黑客如何窃取你的秘密:互联网战场漏洞成武器
美国《时代》周刊 7 月 21 日一期(提前出版)封面
漏洞成为网战武器
网络战不是未来,而是已经存在,并且已经司空见惯。在这场战争中,随处都是战场,漏洞是武器,而黑客则是军火商。
一个软件漏洞的价值能以金钱来衡量,这有点让人匪夷所思。漏洞即错误。通常,我们要花钱修复漏洞。而漏洞大有市场则是我们所处的科技时代更令人匪夷所思的结果。在这个科技时代,我们的整个世界——我们的商业活动、医疗记录、社会生活和政府——正在一点一点地脱离现实世界,以数据形式进入由软件构成的计算机内核。很多人出于善意或恶意对这些数据抱有兴趣。其中一些人是间谍,还有一些人是罪犯。漏洞就是他们用以获取数据的武器。
几年前的一个例子能充分说明,是什么让漏洞如此有用。当时,美国和以色列联合研发了一种复杂的计算机病毒,其目的是侵入并破坏位于伊朗纳坦兹市的某个进行铀浓缩的核设施。这种名为 " 震网 " ( Stuxnet ) 的病毒或许是第一个真正的网络武器。一名双重间谍利用 U 盘将这种病毒植入核设施的计算机系统。该病毒在查看整个计算机系统后向主人传回详细的情报,随后开始大规模侵入控制离心机的计算机,并最终导致大约 20% 的离心机陷入瘫痪。 ( 由于美国和以色列政府在这个问题上仍然保持沉默,以上均为通过安全专家和媒体提供的事实推演所得。 )
是什么让 " 震网 " 病毒如此有效?一个词:漏洞。要成功侵入目标系统," 震网 " 病毒至少利用了 4 个不同的系统漏洞,包括一个微软视窗操作系统的漏洞。这些漏洞——更确切地说,利用这些漏洞所需的知识——本身就像伊朗人正在提炼的浓缩铀,但是以软件的形式存在:它们是昂贵且高度精密的武器,构成了极端复杂的武器系统的核心。当 " 震网 " 病毒从纳坦兹市的核设施扩散并导致全球大约 10 万台计算机受到感染后,这些漏洞让 " 震网 " 病毒具有更大的破坏力。
美国大肆滥用漏洞
早在 " 震网 " 病毒出现之前,为漏洞埋单的想法就已经出现。1995 年,美国网景通信公司 ( Netscape ) 推出了 " 漏洞奖金 " 计划,任何人只要找出该公司浏览器的漏洞都能获得现金奖励。2002 年,美国信息防护公司 ( iDefense ) 开始购买各种漏洞。2005 年,TippingPoint 公司也推出了类似的购买计划。鉴于公开市场上的 " 零日漏洞 " 交易日趋活跃和混乱,这两项计划作为安全的 " 零日漏洞 " 处理厂 ( 类似于放射性废物库 ) ,提供了一种安全的选择。 ( " 零日 " 这个术语是指漏洞的新鲜程度。" 零日漏洞 " 是指漏洞公开的时间为零天,因此还没有人尝试修复它。 ) 如果你发现了一个漏洞,你能以公道的价格卖给 iDefense 或 TippingPoint 公司,而不是卖给出价最高但天知道会做出什么事情来的买家。iDefense 和 TippingPoint 公司会提醒客户警惕这些漏洞,并与软件开发商合作修复它们。这两家公司还有一个共同点:在 2005 年和 2006 年连续两年聘用实习生阿龙 · 波特努瓦。
波特努瓦是一个超级网络攻击专家。2006 年,波特努瓦从美国东北大学辍学,开始全职在 TippingPoint 公司工作。2012 年,他从该公司辞职,并创立了自己的 Exodus 公司。在这个不大的精英领域中,还有总部位于法国南部的 Vupen 公司、马耳他的 Revuln 公司、美国的 Netragard 公司和加拿大的 Telus 公司。 ( Netragard 公司的信条是:" 我们保护你们不受我们这种人的攻击。" ) Exodus 公司总部位于奥斯汀的一栋办公楼内,与会计师和地产经纪人为邻。即使以新创立的科技公司为标准,这家公司的总部也过于简朴:仅有一个室内装饰——一面挂在墙上的海盗旗。
Exodus 公司 9 名研究人员的日常工作就是攻击目标软件,寻找侵入系统的办法。他们的目标包括浏览器、电邮客户端、即时通讯客户端、Flash、Java、工业控制系统,以及任何可以被攻击者作为突破口的东西。
通常,Exodus 公司的研究人员发现一个漏洞后,会起草一份专业报告和技术文件,说明这个漏洞是什么?在哪里?如何发现它?它在什么版本的软件上运行?如何修复?等等。最重要的是,Exodus 公司会告诉你如何激活并利用这个漏洞。购买 Exodus 公司的漏洞需要注册成为会员,年费在 20 万美元左右。
基于漏洞交易提供的漏洞正在被用于犯罪或不道德目的这个假设,对于该行业的评价可谓毁誉参半。总部位于华盛顿特区的 Endgame 公司多年以来向美国政府出售软件漏洞,它被《福布斯》杂志称为 " 黑客领域的黑水公司 "。
Exodus 公司的客户基本可以分为两类:攻击型和防守型。防守型的包括安全公司和反病毒软件开发商,他们希望获取可以用于产品的信息,或为客户提供有关系统威胁的最新信息。攻击型的包括侵入测试者,他们利用 Exodus 公司的 " 零日漏洞 " 模拟攻击自己或别人的网络。
还有一些客户可不是模拟而已。众所周知,美国国家安全局和联邦调查局喜欢在目标计算机上植入监视软件,以收集情报;联邦调查局甚至正在游说法院,以更容易地获得采取这种行动的授权。如何在别人的计算机上植入软件,而又不被别人发现?其中一个办法就是利用漏洞。
根据《华盛顿邮报》对爱德华 · 斯诺登泄露的机密文件的分析,在美国国家安全局的预算中,有 2510 万美元用于 " 额外秘密购买软件漏洞 ";还有 6.52 亿美元用于代号 GENIE 的秘密计划——在外国计算机网络上植入恶意代码。截至 2013 年底,GENIE 计划预计已经控制全球大约 8.5 万台计算机。
根据斯诺登提供的机密文件,2011 年美国对中国、俄罗斯、伊朗和朝鲜等国家发起了 231 次网络攻击。而这还只是 2011 年的数字。在 2015 年美国国防预算中,有 50 亿美元用于网络空间行动,而我们对这个领域却知之甚少。
漏洞黑市令人担忧
鉴于软件漏洞的潜在攻击性,你可能认为,美国政府希望像控制战斗机和地雷交易一样控制软件漏洞交易。但事实上,监管者才着手进行控制。去年 12 月,由美国和其他 40 个国家签署的《瓦瑟纳尔协定》进行了修订,将 " 侵入软件 " 纳入受到限制的军民两用技术名单,但到目前为止,这项修订尚未得到落实。美国政府一名高级官员说,目前,美国政府还不想真正控制这个市场。市场行为更多地依赖自愿和自律。卖给谁?不卖给谁?这让波特努瓦和他的团队有时不得不做出道德选择。
尽管如此,滥用漏洞的可能性却切实存在。零日漏洞可不管你侵入的是谁的计算机,或者为什么侵入?今年 4 月 28 日,卡巴斯基实验室的研究人员透露,Adobe Flash 软件存在一种零日漏洞。如果能诱使目标计算机的使用者访问一个特定的网站,就能利用这个漏洞在目标计算机上植入恶意代码。经研究人员查实,这个特定的网站属于叙利亚司法部。我们有理由推断,叙利亚政府正在利用零日漏洞监视国内的异见人士。
如果一个不受任何国家控制的政治组织对公共设施发起攻击,那将是一场真正的梦魇。例如,恐怖主义组织。美国联邦调查局在纽约负责网络和特殊行动的前特工玛丽 · 加利根说:" 如果你能确定其中一种零日漏洞,就能利用它们造成严重破坏。" 她以控制工业系统的软件 " 数据采集与监视控制系统 " ( SCADA ) 为例,该系统就是 " 震网 " 病毒攻击的目标。她说:" 我们能想到的一切工业系统——制造车间、电网、供水或电梯——都是由与互联网连接的数据设备运行的。真正令人担忧的是,这是保护力度最弱的环节。"
即使无足轻重的独裁者和网络犯罪分子不能从 Exodus 公司购买漏洞,他们也能从活跃的漏洞黑市上购买。有人认为这是一个严重的问题,有人则不以为然。兰德公司在今年 3 月的报告中指出,漏洞黑市是 " 一些受金钱驱使、具有高度组织性和复杂性的组织的竞技场 "。
波特努瓦对黑市漏洞的质量嗤之以鼻。他说,黑市上的大部分漏洞都不具备 " 零日 " 新鲜度。通常,犯罪分子会选择那些已经推出安全补丁的较老的漏洞下手,他们要做的就是在网络上猎捕那些尚未更新软件的目标。根据美国赛门铁克 ( Symantec ) 公司《2014 年互联网安全威胁报告》,在该公司扫描的所有网站中,有 1/8 的网站存在一个未经修复的严重漏洞。
还有一种与黑市截然相反的市场,这个市场由最初编写存在漏洞的软件的程序员运行。越来越多的大型软件公司意识到,购买自己产品的漏洞并赶在别人利用这些漏洞之前修复它们 ( 有点类似于对出厂产品进行 Beta 测试 ) ,其实是一种节省成本的办法。2010 年,谷歌公司推出奖励发现 Chrome 浏览器漏洞的计划,并帮助推动了这种趋势。今年,谷歌公司用于这项计划的支出累计达到 330 万美元。现在,奖励发现漏洞的做法已经成为惯例,就连网络商店平台 Etsy 也有类似的计划。微软公司给予发现视窗操作系统一个严重漏洞的奖金最高达到 10 万美元。去年,脸谱公司为 687 个漏洞支付了 150 万美元的奖金。
数据防护千疮百孔
当然,我们梦想生活在一个没有漏洞的世界:我们的软件完美无瑕,安全性能绝佳。然而,现实却与我们的梦想背道而驰。我们让计算机为我们做得越多,对其安全性的需求就越迫切;但计算机需要做得越多,它们的软件就必须越复杂,它们的漏洞也就越多。如此就形成了一种恶性循环。以你的笔记本电脑为例,其操作系统由数千万行代码组成,其安装的应用软件大多数仅完成 3/4 就匆匆上市。当你的笔记本电脑与数以百万计的其他设备 ( 包括平板电脑和手机 ) 连接,形势就会迅速失控。
修复漏洞有点像排干海洋,你永远也不可能完成。尽管编码水平和标准都在提高,但提高的速度还不够快。目前,美国国家漏洞数据库列出的漏洞有 63239 个。去年,研究人员平均每天发现 13 个漏洞。今年 3 月,美国联邦政府通报,去年共有 3000 家美国公司遭到黑客攻击。保护我们数据的防护墙实际上千疮百孔。与计算机安全领域的人士接触越久,就越会意识到,根本就不存在保护数据的防护墙。
我们如此成功地创造了一个相互连通的 " 天堂 ",在这里,信息可以自由流动,我们又如此迫不及待地想生活在这个 " 天堂 ",以至于我们已经无法按照自己的意愿控制信息的流动。其结果是,一场新的战争。这场战争并不引人瞩目,但持久、广泛。它模糊了军事与民事、个人与公共、政治与商业的界限。其受害者损失的是个人数据和知识产权,等他们发现自己遭受了攻击,往往已为时过晚。美国政府一名高级官员说:" 零日漏洞将一直存在。这不仅仅涉及保护措施——网络空间的‘防护墙’、‘护城河’和‘铁丝网’。你必须在一种假设下工作:有时,坏人会侵入。"
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 志合越山海 7965205
- 2 县委书记放任劣质米掺进学生餐 7967870
- 3 徐娇劝阻男子餐厅内抽烟被抢手机 7823689
- 4 细数中国工业经济这一年 7748689
- 5 在俄阵亡朝鲜士兵的手写信曝光 7641181
- 6 余承东:明年有大家想不到的产品 7532069
- 7 #坠毁客机是被俄军打下来的吗# 7451671
- 8 马伊琍获评国家一级演员正高职称 7334734
- 9 百家合伙人年度峰会直播中 7294690
- 10 霍建华官宣大男主剧 7177949