計算機戰爭背后的死亡商人揭秘:漏洞高價出售
計算機戰爭背后的“死亡商人”
上個月,谷歌(微博)在溫哥華舉辦了一個比賽,會上這家搜索巨頭以安全著稱的Chrome瀏覽器被黑客們兩度攻陷。這兩種新的黑客攻擊方法都利用了一個作弊網站來繞過Chrome的安全保護,結果成功侵入了目標電腦。雖然這兩次黑客攻擊都攻破了谷歌的防護措施,但這只是第三次真正成功地入侵谷歌系統。
來自法國安全公司Vupen的黑客團隊采取了不同的做法。他們沒有參加谷歌的比賽,而是通過破解Chrome的安全保護以贏得惠普(微博)在同一場大會上贊助的另一場黑客比賽。雖然谷歌向那兩位贏得其比賽的黑客各提供了6萬美元獎金,條件是他們要告訴谷歌他們的攻擊細節,并幫助谷歌修復他們利用的漏洞。Vupen的CEO兼首席黑客查歐基·貝克拉(Chaouki Bekrar)表示,他的公司根本不想將其秘密技術告訴谷歌——當然不會為了6萬美元而進行這種愚蠢的交換。
“我們不會把這種技術告訴谷歌,即使給我們100萬美元也不行。”貝克拉說,“我們不想告訴谷歌任何可以幫助他們修復這個漏洞或其他類似漏洞的知識。這是為我們的客戶保留的。”
畢竟,這些客戶的目的不是修復谷歌或其他任何商業軟件供應商的安全漏洞。他們是政府機構,購買了“零天攻擊”(指在軟件安全漏洞被發現的頭一天便遭到攻擊——譯注)技術或那些利用了軟件中未公開漏洞的黑客技術。他們的目的顯而易見,就是侵入或干擾犯罪嫌疑人和情報目標的電腦和電話。
在陰暗但合法的安全漏洞市場上,“零天攻擊”技術可能會使黑客從軟件公司手中得到2,000或3,000美元,但打算秘密使用這個漏洞的間諜和警察可能會給出10倍甚至100倍的價錢。貝克拉沒有詳細說明Vupen的確切定價,但Frost&Sullivan公司(將漏洞研究領域的“2011年度創業公司”獎授予了Vupen)的分析師表示,Vupen的客戶每年支付大約10萬美元的會員費,從而獲得購買該公司技術的特權。
這些黑客技術包括了攻擊微軟(微博)Word、Adobe Reader、谷歌安卓系統、蘋果iOS系統和許多其他軟件的技術。Vupen在惠普舉辦的黑客比賽上夸口說,他們已經掌握了各大瀏覽器的漏洞。熟悉該公司業務的知情人士表示,Vupen銷售目錄上僅一項技術的價格常常都遠遠超過其六位數的會員費。
即便價格如此之高,Vupen也沒有將其發現的安全漏洞只賣給一家,而是同時出售給多個政府機構。這種商業模式常常使其客戶你爭我奪,生怕在間諜軍備競賽中落后。
貝克拉聲稱,Vupen會仔細核查客戶的背景,只向北約國家的政府和“北約的合作伙伴”出售安全漏洞。他表示,該公司還有其他的“內部程序”來過濾那些非民主國家,并要求買家簽署合同,不得公布或轉售這些漏洞。但即便如此,他承認該公司的黑客攻擊方法仍有可能落入不法分子之手。“我們盡力確保這些漏洞不會從買家的手中外流。”貝克拉說,“但如果你將武器出售給別人,就無法保證他們不會再賣給其他人。”
這種武器貿易的比喻很合Vupen批評者的胃口。隱私保護活動人士克里斯·索菲安(Chris Soghoian)和開放社會基金會(Open Society Foundations)的同仁們把Vupen稱作“為計算機戰爭提供彈藥的當代死亡商人”。在有個漏洞被售出后,索菲安說:“它在黑洞里消失了。他們不知道這個漏洞被如何利用,是否得到了許可,或者是否違反了人權。”
這個問題在去年明明白白地擺在了世人眼前。當時,加州森尼維爾市藍衣系統公司(BlueCoatSystems)的監視裝置被出售給了一家阿聯酋公司,但最后卻在敘利亞被用來監視不同政見者。“Vupen不知道他們的漏洞被如何利用,他們可能也不想知道,只要支票兌現就行。”
Vupen并不是唯一一家出售安全漏洞的公司,但與這家位于法國蒙彼利埃的小公司相比,其他買賣黑客技術的公司,包括Netragard和Endgame以及Northrop Grumman和Raytheon等規模更大的公司,則更加守口如瓶。貝克拉用“透明”來形容自己的公司,而索菲安則說這家公司“無恥”。
“Vupen就是這個行業的Snooki(美國真人秀節目《澤西海岸》的明星,行為大膽出格——譯注)。”索菲安說,“他們尋找宣傳自己的機會,但他們甚至沒有意識到,他們根本不入流。他們就是漏洞交易領域里的《澤西海岸》。”
即使如此,貝克拉也不愿公布收入數據,雖然他堅稱公司實現了盈利。但有個人愿意公布這類銷售數據。他是南非的一位黑客,人稱“Grugq”,住在曼谷。一年多來,除了擔任安全研究員的薪水之外,Grugq還以高端漏洞經紀人的身份賺“外快”,為其黑客朋友和其政府買家牽線搭橋。他表示,他收取15%的銷售傭金,今年很可能從這類交易中掙到100多萬美元。他說:“我現在拒絕做2.5萬美元以下的生意。”僅在去年12月,他就從政府買家手中賺了25萬美元。“年終時的收入簡直肥得流油。”
但Grugq認為,貝克拉的初創公司都是自己尋找安全漏洞,因此更加賺錢得多。“他真他X的聰明。”Grugq說,“主動權完全在他手里。他可以要求客戶按照他提出的價格購買,否則就賣給其他人。”
盡管貝克拉談到了“透明”,但關于他的個人經歷和在創建Vupen之前的工作,甚至是自己的年齡,他都不愿意多說。Vupen是他創建的第三家公司,專注于發現軟件中的安全漏洞。他之前創建的K-Otik和FrSIRT公司都曾公布他們發現的漏洞。即便是在2008年創建了Vupen(這個名字代表了“漏洞研究”和“滲透測試”)之后,貝克拉及其研究人員起初也是與軟件供應商合作,幫助他們修復漏洞。但從360資本合伙公司(360 Capital Partners)和甘特合伙公司(Gant&Partners)獲得150萬美元風險投資之后,貝克拉發現公司可以賺到遠遠更多的錢,方法就是不公開公司發現的安全漏洞,而是以高價出售。
后來,貝克拉甚至公開嘲笑那些產品被其黑掉的公司。2011年5月,Vupen發布了一段視頻,顯示該公司可以侵入運行Chrome的電腦,但沒有向谷歌提供進一步的信息。當谷歌回應稱Vupen利用的是Chrome的Flash插件而不是Chrome本身時,貝克拉在Twitter上指責谷歌試圖淡化其安全漏洞,并說谷歌“太差勁”。作為回應,谷歌的安全人員指責貝克拉無視用戶隱私,并說他是“挑戰道德的機會主義者”。
貝克拉對這種批評不屑一顧。“我們不會這么努力地去幫助數十億美元的軟件公司編寫安全的代碼。”他說,“如果我們想做志愿者,我們會去幫助無家可歸的人。”
