本文转载自微信公众号“数世咨询”(dwconcn)。
零日漏洞是间谍工具和 *** 武器的原材料。由于国家资源的支持,漏洞交易利润巨大,这也是中间人从未公开讨论的原因。
▶ 危险之旅
20132000年,关于我开始了解零日漏洞的谣言突然传开。零日漏洞的交易者和漏洞交易者,包括使用代码编写漏洞的人,都开始警惕我。我被拒绝参加黑客论坛,有些人甚至花钱雇人入侵我的电子邮件或手机。但我无意中知道的信息是我继续旅行的动力。
世界基础设施竞争已经转移到在线,数据也不例外。访问这些系统和数据最可靠的 *** 是零日漏洞。零日漏洞已成为美国间谍活动和战斗计划的关键组成部分。斯诺登事件已经明确表示,美国是该领域更大的玩家,但我知道美国不是唯一一个,高压政权正在赶上,这样的市场很快就会出现,以满足需求。到处都是漏洞,其中许多是我们自己创造的,强大的力量(包括我们的 *** )一直在保证这个环境,所以很多人不想让这些故事公开。
在零日市场的早期,找到一个愿意说话的人花了几年时间。很多人从来没有回应过,有些人只是挂断了 *** 。其他人告诉我,不仅他不能告诉我市场,他还警告他认识的所有人都不能告诉我市场上的事情。他还告诉我,如果我继续下去,我会把自己放在一边“危险”之中。
“你会到处碰壁,妮可”--当时国防部长Leon Panetta
“祝你好运”--前国家安全局长Michael Hayden
做这一行,把嘴管严是必须的。每一笔交易都需要谨慎,大多数都是保密协议。谁的保密性做的好, *** 就越愿意和他交易,他就会越赚钱。反之则反之。一个居住在曼谷的南非人,叫格鲁格,在推特上有超过1万个粉丝。2012年,公开的与一个记者谈论漏洞交易,还出现在《福布斯》杂志上。结果被列入“不受欢迎的人”, *** 不再和他交易了。没有人愿意跟随他的尘埃,所以我只能搜索公共信息并深入其中,直到我找到一个零日的中间人,我才能理解“不为人知”零日市场的故事。
▶ 先驱者
每个市场都是从赌博开始的。我所知道的零日市场始于一场10美元的赌博。这笔钱是约翰·沃特斯收购 *** 安全公司iDefense愿意付出的价格。那是在2002年夏天,沃特斯是一个对 *** 安全一无所知的德克萨斯人。他认为,10美元是一个很好的出价,一家每月花费数百万美元,不知道什么时候能挽回损失的公司。当时,互联网泡沫正在破灭,iDefense纳斯达克指数已经几周没有支付工资了,达到了历史更低点,5万亿美元的纸质财富在股市蒸发。在接下来的两年里,一半的互联网公司消失了,甚至iDefense员工也认为公司没有机会。
iDefense它是一家威胁情报公司,主要客户是大银行和一些 *** 机构。通常,威胁情报意味着软件中的漏洞。攻击者利用这些漏洞入侵受害者的 *** ,最终窃取他们的数据。但问题是iDefense提供的信息并不独特,许多原始信息都是免费收集的BugTraq这种黑客论坛。沃特斯走进来iDefense总部那天,iDefense很可能会失去BugTraq访问机会。因为就在同一天,网安巨头赛门铁克以7500万美元的价格收购了它BugTraq的运营方SecurityFocus。如果赛门铁克关闭了外BugTrag的访问,iDefense就完蛋了。
大卫·恩德勒曾在国家安全局工作,桑尼尔·詹姆斯刚从大学毕业两年。iDefense实验室的年轻黑客为沃特斯提供了一个“孤注一掷”计划。他们认为,当今世界有一个未开发的市场来寻找漏洞。多年来,对于漏洞发现者来说,没有800个 *** 。无论发现什么产品或系统漏洞或代码错误,对方都不会回应。在更多的情况下,律师要求他们停止对相关企业的产品“刺探”。即使企业修复了产品问题,这些补丁往往包含惊人的错误。
代码每天都会产生漏洞。黑帽子利用这些漏洞获取利益,进行间谍活动,造成数字灾难。白帽子失去了向制造商提交漏洞的动机。制造商更倾向于解决他们的产品问题(用法律程序威胁漏洞发生者)。运行漏洞软件的组织为攻击者打开了大门。因此,两位年轻黑客希望为漏洞发现者提供免费的高质量保证,而不是经常受到惩罚。恩德勒和詹姆斯告诉沃特斯他们的想法。
支付报酬购买黑客提交的漏洞,然后iDefense在补丁出来之前,这些漏洞会给相应的科技公司开发补丁,iDefense临时安全解决方案也可以提供。沃特斯同意了。所以在2003年,iDefense成为业内之一家向黑客敞开大门,愿意为漏洞买单的公司。
▶ 市场开始形成
起初,詹姆斯和恩德勒并没有意识到他们在做什么。市场还不存在,至少据他们所知,没有竞争对手。两人给出了一个有点奇怪的价格表,一个是75美元,另一个是500美元。在最初的一年半时间里,有成千上万的漏洞,其中一半非常糟糕。他们考虑过拒绝,但仍然认为有必要建立信任,以吸引更多的黑客带来更好的漏洞。
事情已经完成了。来自土耳其、新西兰和阿根廷的黑客,甚至包括一名13岁的美国黑客,开始向漏洞提交漏洞iDefense,这些漏洞包括防病毒软件、密码截获从用户和他们的浏览器中窃取数据等。事实上,当该项目在2003年引起关注时,沃特斯开始接到许多来自大型科技公司的 *** ,发泄他的愤怒并指责他iDefense邀请并付钱给黑客寻找他们产品的漏洞。但到2003年底和2004年,一些人声称他们是 *** 承包商,愿意为漏洞付出更高的代价(iDefense当时更高的漏洞报酬是1万美元,他们愿意出15万美元),只要iDefense不要告诉别人这个漏洞。使用这些漏洞可以开发间谍工具和 *** 武器来对抗美国的敌人,没有人知道这些漏洞的存在。事实上,他们的价格远远超出了沃特斯的想象。
沃特斯拒绝了,对方转而用,比如“为了你的国家”爱国主义之类的说法。沃特斯虽然是爱国主义者,但毕竟也是商人。“这会让我们完蛋,如果和 *** 合谋在客户的核心技术上留下漏洞,这就是在坑客户。”
承包商终于明白了沃特斯的决心,但沃特斯感受到了风向的变化。黑客开始要求六位数的报酬,半年前只有1000元左右。所以黑客开始寻求其他选择,类似于Digital Armaments这样一个神秘的团队开始出现在互联网上,为甲骨文、微软和VMWare零日漏洞提供高达五位数的奖励。很快,沃特斯判断了他们创造的潜在市场价值,最终在2005年7月以4000万美元的价格出售了他以10美元购买的产品iDefense。
“这将是一笔大生意,”零日市场上最早的中间商告诉我。这是2015年秋天。经过两年的努力,零日交易员终于同意与我面对面交谈。
▶ 萨比恩的故事
那一年十月,我飞到华盛顿杜勒期机场去见一个人,在那里我不得不称他为“杰米·萨比恩”。萨比恩已经离开零日市场好几年了,但由于他的经验,这些 *** 机构仍然是他目前的业务客户。他同意和我谈谈,只有当我不能使用他的真实姓名时。萨比恩是之一个为沃特斯提供15万美元的人iDefense给黑客不到1000美元。“你无法想象这是多少利润,”十多年后,说起这件事,他还是摇摇头。
在开始零日业务之前,萨比恩负责保护世界各地的军事计算机 *** 。我们安排在纽约博尔斯顿的一家墨西哥餐馆见面,离他的前顾客只有几英里。
20世纪90年代末,萨比恩加入了一家 *** 承包商,首次代表美国情报机构参与零日交易。在此期间,零日交易并没有成为秘密,也就是说,如果你和像我这样的人交谈,就不会违反任何法律。但他仍然坚持不透露自己的名字。
萨比恩告诉我,他可以通过保护军事 *** 深入熟悉技术漏洞。在军队中,安全通信往往意味着生存和死亡之间的差异,但对于大型科技企业来说,似乎没有意识到这一点。“在设计系统时,每个人都很清楚要完成的功能,而不是安全。它们不考虑如何操作系统。”
离开军队后,如何使用计算机系统已经成为萨比恩的主要业务。萨比恩受雇于华盛顿周边的一家 *** 承包商,管理着一个25人的团队,为美国 *** 开发入侵工具。萨比恩意识到,如果没有黑客工具,它们就不起作用。可靠访问目标计算机系统是最重要的。
“也许你是世界上更高水平的珠宝盗贼,但除非你知道如何绕过警铃系统,否则你无法进入任何地方。访问为王。”
萨比恩的团队私下交易数字访问,搜索漏洞,为客户编写漏洞使用代码。这些大收入的80%来自五角大楼和情况机构,其余来自执法机构。目标是帮助这些机构找到进入敌对系统的秘密 *** 。敌人将是国家、 *** 、贩毒集团或低级罪犯。
有些项目靠运气,如果发现通用性广的产品漏洞,比如Windows,他们将开发一个漏洞利用程序,并尽可能多地出售给更多的机构。但大多数工作都是有针对性的:例如,情报机构希望监视俄罗斯在基辅的大使馆,巴基斯坦在贾拉拉巴德的领事馆。萨比恩的团队必须进行侦察,识别目标计算机及其操作系统环境,并找到进入内部的 *** 。
只要是人们编写的代码,人们就会设计、建立和配置组织,就会有进入的 *** 。但发现漏洞只是成功的一半,另一半是 *** 和抛光漏洞利用程序,为 *** 机构提供可靠、清洁的入口。
萨比恩的客户不满足于只能访问。他们想要的是不被发现的潜入。一种种植隐形后门的 *** ,即使在入侵和被发现后,也可以继续潜入。他们应该将敌人的数据拖回他们的命令控制服务器,而无法触发警报。
“他们想要的是整个“杀伤链”,进入、传输命令、泄露数据、隐藏等能力。类似于特种部队和海豹六队,他们有狙击手、扫雷手、疏散人员甚至破门员。”零日漏洞利用程序和木马提供可靠性、不可见性和持久性。这是一系列的链接。这三个特性很难同时具备,但一旦具备,“搞定!”
我请他谈谈具体的漏洞使用程序。他像初恋一样回忆起自己的更爱。那是音频存储卡的零天。存储卡在计算机固件中运行,因此几乎无法找到和删除。唯一的办法就是扔掉电脑。“这是利用漏洞的更佳方式。”
进入计算机后,间谍首先要做的就是监视其他间谍。如果发现已经发现了,无论对方在做什么,如果有人使用这台计算机向命令服务器发送信息,他们都必须删除它。在同一台计算机上发现其他间谍是很常见的,尤其是在高级外交官、军火商或 *** 的 *** 上。有一台惠普打印机在0天内被使用“世界各地的 *** 机构”这个漏洞可以通过打印机捕获任何文件来建立“滩头堡”,而这个滩头堡IT管理员很难怀疑。
起初,没有多少 *** 机构在寻找零日武器库。国家安全局曾吹嘘自己在情报社区拥有更大、最有能力的 *** 军队,当时情报机构并不寻求外部帮助。然而,在20世纪90年代中期,随着互联网在公众层面的普及,越来越多的情报机构害怕落后于互联网应用的发展。20世纪90年代末,中央情报局的一个特别工作组判断,他对这一趋势缺乏准备,其他情报机构也有同样的理解,甚至认为自己更落后。因此,对零日漏洞的需求迅速增长。
几乎与此同时,肯尼亚、坦桑尼亚等美国非洲大使馆的炸弹事件推动了需求的爆发。20世纪90年代,国会一直在削减军费,但坚持批准模糊“ *** 安全”预算,无论是攻击还是防御。政策制定者认为,利用前美国战略指挥官詹姆斯·伊利斯的话, *** 冲突“就像里奥格兰德河一样,一英里宽一英寸深”。在各种情报机构中,每个人都认为更好的零日漏洞利用意味着更好的情报,这意味着更多的预算投资。
正是在这一需求即将爆发的时期,萨比恩进入了零日交易市场。
他的团队研发的零日漏洞利用程序不足以满足大量的需求,而不同的情报机构要的是进入相同系统的 *** ,于是萨比恩把同一个漏洞利用卖给了多个机构。在1998年大使馆爆炸事件和2001年的911事件之后,从国防部到情报机构再到 *** 承包商,在接下来的5年时间里,年年保持50%对数字化间谍活动的需求增长。
发现和开发漏洞使用程序需要时间,所以萨比恩认为,挖掘和外包漏洞将是节省时间和提高工作效率的最有效 *** 。他们仍然会写漏洞使用程序,但为什么不使用大量的外部黑客资源来为他们提供呢?“原材料”呢?
“我们知道我们找不到所有的漏洞,但我们也知道它的门槛很低,任何人都可以以2000美元的价格买到戴尔的漏洞。”
20世纪90年代末,萨比恩的团队开始寻找外部黑客资源,美国的地下零日市场诞生了。正如上述,这个市场也诞生了iDefense与其他类似的提供商。
萨比恩的故事就像一部间谍小说,充满了隐藏的杀戮会议、充满现金的口袋和隐藏的中间人,但这不是文学作品或想象中的图片,这是真实的。
▶ 爆发
20世纪90年代, *** 机构以约100万美元的价格购买了10组漏洞,萨比恩团队花了一半的钱购买漏洞,然后开发了自己的漏洞利用程序。一个类似windows一般系统的漏洞价格为5万美元,但如果是一个很少被关键敌人使用的系统,漏洞价格将达到10万美元。更重要的是,如果 *** 间谍能够深入敌人的系统而不被发现和潜伏很长一段时间,价格很容易达到15万美元。
为萨比恩提供漏洞的黑客主要在东欧。苏联解体后,有很多技术熟练但没有工作的人。在欧洲,一些15岁和16岁的年轻黑客经常向 *** 机构或 *** 人出售他们发现的漏洞。萨比恩告诉我,一些最有才华的黑客是以色列的退伍军人,其中更好的黑客之一是一个只有16岁的以色列男孩。
零日交易是一项秘密而乏味的业务。萨比恩的团队不能直接打 *** 给黑客,让他们发送漏洞,然后发送支票。漏洞和使用程序必须在各种系统上仔细测试。有时黑客会在视频上演示,但大多数交易都是面对面的,通常在黑客聚会的酒店房间里进行。
萨比恩的业务越来越依赖中间人。几年来,为了购买波兰或整个东欧黑客提供的漏洞,经常出现一个装着几十万现金的旅行袋扔到零日中间人面前的场景。
依赖信任和缄默法则是贯穿整个零日交易链条的关键。 *** 必须信息承包商能交付有效的漏洞,承包商必须信任中间人和黑客不会擅自暴露漏洞,或是将漏洞再次转卖给敌对方。黑客必须信任承包商会付钱给他们,而不是拿到漏洞演示之后自己开发将漏洞据为已有。那个时候还没有比特币,一些支付会通过西联汇款,但大部分还是通过现金。
如果你参与过这个市场,你就会知道这笔交易的效率有多低。这就是萨比恩在2003年注意到的原因iDefense公开购买漏洞并打 *** 给沃特斯的原因。
承包商的做法对于沃特斯来说是愚蠢的,甚至是危险的,他致力于促进漏洞市场的开放。“没有人想公开谈论他们在做什么,”沃特斯记忆。“整个过程都被一种神秘的气氛所包裹。但市场越不透明,效率就越低。市场越开放,就越成熟,买家的主动权就越大。如果你不打开潘多拉的魔盒,价格就会一直上涨。”
到2004年底,来自 *** 和前台公司(掩盖真实身份的幌子公司)的大量需求不断提高漏洞利用价格,给予iDefense它带来了巨大的竞争压力。然而,随着市场的扩大,真正给沃特斯带来麻烦的不是市场水平的影响,而是全面 *** 战的可能性。“就像在地下市场拥有核弹一样,它可以在全世界无法控制的情况下出售。”
冷战的确定性促进了野蛮时代的数字世界,没有人能确定敌人会出现在哪里,也没有人能及时出现。美国的情报机构越来越依赖 *** 间谍来收集尽可能多的敌人数据。不仅仅是监控,他们还寻求破坏基础设施和电网的代码。渴望这些工具的华盛顿承包商每年以两倍的速度增长。
更大的承包商,如洛克希德·马丁,雷神,诺斯罗普·格鲁曼、波音等有时间雇佣更多的 *** 安全专家,所以他们从情报机构挖掘人员,收购更小的承包商,如萨比恩的团队。情报机构开始从法国的一家零日 *** Vupen获用漏洞。这个 *** 现在是Zerodium。他们在华盛顿周边设立了办事处,并在网上明确定价,提供高达100万美元的远程入侵奖励(现已达到250万美元)iPhone的漏洞。
该公司网站上的标语:“我们付出了很多钱,而不是漏洞赏金。”前国家情报局的人员也开始建立自己的业务,比如Immunity Inc,为外国 *** 提供间谍技术培训。一些承包商,如CberPoint,阿联酋 *** 奖励了国家安全局的黑客,因为他们帮助阿联酋成功入侵敌人。巨大的需求不断推高漏洞的价格,不久之后,另一家零日交易员Crowdfense,出价比Zerodium要高出100万美元。最后,这些工具将被美国使用。
当萨比恩同意在2015年与我见面时,零日市场已经真正形成。“20世纪90年代,利用和交易开发漏洞只是一个小圈子。现在非常商业化,”他挥动手指画了一个大圈子,象征着华盛顿街的承包商。“我们已经被包围,有100多家承包商在经营这项业务。”
美国 *** 机构形成的市场不是萨比恩退出的原因,而是海外需求给他带来的不安。“每个人都有自己的敌人,即使是你从未想过的国家也会在紧急情况下积累漏洞。大多数国家只是为了保护自己,但很快他们意识到他们必须伸出手去触摸别人。”
“如果你继续这样下去,你肯定会遇到一定不好。”说完这句话,萨比恩起身离开了。
注:本文摘自《他们是如何告诉我世界结束的》一书,作者妮可·佩尔罗斯。译者写的小标题。