本文转载自微信公众号“数世咨询”(dwconcn)。
零日漏洞是间谍工具与网络武器的原材料,由于国家资源的支撑,漏洞交易的利润巨大,这也是中间人从来不公开谈论的原因所在。
▶ 危险之旅
2013年,有关我开始了解零日漏洞的传闻,一下子就传开了。零日漏洞的交易者、漏洞交易者,包括写漏洞利用代码的人,都开始对我有了戒备。我被谢绝参加黑客论坛,甚至还有人一度在暗网上出钱雇人入侵我的邮件或手机。但我无意中了解的信息,是我继续征程的动力。
世界的基础设施竞争已转到线上,数据也不例外。而访问这些系统和数据最可靠的方法就是零日漏洞。零日漏洞已经成为美国间谍活动和作战计划的关键组件。斯诺登事件已经明确,美国是该领域最大的玩家,但我知道并不只有美国一家,高压政权正在赶上,为了满足需求,便很快的催生出这样一个市场。漏洞到处都是,许多是我们自己制造出来的,而那些强大的力量(包括我们的政府)一直在为这种环境提供保证,因此许多人不想让这些故事公之于众。
在零日市场的早期,花了数年的时间才找到一个愿意讲话的人。许多人从来不予回应,有些人干脆直接挂断电话。还有人对我说,不只是他不能和我讲这个市场,他还警告了所有他认识的人不能和我讲这个市场上的事。他还告诉我,如果我继续下去,我会把自己置于“危险”之中。
“你会到处碰壁的,妮可”--彼时国防部长Leon Panetta
“祝你好运”--前国家安全局局长Michael Hayden
做这一行,把嘴管严是必须的。每一笔交易都需要谨慎,大多数都是保密协议。谁的保密性做的好,政府就越愿意和他交易,他就会越赚钱。反之则反之。一个居住在曼谷的南非人,叫格鲁格,在推特上有超过1万个粉丝。2012年,公开的与一个记者谈论漏洞交易,还出现在《福布斯》杂志上。结果被列入“不受欢迎的人”,政府不再与他交易。没有人愿意步他的后尘,所以我只能搜寻公开的的资料,并以此深入下去,直到我找到了一个零日中间人,才得以了解“不为人知”的零日市场的故事。
▶ 先驱者
每个市场都是由一次打赌开始的。我所知道的零日市场,开始于一次10美元的赌局,这笔钱是约翰·沃特斯为收购网络安全公司iDefense所愿意付出的价格。那是在2002年的夏天,沃特斯是一名对网络安全一无所知的德克萨斯人。他认为,对于一家月烧钱百万美元而且还不知道啥时能挽回损失的公司而言,10美元已经是一个相当不错的出价了。当时正处于互联网泡沫破灭的时期,iDefense已经数周没有发出工资,纳斯达克指数则达到了历史最低点,5万亿美元的纸上财富在股市蒸发,在接下来的两年中,一半的互联网公司消失,即使是iDefense的员工也认为公司没有机会了。
iDefense是一家威胁情报公司,主要的客户是大银行和一些政府机构。通常情况下,威胁情报意味着软件中的漏洞,攻击者利用这些漏洞入侵受害者的网络并最终盗走他们的数据。但问题是iDefense提供的情报并非独有,许多原始的信息免费收集于像BugTraq这类的黑客论坛。而且就在沃特斯走进iDefense总部的那一天,iDefense很可能会失去BugTraq的访问机会。因为就在当天,网安巨头赛门铁克以7500万美元的价格收购了BugTraq的运营方SecurityFocus。如果赛门铁克关闭外界对BugTrag的访问,iDefense就完蛋了。
大卫·恩德勒,曾在国家安全局任职,桑尼尔·詹姆斯则刚从大学毕业了两年。这两位iDefense实验室的年轻黑客给沃特斯提供了一个“孤注一掷”的方案。他们认为,当今世界存在一个尚未开发的市场,找漏洞。多年来,对于漏洞发现者而言,是没有800电话可打的。不管是发现了何种产品或系统的漏洞或代码错误,对方是不会给予回应的,更多的情况下是律师找过来,要求他们停止对当事企业产品的“刺探”。即使当企业修复了产品问题,这些补丁也往往包含着令人惊诧的错误。
代码每天都会产生漏洞,黑帽子利用这些漏洞来攫取利益,进行间谍活动,造成数字灾难。白帽子则失去了向厂商提交漏洞的动机。厂商则更倾向于用解决人的办法来解决他们产品的问题(用法律程序来威胁漏洞发生者)。而那些运行着有漏洞的软件的机构,则对攻击者敞开了大门。因此,两位年轻的黑客想为漏洞发现者提供一种免费的高质量的保证,而不是经常发生的那样,被惩罚。恩德勒和詹姆斯把他们的想法告诉了沃特斯。
付报酬购买黑客提交的漏洞,然后iDefense会把这些漏洞给到相应的科技公司用于开发补丁,而且在补丁出来之前,iDefense还可以提供暂时的安全解决方案。沃特斯同意了。于是在2003年,iDefense成为业界第一家向黑客敞开大门且愿意付钱购买漏洞的公司。
▶ 市场开始形成
起初,詹姆斯和恩德勒并未意识到自己在做什么。这个市场还不存在,至少就他们所知,也没有竞争对手。两人给出了一张有点奇怪的价格表,一种漏洞75美元,另一种500美元。在最初的一年半时间里,共收到了上千个漏洞,其中一半的漏洞非常差。他们考虑过拒绝,但还是认为需要建立信任,这样才能吸引更多的黑客带来更好的漏洞。
事情做成了。来自土耳其、新西兰、阿根廷的黑客,甚至包括美国一名13岁的小黑客,开始不断提交漏洞给iDefense,这些漏洞有防病毒软件的,也有口令截获从用户与他们的浏览器盗取数据等。实际上,当该项目2003年引起关注的时候,沃特斯开始接到许多电话,大多数来自于科技大公司,对他发泄怒火,指责iDefense邀请并付钱给黑客查找他们产品的漏洞。但到了2003年底和2004年的时候,又有一些电话打过来,这些人声称为政府承包商工作,愿意为漏洞付出更高的价格(iDefense当时最高的漏洞报酬是1万美元,而他们愿意出15万美元),只要iDefense不再将该漏洞告诉别人。利用这些漏洞可以开发出间谍工具和网络武器,用以对抗美国的敌对方,而且没有人会知道这些漏洞的存在。事实上,他们能出的价格远远超出沃特斯的想象。
沃特斯拒绝了,对方转而用诸如“为了你的国家”之类的爱国主义说辞。虽然沃特斯是一个爱国主义者,但他毕竟也是一个商人。“这会让我们完蛋,如果和政府合谋在客户的核心技术上留下漏洞,这就是在坑客户。”
承包商最终明白了沃特斯的坚决,但沃特斯已经感觉到了风向的变化。黑客开始要求六位数的报酬,而这个数字在半年前只是千元左右。于是黑客们开始寻求其他的选择,类似于Digital Armaments这样的神秘的团队开始在网上出现,为甲骨文、微软和VMWare的产品零日漏洞提供高达五位数的酬金。很快,沃特斯判断出他们创造出的潜在市场价值,最终在2005年7月,他以4000万美元的价格出售了他以10美元买到的iDefense。
“这会是一笔大生意,”零日市场的最早的一位中间商对我说。这已经是2015年的秋季,经过我两年的努力,这位零日交易人最终同意了跟我面对面交谈。
▶ 萨比恩的故事
那年10月,我飞到华盛顿杜勒期机场去见一个人,在这里我不得不称他为“杰米·萨比恩”。萨比恩已经脱离零日市场数年的时间,但出于他的这段经历,到现在那些政府机构还是他目前生意的客户。只有在我不能使用他真实姓名的条件下,他才同意和我谈话。萨比恩就是第一个给沃特斯开出15万美元的人,而那个漏洞iDefense才付给黑客不到1000美元。“你无法想象这是多大的利润,”时至今日的十几年后,说起这事,他还是摇了摇头。
在开始做零日业务之前,萨比恩在军方,职责是保护军方遍布在全世界的计算机网络。我们安排在纽约州博尔斯顿的一家墨西哥餐馆见面,这家餐馆离他的几个前客户只有几英里。
九十年代后期,萨比恩入职了一家政府承包商,首次代表美国情报机关涉足零日交易。那个时期,零日交易还没有成为机密,也就是说如果与我这样的人谈话不会违反任何法律。但他仍然坚持不能透露他的名字。
萨比恩告诉我,通过保护军方的网络得以让他深度熟悉技术方面的漏洞。在军队,安全通信往往意味着生存与死亡的天壤之别,但对于大型科技企业而言,似乎对此没有意识。“大家非常清楚设计系统时要完成的功能,而不是安全。他们并不考虑系统可能如何被利用操纵。”
离开军方后,如何利用计算机系统就成了萨比恩的主业。受雇于一家华盛顿周边的政府承包商,萨比恩管理着一个25人的团队,为美国政府开发入侵工具。萨比恩意识到,如果没有部署黑客工具的方法,这些工具就没有作用。能够可靠的访问目标计算机系统才最为关键。
“也许你是一名全世界水平最高的珠宝大盗,但除非你知道如何绕过警铃系统,否则你哪儿也进不去。访问为王。”
萨比恩的团队私下交易数字访问,搜索漏洞并为客户编写漏洞利用代码。这些大笔的收入80%来自于五角大楼和情况机构,其余的则来自执法机构。目标就是帮助这些机构找到秘密进入敌对方系统的方法,敌对方会是民族国家、恐怖分子、贩毒集团,或者低级别的罪犯。
有些项目是靠运气的,如果他们发现了一个通用性很广的产品漏洞,例如Windows,他们就会开发一个漏洞利用程序,然后尽可能卖给更多的机构。但大部分工作是有针对性的:如情报机构希望监视俄罗斯设在在基辅的大使馆,再比如巴基斯坦在贾拉拉巴德的领事馆。萨比恩的团队必须实施侦察,辨识目标计算机及其运行的操作系统环境,找到进入内部的方法。
只要是人编写的代码,人来设计、建立和配置机构,就一定会有进入的方法。但找到漏洞只是成功的一半,另一半则是制作和打磨漏洞利用程序,这样才能为政府机构提供一个可靠、干净入口。
萨比恩的客户并不满足于仅仅能够访问,他们想要的是不被发现的潜入,一个种植隐形后门的方法,甚至在入侵被发现后还能继续潜入的方法,并且要把敌人的数据拖回他们的命令控制服务器,还不能触发警报。
“他们想要的是整个“杀伤链”,进入、传送命令、渗漏数据、隐藏等能力。类似于特种部队和海豹六队,他们有狙击手、扫雷手、撤离人员,甚至是破门员。”零日漏洞利用程序、木马,提供可靠性、不可见性和持久性。这是一连串的环节。很难同时拥有这三种特性,但一旦具备,“搞定!”
我请他谈谈具体的漏洞利用程序,他带有如同初恋般的情绪回忆起他的最爱。那是一个音频存储卡的零日。这个存储卡在计算机的固件中运行,因此几乎无法发现和删除,唯一的办法就是把计算机扔掉。“这是最好的漏洞利用。”
进入一台计算机之后,间谍首先要做的事情就是监听其他的间谍。如果发现已经有人在利用这台计算机给命令服务器发送信息,就要把它删除,不管对方在做什么。在同一台计算机上发现有其他间谍的情况是常见的,尤其是在高级别的外交官、军火商或是恐怖分子的网络中。曾经有一个惠普打印机的零日,被“全世界的政府机构”利用,这个漏洞可以捕获任何通过打印机的文件,从而建立起一个“滩头堡”,而且这个滩头堡IT管理员很难想去怀疑。
起初寻求零日武器库的政府机构并不多。国家安全局曾吹嘘在情报社区,自己拥有最大和最有能力的网军,而且那时情报机构并不寻求外界的帮助。但在九十年代中期,随着互联网在大众层面的普及,越来越多的情报机构害怕落后于互联网应用的发展。在九十年代后期,中央情报局的一个特别工作组判定自身对这一趋势非常缺乏准备,其他情报机构也有相同的认识,甚至认为自己更加落后。于是,购买零日漏洞的需求很快的增长起来。
几乎在同一时期,美国在非洲的大使馆,如肯尼亚、坦桑尼亚的炸弹事件,促使了需求的爆发。九十年代,国会一直在削减军费开支的同时,却坚持批准模糊的“网络安全”预算,不管这些预算是为了攻击还是防御。政策制定者认为,借用前美国战略指挥官司詹姆斯·伊利斯的话,网络冲突“就像里奥格兰德河,一英里宽一英寸深”。在各个情报机构内部,则人人都认为最好的零日漏洞利用则意味着最好的情报,也就意味着更多的预算投入。
萨比恩,正是在这个需求即将爆发的时期进入到零日交易市场。
他的团队研发的零日漏洞利用程序不足以满足大量的需求,而不同的情报机构要的是进入相同系统的方法,于是萨比恩把同一个漏洞利用卖给了多个机构。在1998年大使馆爆炸事件和2001年的911事件之后,从国防部到情报机构再到政府承包商,在接下来的5年时间里,年年保持50%对数字化间谍活动的需求增长。
找到漏洞并开发漏洞利用程序需要时间,因此萨比恩认为把漏洞挖掘外包会是最有效的节省时间和提升工作效率的办法。他们还是会写漏洞利用程序,但为什么不利用大量的外部黑客资源来给他们提供“原材料”呢?
“我们知道无法找到全部的漏洞,但我们也知道它的门槛很低,任何人都能以2000美元的价格买一个戴尔的漏洞。”
九十年代后期,萨比恩的团队开始寻求外部的黑客资源,美国的地下零日市场诞生了。正如前文所述,这个市场也孕育了iDefense和其他的类似提供商。
萨比恩的故事就像一本间谍小说,充满了暗藏杀机的会面、装满现金的口袋和隐蔽的中间人等情节,只是这并非文学作品或想象中的画面,这是真实发生的。
▶ 爆发
在九十年代,政府机构花费大约1百万美元的价格购买10个一组的漏洞利用,萨比恩团队用去一半的钱来购买漏洞,然后自己再开发出漏洞利用程序。一个类似于windows通用系统的漏洞的价格是5万美元,但如果是一个关键敌对方的很少有人用的系统,漏洞的价格会达到10万美元。更甚者,如果能让政府间谍深入敌人的系统,同时不被发现并潜伏很长一段时间,价格可以轻松达到15万美元。
为萨比恩提供漏洞的黑客主要在东欧。苏联解体之后,有了大量有技术但没工作的人。在欧洲,一些15、16岁的年轻黑客经常把他们找到的漏洞卖给政府机构或是代理人。萨比恩告诉我,一些最有才华的黑客在以色列,以色列8200部队的退伍军人,其中最棒的黑客之一,是一个仅16岁的以色列男孩。
零日交易是一个秘密且繁琐的业务。萨比恩团队不可能直接打电话给黑客,让他们用电子邮件把漏洞发过来,然后再把支票寄过去。漏洞和利用程序必须仔细地在各种系统上进行测试。有时黑客会在视频上操作演示,但大多数交易都是面对面的,通常会在黑客集会的旅馆房间中进行。
萨比恩的业务越来越依赖中间人。数年来,把一个装着几十万现金的旅行袋,扔到零日中间人面前的场景经常出现,以购买来自波兰或整个东欧黑客提供的漏洞。
依赖信任和缄默法则是贯穿整个零日交易链条的关键。政府必须信息承包商能交付有效的漏洞,承包商必须信任中间人和黑客不会擅自暴露漏洞,或是将漏洞再次转卖给敌对方。黑客必须信任承包商会付钱给他们,而不是拿到漏洞演示之后自己开发将漏洞据为已有。那个时候还没有比特币,一些支付会通过西联汇款,但大部分还是通过现金。
如果你涉足过这个市场就会知道,这种交易的效率有多低。这也是为什么,萨比恩在2003年注意到iDefense在公开购买漏洞并给沃特斯打去电话的原因。
对于沃特斯这种致力于推动漏洞市场公开化的商人而言,承包商的做法是愚蠢的,甚至是危险的。“没有人想公开谈论他们正在做的事情,”沃特斯回忆。“整个过程都被一层神秘的气氛包裹着。但是市场越不透明,效率就越低。市场越公开,就会越成熟,买主的主动权就更多。不去打开潘多拉魔盒,价格就会一直上涨。”
到了2004年末,来自政府和前台公司(掩盖真实身份的幌子公司)大量需求不断地促升漏洞利用的价格,给iDefense带来了很大的竞争压力。但随着市场的扩大,真正给沃特斯带来麻烦的反而不是市场层面的影响,而是不断增长的全面网络战的可能性。“就象在地下市场拥有核弹,可以在不受控制的情况下在全世界出售。”
冷战的确定性反而促进了处于蛮荒时代的数字世界,没人能确定敌人会在哪里以及可时出现。美国的情报机构越来越依赖网络间谍,以尽可能多的收集敌对方的数据。而且不只是监听,他们还寻求能够破坏基础设施,摧毁电网的代码。渴求这些工具的华盛顿承包每年都以两倍的速度增长。
最大的承包商,如洛克希德·马丁、雷神、诺斯罗普·格鲁曼、波音等,来不及雇佣更多的网络安全专家,于是他们从情报机构的内部挖人,以及收购小一些的承包商,如萨比恩的团队。情报机构则开始从法国的一家零日代理商Vupen获取漏洞利用。这家代理商就是现在的Zerodium。他们在华盛顿周边建立办事处,并在线上明码标价,提供高达100万美元(现在已经到了250万美元)的悬赏收购远程入侵iPhone的漏洞。
该公司网站上曾有的标语:“我们付出重金,而不是漏洞赏金。”前国家情报局的人员也开始成立自己的业务,如Immunity Inc,为国外政府提供谍报技术的培训。一些承包商,像CberPoint,把他们的业务扩展到海外,驻扎在阿联酋首都阿布扎比,阿联酋政府曾重赏过国家安全局的黑客,因为他们帮助阿联酋成功入侵了敌对方。巨大的需求不断促升着漏洞的价格,不久之后,又一家零日交易商Crowdfense,出价比Zerodium竟要高出100万美元。最终这些工具,都会被美国利用。
到了2015年,萨比恩同意与我见面的时候,零日市场已经真正的形成。“在九十年代,开发漏洞利用并交易只是个很小的圈子。现在则非常的商业化了,”他挥动手指画了个很大的圈子,以象征华盛顿大街的承包商。“我们已经被包围了,有超过100家的承包商在经营这个业务。”
美国的政府机构形成的市场并非萨比恩退出的原因,而是海外的需求给他带来不安。“每个人都有自己的敌人,即使是你从未想到的国家,也在积攒漏洞以防不时之需。大多数国家只是为了保护自己,但很快这些国家就会意识到,他们不得不把手伸出来去触动别人。”
“这样下去,你肯定会遇到事情的,结局肯定不妙。”说完这句话,萨比恩起身离去。
注:本文摘译自《他们是如何告诉我世界结束的》一书,作者妮可·佩尔罗斯。小标题为译者所写。