新興網絡黑市銷售零日漏洞
多年以來,黑客們都在從互聯網灰色市場上購買零日漏洞。如今一個新市場希望將這種數字軍火貿易規范化,并通過暗網的匿名保護快速擴張。
上個月,暗網上出現了一個名為“真正交易”(“therealdeal”)的黑市,它的主要業務是向黑客兜售零日攻擊手段。類似于絲綢之路(SilkRoad)及其大量擁躉,“真正交易”使用Tor匿名技術加密連接,交易則使用比特幣,以隱藏買家、賣家、管理員的身份。目前市面上的其它網站只售賣基本的低級黑客工具以及泄露的財務信息,而“真正交易”的組建者則表示,希望吸引高端黑客在這里售賣零日漏洞、源代碼,甚至提供黑客雇傭服務。這些商品都會很吃香,不過在一些情況下,它們都是獨家售賣,并且是一次性銷售。
來自該網站匿名管理員的一條信息中寫道:
“歡迎,我們建立該網站的最初目的是組建一個代碼市場,在這里,購買者可以獲得稀有的信息和代碼。并且,在過程中可以完全避免詐騙和騷擾,享受真正的代碼、真正的信息和真正的產品。”
目前為止,該市場還沒有提供很多可供銷售的漏洞,然而現有的少數幾個令人印象深刻,比如一個標價為用比特幣支付的價值17000美元的漏洞利用工具。它宣稱自己是一種入侵蘋果iCloud賬戶的新策略:通過一個跳板賬戶發起惡意連接,可以訪問任意其它賬戶。該商品在描述中寫道,如果買家感興趣,可以安排演示,通過該方法入侵買家指定的任意賬戶。
其它商品還有:入侵WordPress多站點配置文件的技術、針對安卓平臺WebView股票瀏覽器的漏洞、針對Windows XP、Windows Vista、Windows 7平臺上IE瀏覽器的攻擊(價格為8000美元,比特幣支付)。賣家寫道:這是兩個月前通過Fuzzing技術找到的零日漏洞,隨時有可能被發現,除非報酬很高,否則不會隨便說。賣家還表示,可以利用通常方法做演示,如果有意請私信,不要浪費時間。Fuzzing是一種通過發送隨機垃圾流量來測試對方什么時候會崩潰的漏洞探測技術。
蘋果、WordPress、谷歌、微軟在該網站受到媒體曝光后還沒有給予評論。
需要說明的是,上面列出的漏洞都沒有被驗證是否真實可行,研究人員也沒有什么合法的方式來測試它們。價格為17000美元的iCloud漏洞看上去特別誘人,因為它的功能包括獲取用戶的全部敏感信息,包括Email和照片,價格也并不貴。舉例來比較的話,該商品的賣家表示2012年的一個iOS漏洞可以賣到最高25000美元。2013年,紐約時報報道,這個標價為25000美元的漏洞被以50000美元的價格賣給了其它國家。
“真正交易”官方也給出了針對假貨的應對措施,類似于絲綢之路,該網站的交易模式是第三方托管,交易中的比特幣被放置在第三方,如果賣家不發貨,買家可以獲得退款。和大多數暗網市場不同,“真正交易”還提供一種名為多重簽名的交易技術。這意味著托管著比特幣的第三方域名同時被買家、賣家和網站管理員所控制,在買家確認收貨時,至少需要三方中的兩方簽名同意,這給了網站方面一定的仲裁權。不過研究人員目前還不清楚網站方面如何進行仲裁。在很多情況下,“真正交易”網站的管理員可能會親自測試有爭議的漏洞,以確認買家是否被騙。
顧客經常擔心市場本身會竊取他們的比特幣,“真正交易”網站在解決這方面的疑慮方面做得也比現有網站要好。“真正交易”根據交易額大小收取3%或0.1個比特幣的手續費,但并不需要用戶將比特幣存儲在自身控制的比特幣賬戶下。因此,它沒辦法像之前的Sheep Marketplace和Evolution這些交易網站一樣卷錢跑路。之前發生的幾個案例里,
網站跑路卷走了數百萬比特幣。網站FAQ中寫道,我們沒有比特幣錢包,我們不想要你的比特幣,并可以保證我們不會在未來的某一天帶著你的比特幣跑路。
像大多數暗網市場一樣,“真正交易”網站的運營方身份是一個謎。網站的管理層并沒有立即響應研究者的采訪請求,創建人將自己描述成信息安全領域的專家,專注于銷售零日漏洞。在接受暗網博客DeepDotWeb采訪時,網站管理層在Q&A中表示,他們由四個人組成,每個人在信息安全領域都有很深的經驗。
“我們對于傳統的未加密互聯網上的零日漏洞代碼、數據庫有很深的經驗,但問題在于,這方面90%的賣家都是騙子。技術功底深厚的買家總是能夠通過商品描述信息和賣家演示判別出騙子,但有些賣家非常聰明狡猾。因此我們決定開發一個相對來說可信的網站,在提供防騙功能的同時保持高度的匿名性。”
“真正交易”在將這種灰色經濟帶到互聯網上方面并非首創。一個名為WabiSabiLabi的網站在2007年開始運行,目標是成為銷售漏洞的eBay。但由于賣家很難在不完全向買家展示漏洞本身的情況下提供可信的演示,該網站迅速垮掉了。盡管提供了多簽名保護和第三方托管服務,“真正交易”很有可能會面對同樣的問題。
不像零日漏洞行業里的其它成員,“真正交易”并不會遇到道德或法律方面的障礙。比如法國的黑客公司Vupen聲稱自己只向北約成員國出售零日漏洞。近年來,零日漏洞銷售已經稱為地下市場的重要交易項目,政府的情報和執法機構往往是出價最高的買家。“真正交易”采取的Tor加密和賣家匿名策略可能會將政府方面的買家拒之門外,但這種匿名性相反地會吸引一些網絡罪犯或受雇于獨裁政權的黑客。
“真正交易”屬于不合法網站,它還銷售洗錢服務、被盜賬戶。買家可以自助選購大量的不合法商品,零日漏洞只屬于該網站提供的LSD、安非他明、被盜賬戶項目中的特色商品。
暗網經濟正在向發展成為真正的、非法的自由市場步步邁進,“真正交易”只是其中的一個代表。盡管絲綢之路也容忍賣家在網站上出售一些簡單的黑客工具,它還是基本執行了“無受害人”策略的。
“真正交易”沒有這一類規范。它只包含兩條規則,其一,禁止兒童色情;其二,禁止”doxing”,也就是發布特定用戶的個人信息。但只要這種零日漏洞的銷售保持匿名的形式,個人信息遲早成為交易中的一環。
原文地址:http://www.aqniu.com/news/7372.html
