据雅虎新闻网5月11日引言路透社的报道:即使美国政府在普遍的互联网间谍上遭遇强劲对手,它已成为这一迅速发展的灰色市场的最大买家,黑客和安全公司纷纷出售入侵计算机的工具。
美国的战略引起了技术行业和情报界的担心,华盛顿事实上是在鼓励黑客行动,未能向软件公司和用户披露购买的黑客工具所利用的漏洞。
这是因为美国情报和军事机构没有在购买主要用于抵御攻击的工具。相反,他们在使用渗透海外计算机网络的工具,对能干扰数据或危害系统的间谍计划和网络武器不予理睬。
核心问题是:间谍攻击和网络武器依靠现有软件程序中的漏洞,如果缺陷通过公共警告得以曝光,那么这些黑客技巧就不那么管用。所以,政府在进攻性技巧上花费约多,其对确保广泛使用的软件中的安全漏洞不被修补的兴趣越大。而且,投向进攻的资金会将从事防御的一些天才研究人员吸引过来,而纳税人的钱在停止流向技艺高超的黑客的同时供应给了犯罪集团。一位曾经在国家安全局工作过的推特公司的安全研究人员查理米勒说:“唯一付出代价的人是从事进攻性工作的一方。”
国家安全局发言人同意说黑客工具的扩散是一个重大关切,但不愿对该局购买这些工具中所起的作用进行评论,称话题“敏感”。
美国的进攻性网络战战略——包括总的纲要和总的开支水平——是保密信息。官员从为公开承认从事进攻性网络战,尽管有一次被广泛报道 ——使用“震网”病毒破坏伊朗核研究计划——受到华盛顿的称赞。
之前官员向路透社确认美国政府驱动了“震网”的开发,五角大楼正在通过新组建的网络司令部扩展其进攻性能力。
“震网”病毒尽管不是一般的厉害,但不是一个孤立案例。公共和私营部门的计算机研究人员说美国政府主要通过防务承包商来代理,已经成为建立模糊而庞大的被成为黑客程序的商业市场的主要推手,黑客程序挖掘隐藏的计算机漏洞。
从最常见的用途来看,黑客程序很重要,但在大型程序中是可相互交换的组件。这些程序可盗窃金融账户的秘密,将iPhone转换为监听设备,或向“震网”病毒破坏核设施。
想象一下一个布满暗门的大型建筑,每道门都有不同的钥匙。只要你发现正确的钥匙,每道门你都可以进入。
对钥匙的争夺日趋激烈。根据资深的研究人员和政府前高级官员称,国防部和美国情报机构,尤其是国家安全局投入巨资获取有关商业计算机系统的漏洞信息并加以利用的黑鞋程序,他们将安全研究世界完全颠倒了。
许多天才的黑客曾经向微软之类的安全公司提出过其产品的安全缺陷,他们现在开始向最高价的竞标者出售信息和黑客程序,有时通过中间人来交易,他们与最后的买家从未谋面。工业主管们私下说,国防承包商和机构一年至少花费上千万美元购买黑客程序,它们是巨大的网络武器行业的一个重要组成部分。
前白宫网络安全顾问霍华德斯密特和理查德克拉克在接受采访时说,政府在这方面一直将重点过多地放在进攻性能力上,置美国公司和消费者于风险之中。
克拉克说:“如果美国政府知道了可以利用的漏洞,正常情况下,其首要任务是告诉美国用户。应该有某种机制,决定他们如何在进攻和防御中利用这些信息,但现在还没有这种机制。”
前国家安全局局长米克尔海登承认存在战略权衡,称:“传统上在保护进攻性能力和加强防御之间一直要谨慎计算。鉴于我们所遭受的损失,在重要的政策层面我们应该重新解决这一问题。”
这一问题是敏感的,它正值美国最新披露了遭受黑客攻击的幅度和规模,而且美国情报官员将攻击矛头指向中国之时。中国官员否认这些指责,称他们也是黑客攻击的受害者。
今年,美国官员告诉国会说脆弱的互联网安全已经超越恐怖主义成为美国最大的单一威胁,良好的风险信息共享十分重要。但进行之中的美国两大倡议计划——网络安全立法正在国会讨论,奥巴马总统2月份的行政命令——都没有要求国防和情报机构扩散他们所知道的漏洞以帮助私营部门进行自我防御。
多数公司,包括微软、苹果和Adobe系统公司原则上不会向报告缺陷的研究人员支付报酬,称他们不希望鼓励黑客。那些支付“奖赏”的公司,包括谷歌和脸谱公司,称他们身处困境,希望竞争到国防工业的经费开支。
一些国家安全官员和安全主管称美国的战略逻辑上是完美无瑕的。美国政府最好能够购买黑客程序以免落入独裁者或有组织犯罪分子的手中。
当美国某机构知道了某个漏洞,但并未向公众提出警告,就会出现意料之外的后果。如果恶意力量购买了有关漏洞的信息或独立发现了这一漏洞,在公司研发出补丁之前,他们就可以用来造成损害或进行间谍或欺骗活动。而且,当美国推出一种含有黑客程序的软件程序时,在发出公告警告或补丁之前可以被发现并迅速复制,用来攻击美国的利益。
即使发布补丁之后也会发生一些损失。
微软及其客户就曾发生这种事情。就是一款很小的被称为Duqu的恶意软件。专家说它是设计用来窃取伊朗的工业设施的设计,它被用作黑客程序,引发计算机安装伪装成字体的恶意软件。
2011年发现之后分析这一程序的人认为它是美国机构制造的。尽管 Duqu在某些方面很像“震网”病毒。但他们不能确定它是如何组装的,或这一间谍工具是否完成了使命。
可以肯定的是黑客复制了Duqu原先闻所未闻的入侵计算机的方法,转变为“利用工具包”,一个被称为黑洞,另一个被称为Cool。这两个工具被卖给全世界的黑客。然后微软发布漏洞补丁。
尽管如此,据芬兰一家名为F-Secure的安全公司称,黑客去年用它攻击了美国千分之十六的计算机,其他一些国家比例更高。在2012年下半年,这一漏洞成为已知上万漏洞中被使用的频率名列第二。当黑客程序工作时,黑客就安装许多恶意软件,包括用于盗取金融登陆信息的臭名昭著的Zeus病毒软件,该软件从银行盗取了几千万美元。微软公司不愿说该公司是否就Duqu和其他程序与美国官员进行对质,但一位主管说该公司反对“我们的产品被用于恶意目的。”
美国前国家安全局局长海登和其他高级官员夸口说美国网络空间的进攻性能力是全世界最好的。但在2010年之前,当一个小型实验室发现名为“震网”的蠕虫病毒时,外界对此几乎没有一无所知。
几个国家的安全专家小组花费了几个月对该病毒进行了解析。他们发现它是经过精心设计的,从便携的闪存盘发送的,通过联网的基于Windows操作系统的个人计算机进行扩散,入侵到运行德国西门子公司制造的工业控制软件的机器。
“震网”病毒在许多方面是独特的。其中之一是利用了Windows系统四个原先不知道的漏洞。在工业界,这种漏洞的利用被称为“零时差攻击”。漏洞被报道后,安装安全补丁花了几个月。
即使明白软件得到更新,零时差攻击也将起作用。专家称及时是某个程序的一次的零时差利用都说明肇事者是认真的。一次广为人知的针对谷歌的黑客吸行动就是利用的一次零时差攻击。美国官员和私营部门专家将此事归咎于中国政府的黑客。
许多零时差恶意程序似乎是情报机构所为。但私营公司也在纷纷雇佣程序员识别漏洞,然后编写恶意代码。一些买家说,一个零时差(恶意程序)的启动率是5万美元。这个全球市场是秘密进行的,一些公司常常充当中间人。买方是美国政府的机构和将恶意程序转变为网络武器的防务承包商。由于没有规章,不好说还有谁可能在购买零时差攻击恶意程序,但已知的客户包括有组织犯罪集团和对公民进行间谍活动和镇压的政府。
及时“震网”病毒利用的四个恶意程序之一也被人购买。瑞典防务研究局专家戴维林达尔说在“震网”发现之前,俄罗斯一款名为Zlob的犯罪软件也曾使用了同样的把戏。同一个人可能将这一恶意程序卖给了美国和俄罗斯犯罪分子。但他说也不能排除这是同时的发明。
美国官员知道利用漏洞的对手国家和犯罪组织但却将之保密是一个很大的关切。美国国家安全局不愿说它是否发生或如何发生的,但研究人员说同时的安全发现经常发生。
中国被认为依靠自有的程序员从事了很多的恶意攻击。
阿根廷一位名为Cesar Cerrudo研究人员是首批公开出售零时差攻击程序的人。他说他曾对来自中国的一些请求不予理睬,也后悔向欧洲的一家研究机构出售恶意程序,但他不愿说出它的名字。后来,他从一个国家政府收到了一大笔资金。他现在在西雅图的一家咨询公司工作,为公司客户提供安全咨询。
位于巴黎的一家名为Vupen的安全公司向世界许多情报、执法和军事当局出售基于漏洞利用的工具。但不像伊朗和北朝鲜这样的国家出售,称它自愿遵从欧洲和美国的限制武器出口的规定。
直到2010年,Vupen公司经常免费通知软件销售商它所发现的漏洞。但现在这一状态已经改变。当软件制作者不同意补偿机制时,Vupen公司就会选择卖给政府。
这一市场的新加入者是位于马耳他的ReVuln公司,专门制造用于工业控制系统的漏洞利用程序。这是政府的一大隐患,因为这种系统是恐怖分子和敌对国家的主要目标,会造成巨大的人员伤亡。
进攻性网络战的许多工作都是美国防务承包商来做的,现在有许多风险投资背景的新公司加入,他们为许多基于漏洞利用的网络武器寻找政府买家。防务承包商既购买也生产。其中不乏雷神、诺格、哈里斯这样的大公司。他们并购了一些专门从事漏洞发现和恶意程序编写的小公司。
路透社检查了一架大型承包商的产品目录。其中有一种产品能将任何一款iPhone转变为房间范围监听设备。另一种产品是在打印机或其他设备上安装间谍软件的系统,并通过无线电波将恶意软件转移到设备附件的计算机中,即使机器没有与任何事物连接。
还有一些访问计算机或电话的工具,收集不同种类的数据的工具以及将信息偷偷传出去的工具。多数这些恶意程序在10万美元以上。其中绝大部分依靠零时差漏洞利用。
情报机构有很好的理由将许多间谍软件的开发工作交给外部人士。因为这就像弹药的开发。只有当销售商证明管用时他们才会购买。 知远/严美
