黑客如何窃取你的秘密:互联网漏洞成武器

美国《时代》周刊7月21日(提前出版)一期发表题为《零世界大战——黑客如何窃取你的秘密》的封面文章，作者是列夫·格罗斯曼。文章称，互联网是 一个战场，战利品是你的信息，而漏洞则是武器。

美国《时代》周刊7月21日一期(提前出版)封面

漏洞成为网战武器

网络战不是未来，而是已经存在，并且已经司空见惯。在这场战争中，随处都是战场，漏洞是武器，而黑客则是军火商。

一个软件漏洞的价值能以金钱来衡量，这有点让人匪夷所思。漏洞即错误。通常，我们要花钱修复漏洞。而漏洞大有市场则是我们所处的科技时代更令人匪夷 所思的结果。在这个科技时代，我们的整个世界——我们的商业活动、医疗记录、社会生活和政府——正在一点一点地脱离现实世界，以数据形式进入由软件构成的 计算机内核。很多人出于善意或恶意对这些数据抱有兴趣。其中一些人是间谍，还有一些人是罪犯。漏洞就是他们用以获取数据的武器。

几年前的一个例子能充分说明，是什么让漏洞如此有用。当时，美国和以色列联合研发了一种复杂的计算机病毒，其目的是侵入并破坏位于伊朗纳坦兹市的某 个进行铀浓缩的核设施。这种名为“震网”(Stuxnet)的病毒或许是第一个真正的网络武器。一名双重间谍利用U盘将这种病毒植入核设施的计算机系统。 该病毒在查看整个计算机系统后向主人传回详细的情报，随后开始大规模侵入控制离心机的计算机，并最终导致大约20%的离心机陷入瘫痪。(由于美国和以色列 政府在这个问题上仍然保持沉默，以上均为通过安全专家和媒体提供的事实推演所得。)

是什么让 “震网”病毒如此有效?一个词：漏洞。要成功侵入目标系统，“震网”病毒至少利用了4个不同的系统漏洞，包括一个微软视窗操作系统的漏洞。这些漏洞——更 确切地说，利用这些漏洞所需的知识——本身就像伊朗人正在提炼的浓缩铀，但是以软件的形式存在：它们是昂贵且高度精密的武器，构成了极端复杂的武器系统的 核心。当“震网”病毒从纳坦兹市的核设施扩散并导致全球大约10万台计算机受到感染后，这些漏洞让“震网”病毒具有更大的破坏力。

美国大肆滥用漏洞

早在“震网”病毒出现之前，为漏洞埋单的想法就已经出现。1995年，美国网景通信公司(Netscape)推出了“漏洞奖金”计划，任何人只要找 出该公司浏览器的漏洞都能获得现金奖励。2002年，美国信息防护公司(iDefense)开始购买各种漏洞。2005年，TippingPoint公司 也推出了类似的购买计划。鉴于公开市场上的“零日漏洞”交易日趋活跃和混乱，这两项计划作为安全的“零日漏洞”处理厂(类似于放射性废物库)，提供了一种 安全的选择。(“零日”这个术语是指漏洞的新鲜程度。“零日漏洞”是指漏洞公开的时间为零天，因此还没有人尝试修复它。)如果你发现了一个漏洞，你能以公 道的价格卖给iDefense或TippingPoint公司，而不是卖给出价最高但天知道会做出什么事情来的买家。iDefense和 TippingPoint 公司会提醒客户警惕这些漏洞，并与软件开发商合作修复它们。这两家公司还有一个共同点：在2005年和2006年连续两年聘用实习生阿龙·波特努瓦。

波特努瓦是一个超级网络攻击专家。2006年，波特努瓦从美国东北大学辍学，开始全职在TippingPoint公司工作。2012年，他从该公司 辞职，并创立了自己的Exodus公司。在这个不大的精英领域中，还有总部位于法国南部的Vupen公司、马耳他的Revuln公司、美国的 Netragard公司和加拿大的Telus公司。(Netragard公司的信条是：“我们保护你们不受我们这种人的攻击。”)Exodus公司总部位 于奥斯汀的一栋办公楼内，与会计师和地产经纪人为邻。即使以新创立的科技公司为标准，这家公司的总部也过于简朴：仅有一个室内装饰——一面挂在墙上的海盗 旗。

Exodus公司9名研究人员的日常工作就是攻击目标软件，寻找侵入系统的办法。他们的目标包括浏览器、电邮客户端、即时通讯客户端、Flash、 Java、工业控制系统，以及任何可以被攻击者作为突破口的东西。

通常，Exodus公司的研究人员发现一个漏洞后，会起草一份专业报告和技术文件，说明这个漏洞是什么?在哪里?如何发现它?它在什么版本的软件上 运行?如何修复?等等。最重要的是，Exodus公司会告诉你如何激活并利用这个漏洞。购买Exodus公司的漏洞需要注册成为会员，年费在20万美元左 右。

基于漏洞交易提供的漏洞正在被用于犯罪或不道德目的这个假设，对于该行业的评价可谓毁誉参半。总部位于华盛顿特区的Endgame公司多年以来向美 国政府出售软件漏洞，它被《福布斯》杂志称为“黑客领域的黑水公司”。

Exodus公司的客户基本可以分为两类：攻击型和防守型。防守型的包括安全公司和反病毒软件开发商，他们希望获取可以用于产品的信息，或为客户提 供有关系统威胁的最新信息。攻击型的包括侵入测试者，他们利用Exodus公司的“零日漏洞”模拟攻击自己或别人的网络。

还有一些客户可不是模拟而已。众所周知，美国国家安全局和联邦调查局喜欢在目标计算机上植入监视软件，以收集情报;联邦调查局甚至正在游说法院，以 更容易地获得采取这种行动的授权。如何在别人的计算机上植入软件，而又不被别人发现?其中一个办法就是利用漏洞。

根据《华盛顿邮报》对爱德华·斯诺登泄露的机密文件的分析，在美国国家安全局的预算中，有2510万美元用于“额外秘密购买软件漏洞”;还有 6.52亿美元用于代号GENIE的秘密计划——在外国计算机网络上植入恶意代码。截至2013年底，GENIE计划预计已经控制全球大约8.5万台计算 机。

根据斯诺登提供的机密文件，2011年美国对中国、俄罗斯、伊朗和朝鲜等国家发起了231次网络攻击。而这还只是2011年的数字。在2015年美 国国防预算中，有50亿美元用于网络空间行动，而我们对这个领域却知之甚少。

漏洞黑市令人担忧

鉴于软件漏洞的潜在攻击性，你可能认为，美国政府希望像控制战斗机和地雷交易一样控制软件漏洞交易。但事实上，监管者才着手进行控制。去年12月， 由美国和其他40个国家签署的《瓦瑟纳尔协定》进行了修订，将“侵入软件”纳入受到限制的军民两用技术名单，但到目前为止，这项修订尚未得到落实。美国政 府一名高级官员说，目前，美国政府还不想真正控制这个市场。市场行为更多地依赖自愿和自律。卖给谁?不卖给谁?这让波特努瓦和他的团队有时不得不做出道德 选择。

尽管如此，滥用漏洞的可能性却切实存在。零日漏洞可不管你侵入的是谁的计算机，或者为什么侵入?今年4月28日，卡巴斯基实验室的研究人员透 露，Adobe Flash软件存在一种零日漏洞。如果能诱使目标计算机的使用者访问一个特定的网站，就能利用这个漏洞在目标计算机上植入恶意代码。经研究人员查实，这个 特定的网站属于叙利亚司法部。我们有理由推断，叙利亚政府正在利用零日漏洞监视国内的异见人士。

如果一个不受任何国家控制的政治组织对公共设施发起攻击，那将是一场真正的梦魇。例如，恐怖主义组织。美国联邦调查局在纽约负责网络和特殊行动的前 特工玛丽·加利根说：“如果你能确定其中一种零日漏洞，就能利用它们造成严重破坏。”她以控制工业系统的软件“数据采集与监视控制系统”(SCADA)为 例，该系统就是“震网”病毒攻击的目标。她说：“我们能想到的一切工业系统——制造车间、电网、供水或电梯——都是由与互联网连接的数据设备运行的。真正 令人担忧的是，这是保护力度最弱的环节。”

即使无足轻重的独裁者和网络犯罪分子不能从Exodus公司购买漏洞，他们也能从活跃的漏洞黑市上购买。有人认为这是一个严重的问题，有人则不以为 然。兰德公司在今年3月的报告中指出，漏洞黑市是“一些受金钱驱使、具有高度组织性和复杂性的组织的竞技场”。

波特努瓦对黑市漏洞的质量嗤之以鼻。他说，黑市上的大部分漏洞都不具备“零日”新鲜度。通常，犯罪分子会选择那些已经推出安全补丁的较老的漏洞下 手，他们要做的就是在网络上猎捕那些尚未更新软件的目标。根据美国赛门铁克(Symantec)公司《2014年互联网安全威胁报告》，在该公司扫描的所 有网站中，有1/8的网站存在一个未经修复的严重漏洞。

还有一种与黑市截然相反的市场，这个市场由最初编写存在漏洞的软件的程序员运行。越来越多的大型软件公司意识到，购买自己产品的漏洞并赶在别人利用 这些漏洞之前修复它们(有点类似于对出厂产品进行Beta测试)，其实是一种节省成本的办法。2010年，谷歌公司推出奖励发现Chrome浏览器漏洞的 计划，并帮助推动了这种趋势。今年，谷歌公司用于这项计划的支出累计达到330万美元。现在，奖励发现漏洞的做法已经成为惯例，就连网络商店平台Etsy 也有类似的计划。微软公司给予发现视窗操作系统一个严重漏洞的奖金最高达到10万美元。去年，脸谱公司为687个漏洞支付了150万美元的奖金。

数据防护千疮百孔

当然，我们梦想生活在一个没有漏洞的世界：我们的软件完美无瑕，安全性能绝佳。然而，现实却与我们的梦想背道而驰。我们让计算机为我们做得越多，对 其安全性的需求就越迫切;但计算机需要做得越多，它们的软件就必须越复杂，它们的漏洞也就越多。如此就形成了一种恶性循环。以你的笔记本电脑为例，其操作 系统由数千万行代码组成，其安装的应用软件大多数仅完成3/4就匆匆上市。当你的笔记本电脑与数以百万计的其他设备(包括平板电脑和手机)连接，形势就会 迅速失控。

修复漏洞有点像排干海洋，你永远也不可能完成。尽管编码水平和标准都在提高，但提高的速度还不够快。目前，美国国家漏洞数据库列出的漏洞有 63239个。去年，研究人员平均每天发现13个漏洞。今年3月，美国联邦政府通报，去年共有 3000家美国公司遭到黑客攻击。保护我们数据的防护墙实际上千疮百孔。与计算机安全领域的人士接触越久，就越会意识到，根本就不存在保护数据的防护墙。

我们如此成功地创造了一个相互连通的“天堂”，在这里，信息可以自由流动，我们又如此迫不及待地想生活在这个“天堂”，以至于我们已经无法按照自己 的意愿控制信息的流动。其结果是，一场新的战争。这场战争并不引人瞩目，但持久、广泛。它模糊了军事与民事、个人与公共、政治与商业的界限。其受害者损失 的是个人数据和知识产权，等他们发现自己遭受了攻击，往往已为时过晚。美国政府一名高级官员说：“零日漏洞将一直存在。这不仅仅涉及保护措施——网络空间 的‘防护墙’、‘护城河’和‘铁丝网’。你必须在一种假设下工作：有时，坏人会侵入。”