部分漏洞都不具备“零日”新鲜度。通常，犯罪分子会选择那些已经推出安全补丁的较老的漏洞下手，他们要做的就是在网络上猎捕那些尚未更新软件的目标。根据美国赛门铁克（Symantec）公司《2014年互联网安全威胁报告》，在该公司扫描的所有网站中，有1/8的网站存在一个未经修复的严重漏洞。

　　还有一种与黑市截然相反的市场，这个市场由最初编写存在漏洞的软件的程序员运行。越来越多的大型软件公司意识到，购买自己产品的漏洞并赶在别人利用这些漏洞之前修复它们（有点类似于对出厂产品进行Beta测试），其实是一种节省成本的办法。2010年，谷歌公司推出奖励发现Chrome浏览器漏洞的计划，并帮助推动了这种趋势。今年，谷歌公司用于这项计划的支出累计达到330万美元。现在，奖励发现漏洞的做法已经成为惯例，就连网络商店平台Etsy也有类似的计划。微软公司给予发现视窗操作系统一个严重漏洞的奖金最高达到10万美元。去年，脸谱公司为687个漏洞支付了150万美元的奖金。

　　数据防护千疮百孔

　　当然，我们梦想生活在一个没有漏洞的世界：我们的软件完美无瑕，安全性能绝佳。然而，现实却与我们的梦想背道而驰。我们让计算机为我们做得越多，对其安全性的需求就越迫切；但计算机需要做得越多，它们的软件就必须越复杂，它们的漏洞也就越多。如此就形成了一种恶性循环。以你的笔记本电脑为例，其操作系统由数千万行代码组成，其安装的应用软件大多数仅完成3/4就匆匆上市。当你的笔记本电脑与数以百万计的其他设备（包括平板电脑和手机）连接，形势就会迅速失控。

　　修复漏洞有点像排干海洋，你永远也不可能完成。尽管编码水平和标准都在提高，但提高的速度还不够快。目前，美国国家漏洞数据库列出的漏洞有63239个。去年，研究人员平均每天发现13个漏洞。今年3月，美国联邦政府通报，去年共有 3000家美国公司遭到黑客攻击。保护我们数据的防护墙实际上千疮百孔。与计算机安全领域的人士接触越久，就越会意识到，根本就不存在保护数据的防护墙。

　　我们如此成功地创造了一个相互连通的“天堂”，在这里，信息可以自由流动，我们又如此迫不及待地想生活在这个“天堂”，以至于我们已经无法按照自己的意愿控制信息的流动。其结果是，一场新的战争。这场战争并不引人瞩目，但持久、广泛。它模糊了军事与民事、个人与公共、政治与商业的界限。其受害者损失的是个人数据和知识产权，等他们发现自己遭受了攻击，往往已为时过晚。美国政府一名高级官员说：“零日漏洞将一直存在。这不仅仅涉及保护措施——网络空间的‘防护墙’、‘护城河’和‘铁丝网’。你必须在一种假设下工作：有时，坏人会侵入。”