美国《时代》周刊7月21日(提前出版)一期发表题为《零世界大战——黑客如何窃取你的秘密》的封面文章,作者是列夫·格罗斯曼。文章称,互联网是一个战场,战利品是你的信息,而漏洞则是武器。
漏洞成为网战武器
网络战不是未来,而是已经存在,并且已经司空见惯。在这场战争中,随处都是战场,漏洞是武器,而黑客则是军火商。
一个软件漏洞的价值能以金钱来衡量,这有点让人匪夷所思。漏洞即错误。通常,我们要花钱修复漏洞。而漏洞大有市场则是我们所处的科技时代更令人匪夷所思的结果。在这个科技时代,我们的整个世界——我们的商业活动、医疗记录、社会生活和政府——正在一点一点地脱离现实世界,以数据形式进入由软件构成的计算机内核。很多人出于善意或恶意对这些数据抱有兴趣。其中一些人是间谍,还有一些人是罪犯。漏洞就是他们用以获取数据的武器。
几年前的一个例子能充分说明,是什么让漏洞如此有用。当时,美国和以色列联合研发了一种复杂的计算机病毒,其目的是侵入并破坏位于伊朗纳坦兹市的某个进行铀浓缩的核设施。这种名为“震网”(Stuxnet)的病毒或许是第一个真正的网络武器。一名双重间谍利用U盘将这种病毒植入核设施的计算机系统。该病毒在查看整个计算机系统后向主人传回详细的情报,随后开始大规模侵入控制离心机的计算机,并最终导致大约20%的离心机陷入瘫痪。(由于美国和以色列政府在这个问题上仍然保持沉默,以上均为通过安全专家和媒体提供的事实推演所得。)
是什么让“震网”病毒如此有效?一个词:漏洞。要成功侵入目标系统,“震网”病毒至少利用了4个不同的系统漏洞,包括一个微软视窗操作系统的漏洞。这些漏洞——更确切地说,利用这些漏洞所需的知识——本身就像伊朗人正在提炼的浓缩铀,但是以软件的形式存在:它们是昂贵且高度精密的武器,构成了极端复杂的武器系统的核心。当“震网”病毒从纳坦兹市的核设施扩散并导致全球大约10万台计算机受到感染后,这些漏洞让“震网”病毒具有更大的破坏
美国大肆滥用漏洞
早在“震网”病毒出现之前,为漏洞埋单的想法就已经出现。1995年,美国网景通信公司(Netscape)推出了“漏洞奖金”计划,任何人只要找出该公司浏览器的漏洞都能获得现金奖励。2002年,美国信息防护公司(iDefense)开始购买各种漏洞。2005年,TippingPoint公司也推出了类似的购买计划。鉴于公开市场上的“零日漏洞”交易日趋活跃和混乱,这两项计划作为安全的“零日漏洞”处理厂(类似于放射性废物库),提供了一种安全的选择。(“零日”这个术语是指漏洞的新鲜程度。“零日漏洞”是指漏洞公开的时间为零天,因此还没有人尝试修复它。)如果你发现了一个漏洞,你能以公道的价格卖给iDefense或TippingPoint公司,而不是卖给出价最高但天知道会做出什么事情来的买家。iDefense和TippingPoint公司会提醒客户警惕这些漏洞,并与软件开发商合作修复它们。这两家公司还有一个共同点:在2005年和2006年连续两年聘用实习生阿龙·波特努瓦。
波特努瓦是一个超级网络攻击专家。2006年,波特努瓦从美国东北大学辍学,开始全职在TippingPoint公司工作。2012年,他从该公司辞职,并创立了自己的Exodus公司。在这个不大的精英领域中,还有总部位于法国南部的Vupen公司、马耳他的Revuln公司、美国的Netragard公司和加拿大的Telus公司。(Netragard公司的信条是:“我们保护你们不受我们这种人的攻击。”)Exodus公司总部位于奥斯汀的一栋办公楼内,与会计师和地产经纪人为邻。即使以新创立的科技公司为标准,这家公司的总部也过于简朴:仅有一个室内装饰——一面挂在墙上的海盗旗。
Exodus公司9名研究人员的日常工作就是攻击目标软件,寻找侵入系统的办法。他们的目标包括浏览器、电邮客户端、即时通讯客户端、Flash、Java、工业控制系统,以及任何可以被攻击者作为突破口的东西。
通常,Exodus公司的研究人员发现一个漏洞后,会起草一份专业报告和技术文件,说明这个漏洞是什么?在哪里?如何发现它?它在什么版本的软件上运行?如何修复?等等。最重要的是,Exodus公司会告诉你如何激活并利用这个漏洞。购买Exodus公司的漏洞需要注册成为会员,年费在20万美元左右。
基于漏洞交易提供的漏洞正在被用于犯罪或不道德目的这个假设,对于该行业的评价可谓毁誉参半。总部位于华盛顿特区的Endgame公司多年以来向美国政府出售软件漏洞,它被《福布斯》杂志称为“黑客领域的黑水公司”。
Exodus公司的客户基本可以分为两类:攻击型和防守型。防守型的包括安全公司和反病毒软件开发商,他们希望获取可以用于产品的信息,或为客户提供有关系统威胁的最新信息。攻击型的包括侵入测试者,他们利用Exodus公司的“零日漏洞”模拟攻击自己或别人的网络。
还有一些客户可不是模拟而已。众所周知,美国国家安全局和联邦调查局喜欢在目标计算机上植入监视软件,以收集情报;联邦调查局甚至正在游说法院,以更容易地获得采取这种行动的授权。如何在别人的计算机上植入软件,而又不被别人发现?其中一个办法就是利用漏洞。
根据《华盛顿邮报》对爱德华·斯诺登泄露的机密文件的分析,在美国国家安全局的预算中,有2510万美元用于“额外秘密购买软件漏洞”;还有6.52亿美元用于代号GENIE的秘密计划——在外国计算机网络上植入恶意代码。截至2013年底,GENIE计划预计已经控制全球大约8.5万台计算机。
根据斯诺登提供的机密文件,2011年美国对中国、俄罗斯、伊朗和朝鲜等国家发起了231次网络攻击。而这还只是2011年的数字。在2015年美国国防预算中,有50亿美元用于网络空间行动,而我们对这个领域却知之甚少。
漏洞黑市令人担忧
鉴于软件漏洞的潜在攻击性,你可能认为,美国政府希望像控制战斗机和地雷交易一样控制软件漏洞交易。但事实上,监管者才着手进行控制。去年12月,由美国和其他40个国家签署的《瓦瑟纳尔协定》进行了修订,将“侵入软件”纳入受到限制的军民两用技术名单,但到目前为止,这项修订尚未得到落实。美国政府一名高级官员说,目前,美国政府还不想真正控制这个市场。市场行为更多地依赖自愿和自律。卖给谁?不卖给谁?这让波特努瓦和他的团队有时不得不做出道德选择。
尽管如此,滥用漏洞的可能性却切实存在。零日漏洞可不管你侵入的是谁的计算机,或者为什么侵入?今年4月28日,卡巴斯基实验室的研究人员透露,Adobe Flash软件存在一种零日漏洞。如果能诱使目标计算机的使用者访问一个特定的网站,就能利用这个漏洞在目标计算机上植入恶意代码。经研究人员查实,这个特定的网站属于叙利亚司法部。我们有理由推断,叙利亚政府正在利用零日漏洞监视国内的异见人士。
如果一个不受任何国家控制的政治组织对公共设施发起攻击,那将是一场真正的梦魇。例如,恐怖主义组织。美国联邦调查局在纽约负责网络和特殊行动的前特工玛丽·加利根说:“如果你能确定其中一种零日漏洞,就能利用它们造成严重破坏。”她以控制工业系统的软件“数据采集与监视控制系统”(SCADA)为例,该系统就是“震网”病毒攻击的目标。她说:“我们能想到的一切工业系统——制造车间、电网、供水或电梯——都是由与互联网连接的数据设备运行的。真正令人担忧的是,这是保护力度最弱的环节。”
即使无足轻重的独裁者和网络犯罪分子不能从Exodus公司购买漏洞,他们也能从活跃的漏洞黑市上购买。有人认为这是一个严重的问题,有人则不以为然。兰德公司在今年3月的报告中指出,漏洞黑市是“一些受金钱驱使、具有高度组织性和复杂性的组织的竞技场”。
波特努瓦对黑市漏洞的质量嗤之以鼻。他说,黑市上的大部分漏洞都不具备“零日”新鲜度。通常,犯罪分子会选择那些已经推出安全补丁的较老的漏洞下手,他们要做的就是在网络上猎捕那些尚未更新软件的目标。根据美国赛门铁克(Symantec)公司《2014年互联网安全威胁报告》,在该公司扫描的所有网站中,有1/8的网站存在一个未经修复的严重漏洞。
还有一种与黑市截然相反的市场,这个市场由最初编写存在漏洞的软件的程序员运行。越来越多的大型软件公司意识到,购买自己产品的漏洞并赶在别人利用这些漏洞之前修复它们(有点类似于对出厂产品进行Beta测试),其实是一种节省成本的办法。2010年,谷歌公司推出奖励发现Chrome浏览器漏洞的计划,并帮助推动了这种趋势。今年,谷歌公司用于这项计划的支出累计达到330万美元。现在,奖励发现漏洞的做法已经成为惯例,就连网络商店平台Etsy也有类似的计划。微软公司给予发现视窗操作系统一个严重漏洞的奖金最高达到10万美元。去年,脸谱公司为687个漏洞支付了150万美元的奖金。
数据防护千疮百孔
当然,我们梦想生活在一个没有漏洞的世界:我们的软件完美无瑕,安全性能绝佳。然而,现实却与我们的梦想背道而驰。我们让计算机为我们做得越多,对其安全性的需求就越迫切;但计算机需要做得越多,它们的软件就必须越复杂,它们的漏洞也就越多。如此就形成了一种恶性循环。以你的笔记本电脑为例,其操作系统由数千万行代码组成,其安装的应用软件大多数仅完成3/4就匆匆上市。当你的笔记本电脑与数以百万计的其他设备(包括平板电脑和手机)连接,形势就会迅速失控。
修复漏洞有点像排干海洋,你永远也不可能完成。尽管编码水平和标准都在提高,但提高的速度还不够快。目前,美国国家漏洞数据库列出的漏洞有63239个。去年,研究人员平均每天发现13个漏洞。今年3月,美国联邦政府通报,去年共有3000家美国公司遭到黑客攻击。保护我们数据的防护墙实际上千疮百孔。与计算机安全领域的人士接触越久,就越会意识到,根本就不存在保护数据的防护墙。
我们如此成功地创造了一个相互连通的“天堂”,在这里,信息可以自由流动,我们又如此迫不及待地想生活在这个“天堂”,以至于我们已经无法按照自己的意愿控制信息的流动。其结果是,一场新的战争。这场战争并不引人瞩目,但持久、广泛。它模糊了军事与民事、个人与公共、政治与商业的界限。其受害者损失的是个人数据和知识产权,等他们发现自己遭受了攻击,往往已为时过晚。美国政府一名高级官员说:“零日漏洞将一直存在。这不仅仅涉及保护措施——网络空间的‘防护墙’、‘护城河’和‘铁丝网’。你必须在一种假设下工作:有时,坏人会侵入。”