據雅虎新聞網5月11日引言路透社的報道：即使美國政府在普遍的互聯網間諜上遭遇強勁對手，它已成為這一迅速發展的灰色市場的最大買家，黑客和安全公司紛紛出售入侵計算機的工具。

美國的戰略引起了技術行業和情報界的擔心，華盛頓事實上是在鼓勵黑客行動，未能向軟件公司和用戶披露購買的黑客工具所利用的漏洞。

這是因為美國情報和軍事機構沒有在購買主要用于抵御攻擊的工具。相反，他們在使用滲透海外計算機網絡的工具，對能干擾數據或危害系統的間諜計劃和網絡武器不予理睬。

核心問題是：間諜攻擊和網絡武器依靠現有軟件程序中的漏洞，如果缺陷通過公共警告得以曝光，那么這些黑客技巧就不那么管用。所以，政府在進攻性技巧上花費約多，其對確保廣泛使用的軟件中的安全漏洞不被修補的興趣越大。而且，投向進攻的資金會將從事防御的一些天才研究人員吸引過來，而納稅人的錢在停止流向技藝高超的黑客的同時供應給了犯罪集團。一位曾經在國家安全局工作過的推特公司的安全研究人員查理米勒說：“唯一付出代價的人是從事進攻性工作的一方。”

國家安全局發言人同意說黑客工具的擴散是一個重大關切，但不愿對該局購買這些工具中所起的作用進行評論，稱話題“敏感”。

美國的進攻性網絡戰戰略——包括總的綱要和總的開支水平——是保密信息。官員從為公開承認從事進攻性網絡戰，盡管有一次被廣泛報道 ——使用“震網”病毒破壞伊朗核研究計劃——受到華盛頓的稱贊。

之前官員向路透社確認美國政府驅動了“震網”的開發，五角大樓正在通過新組建的網絡司令部擴展其進攻性能力。

“震網”病毒盡管不是一般的厲害，但不是一個孤立案例。公共和私營部門的計算機研究人員說美國政府主要通過防務承包商來代理，已經成為建立模糊而龐大的被成為黑客程序的商業市場的主要推手，黑客程序挖掘隱藏的計算機漏洞。

從最常見的用途來看，黑客程序很重要，但在大型程序中是可相互交換的組件。這些程序可盜竊金融賬戶的秘密，將iPhone轉換為監聽設備，或向“震網”病毒破壞核設施。

想象一下一個布滿暗門的大型建筑，每道門都有不同的鑰匙。只要你發現正確的鑰匙，每道門你都可以進入。

對鑰匙的爭奪日趨激烈。根據資深的研究人員和政府前高級官員稱，國防部和美國情報機構，尤其是國家安全局投入巨資獲取有關商業計算機系統的漏洞信息并加以利用的黑鞋程序，他們將安全研究世界完全顛倒了。

許多天才的黑客曾經向微軟之類的安全公司提出過其產品的安全缺陷，他們現在開始向最高價的競標者出售信息和黑客程序，有時通過中間人來交易，他們與最后的買家從未謀面。工業主管們私下說，國防承包商和機構一年至少花費上千萬美元購買黑客程序，它們是巨大的網絡武器行業的一個重要組成部分。

前白宮網絡安全顧問霍華德斯密特和理查德克拉克在接受采訪時說，政府在這方面一直將重點過多地放在進攻性能力上，置美國公司和消費者于風險之中。

克拉克說：“如果美國政府知道了可以利用的漏洞，正常情況下，其首要任務是告訴美國用戶。應該有某種機制，決定他們如何在進攻和防御中利用這些信息，但現在還沒有這種機制。”

前國家安全局局長米克爾海登承認存在戰略權衡，稱：“傳統上在保護進攻性能力和加強防御之間一直要謹慎計算。鑒于我們所遭受的損失，在重要的政策層面我們應該重新解決這一問題。”

這一問題是敏感的，它正值美國最新披露了遭受黑客攻擊的幅度和規模，而且美國情報官員將攻擊矛頭指向中國之時。中國官員否認這些指責，稱他們也是黑客攻擊的受害者。

今年，美國官員告訴國會說脆弱的互聯網安全已經超越恐怖主義成為美國最大的單一威脅，良好的風險信息共享十分重要。但進行之中的美國兩大倡議計劃——網絡安全立法正在國會討論，奧巴馬總統2月份的行政命令——都沒有要求國防和情報機構擴散他們所知道的漏洞以幫助私營部門進行自我防御。

多數公司，包括微軟、蘋果和Adobe系統公司原則上不會向報告缺陷的研究人員支付報酬，稱他們不希望鼓勵黑客。那些支付“獎賞”的公司，包括谷歌和臉譜公司，稱他們身處困境，希望競爭到國防工業的經費開支。

一些國家安全官員和安全主管稱美國的戰略邏輯上是完美無瑕的。美國政府最好能夠購買黑客程序以免落入獨裁者或有組織犯罪分子的手中。

當美國某機構知道了某個漏洞，但并未向公眾提出警告，就會出現意料之外的后果。如果惡意力量購買了有關漏洞的信息或獨立發現了這一漏洞，在公司研發出補丁之前，他們就可以用來造成損害或進行間諜或欺騙活動。而且，當美國推出一種含有黑客程序的軟件程序時，在發出公告警告或補丁之前可以被發現并迅速復制，用來攻擊美國的利益。

即使發布補丁之后也會發生一些損失。

微軟及其客戶就曾發生這種事情。就是一款很小的被稱為Duqu的惡意軟件。專家說它是設計用來竊取伊朗的工業設施的設計，它被用作黑客程序，引發計算機安裝偽裝成字體的惡意軟件。

2011年發現之后分析這一程序的人認為它是美國機構制造的。盡管 Duqu在某些方面很像“震網”病毒。但他們不能確定它是如何組裝的，或這一間諜工具是否完成了使命。

可以肯定的是黑客復制了Duqu原先聞所未聞的入侵計算機的方法，轉變為“利用工具包”，一個被稱為黑洞，另一個被稱為Cool。這兩個工具被賣給全世界的黑客。然后微軟發布漏洞補丁。

盡管如此，據芬蘭一家名為F-Secure的安全公司稱，黑客去年用它攻擊了美國千分之十六的計算機，其他一些國家比例更高。在2012年下半年，這一漏洞成為已知上萬漏洞中被使用的頻率名列第二。當黑客程序工作時，黑客就安裝許多惡意軟件，包括用于盜取金融登陸信息的臭名昭著的Zeus病毒軟件，該軟件從銀行盜取了幾千萬美元。微軟公司不愿說該公司是否就Duqu和其他程序與美國官員進行對質，但一位主管說該公司反對“我們的產品被用于惡意目的。”

美國前國家安全局局長海登和其他高級官員夸口說美國網絡空間的進攻性能力是全世界最好的。但在2010年之前，當一個小型實驗室發現名為“震網”的蠕蟲病毒時，外界對此幾乎沒有一無所知。

幾個國家的安全專家小組花費了幾個月對該病毒進行了解析。他們發現它是經過精心設計的，從便攜的閃存盤發送的，通過聯網的基于Windows操作系統的個人計算機進行擴散，入侵到運行德國西門子公司制造的工業控制軟件的機器。

“震網”病毒在許多方面是獨特的。其中之一是利用了Windows系統四個原先不知道的漏洞。在工業界，這種漏洞的利用被稱為“零時差攻擊”。漏洞被報道后，安裝安全補丁花了幾個月。

即使明白軟件得到更新，零時差攻擊也將起作用。專家稱及時是某個程序的一次的零時差利用都說明肇事者是認真的。一次廣為人知的針對谷歌的黑客吸行動就是利用的一次零時差攻擊。美國官員和私營部門專家將此事歸咎于中國政府的黑客。

許多零時差惡意程序似乎是情報機構所為。但私營公司也在紛紛雇傭程序員識別漏洞，然后編寫惡意代碼。一些買家說，一個零時差（惡意程序）的啟動率是5萬美元。這個全球市場是秘密進行的，一些公司常常充當中間人。買方是美國政府的機構和將惡意程序轉變為網絡武器的防務承包商。由于沒有規章，不好說還有誰可能在購買零時差攻擊惡意程序，但已知的客戶包括有組織犯罪集團和對公民進行間諜活動和鎮壓的政府。

及時“震網”病毒利用的四個惡意程序之一也被人購買。瑞典防務研究局專家戴維林達爾說在“震網”發現之前，俄羅斯一款名為Zlob的犯罪軟件也曾使用了同樣的把戲。同一個人可能將這一惡意程序賣給了美國和俄羅斯犯罪分子。但他說也不能排除這是同時的發明。

美國官員知道利用漏洞的對手國家和犯罪組織但卻將之保密是一個很大的關切。美國國家安全局不愿說它是否發生或如何發生的，但研究人員說同時的安全發現經常發生。

中國被認為依靠自有的程序員從事了很多的惡意攻擊。

阿根廷一位名為Cesar Cerrudo研究人員是首批公開出售零時差攻擊程序的人。他說他曾對來自中國的一些請求不予理睬，也后悔向歐洲的一家研究機構出售惡意程序，但他不愿說出它的名字。后來，他從一個國家政府收到了一大筆資金。他現在在西雅圖的一家咨詢公司工作，為公司客戶提供安全咨詢。

位于巴黎的一家名為Vupen的安全公司向世界許多情報、執法和軍事當局出售基于漏洞利用的工具。但不像伊朗和北朝鮮這樣的國家出售，稱它自愿遵從歐洲和美國的限制武器出口的規定。

直到2010年，Vupen公司經常免費通知軟件銷售商它所發現的漏洞。但現在這一狀態已經改變。當軟件制作者不同意補償機制時，Vupen公司就會選擇賣給政府。

這一市場的新加入者是位于馬耳他的ReVuln公司，專門制造用于工業控制系統的漏洞利用程序。這是政府的一大隱患，因為這種系統是恐怖分子和敵對國家的主要目標，會造成巨大的人員傷亡。

進攻性網絡戰的許多工作都是美國防務承包商來做的，現在有許多風險投資背景的新公司加入，他們為許多基于漏洞利用的網絡武器尋找政府買家。防務承包商既購買也生產。其中不乏雷神、諾格、哈里斯這樣的大公司。他們并購了一些專門從事漏洞發現和惡意程序編寫的小公司。

路透社檢查了一架大型承包商的產品目錄。其中有一種產品能將任何一款iPhone轉變為房間范圍監聽設備。另一種產品是在打印機或其他設備上安裝間諜軟件的系統，并通過無線電波將惡意軟件轉移到設備附件的計算機中，即使機器沒有與任何事物連接。

還有一些訪問計算機或電話的工具，收集不同種類的數據的工具以及將信息偷偷傳出去的工具。多數這些惡意程序在10萬美元以上。其中絕大部分依靠零時差漏洞利用。

情報機構有很好的理由將許多間諜軟件的開發工作交給外部人士。因為這就像彈藥的開發。只有當銷售商證明管用時他們才會購買。 知遠/嚴美