地下黑市0day市場價格清單遭曝光
機密黑客技術,或者俗稱為“零日漏洞”,早已作為一種產品在黑市當中交易流通。這類技術往往包含著企業當中某些軟件的安全漏洞信息或者窺探敏感隱私信息的途徑。而對那些專門從中獲利的中間商而言,零日漏洞只是一種稀松平常的可交易商品,他們甚至會為這類黑客技術編寫一套完整的價格清單。
就在本周三,零日漏洞中間商、初創企業Zerodium公司居然破天荒地公布了這樣一份不同類型數字化入侵技術與軟件目標的價格清單。這份清單是該公司從某個黑客組織手中所買到,并隨后通過訂閱服務的方式將其轉售給客戶——其中還包括多個政府機構。這份清單列出了面向數十種不同應用程序及操作系統的具體黑客攻擊方法,每一項都提供極為詳細的實現方式。其詳盡程度在黑客技術交易黑市當中都是極為罕見的。“零日漏洞業務的首要原則就是絕對不要公開討論價格,”Zerodium公司CEO Chaouki Bekrar在一條寫給《連線雜志》的消息當中指出。“所以我想,我們應該公布自己買到的這份價格清單。”
“零日漏洞業務的首要原則就是絕對不要公開討論價格。”
一次黑客攻擊活動有可能以遠程方式徹底侵入受害者的計算機設備并掌控其Safari或者IE瀏覽器,而完成這項任務的黑客能夠獲得5萬美元的收益。谷歌Chrome瀏覽器的攻擊難度更高一些,Zerodium公司給出的對應價位為8萬美元。以遠程方式突破Android或者Windows Phone設備的價格更高,買家需要為此支付10萬美元。而iOS攻擊則難度最大,高達50萬美元的開價也成為此次曝光的清單當中最昂貴的選項。
下面來看由Zerodium公司提供的完整清單圖表:
Zerodium公司給出的不同零日漏洞黑客技術完整價格清單。
Zerodium公司明確警告稱,任由由Zerodium公司買下并轉售的零日漏洞必須接受其監控;企業黑客不得將其轉售給其他買家或者將其提交給相關軟件供應商——因為后者可能會發布補丁以保護用戶并導致攻擊手段失效。該公司還規定,其只會付費購買那些“原創的、獨家的且此前未被報告過的零日漏洞信息。”
換言之,Zerodium公司會嚴格保證始終向保密客戶提供新鮮出爐的黑客技術。該公司還表示能夠為包括“政府機構在內的各類買家提供指定且有針對性的網絡安全服務,”并利用這些信息幫助企業客戶提前對潛在攻擊進行防御。Zerodium公司創始人Bekrar指出,Zerodium的客戶們會以每年至少50萬美元的價格購買訂閱服務,旨在獲取對這些安全漏洞的訪問權限。雖然不會透露任何特定客戶的名稱,但Bekrar所效力的上一家初創企業法國Vupen公司曾公開表示,其曾經為包括北約內部以及“北約盟友”國家的多個政府機關提供零日漏洞信息。新聞調查網站Muckrock于2013年曾通過信息自由申請了解到,Vuper公司的客戶甚至包括美國國安局。
公開零日漏洞價格清單對黑客技術市場上的交易活動有何影響目前尚不明確。而且這實際上有可能鼓勵更多技術人員將自己發現的黑客入侵方案在地下交易平臺上銷售;獨立安全研究人員長期以來一直抱怨缺少充足的零日漏洞資源交易渠道,這使得他們很難拿到一個相對“公平”的價碼,前美國國安局黑客Charlie Miller在2007年發表的一篇論文當中指出。Bekrar于今年7月建立的Zerodium公司則顯然成了這群獨立安全研究人員眼中的最佳擺攤地點。“有了Zerodium,安全研究人員終于能夠依靠自己的辛勤工作與發現換取回報了,”他寫道。
公開交易秘密入侵技術同時也使得Bekrar成為隱私保護社區與軟件開發商的炮轟目標,他們認為Zerodium這樣的組織使得依靠安全漏洞牟利變得更加輕松。谷歌公司的安全人員Justin Schuh甚至一度將他稱為“挑戰倫理道德的機會主義者”。美國公民自由聯盟首席技術人員Chris Soghoian也將Bekrar建立的Vupen稱為“現代背景下的死亡商人”,出售的則是“網絡戰爭中的子彈。”
即使只是單純為了進行營銷,這份價格清單也有可能透露出一些與特定軟件安全漏洞相關的有價值信息。
在Soghoian看來,Bekrar之所以決定公布這份零日漏洞價格清單,其目的絕不是為了增加零日信息交易市場的透明度,而完全屬于精明的營銷手段。“Chaouki的Vupen以及如今的Zerodium都在濫用如今的自由宣傳權利。他希望能夠通過這種免費發布的方式吸引客戶,”Soghoian表示。而其它規模更大且成熟度更高的防御項目承包商則用不著采用這種方式來銷售零日信息,Soghoian補充稱。“Raytheon與ManTech這樣的企業壓根不會考慮在網絡上發布什么價格清單……美國國安局很清楚這些廠商開出的具體價碼。”
Bekrar并沒有對《連線雜志》所提出的他為何選擇公布這份價格清單做出回應。不過即使只是單純為了進行營銷,這份價格清單也有可能透露出一些與特定軟件安全漏洞相關的有價值信息。(截至目前,我親眼見到的其它零日漏洞價目表就只有2012年某次黑客社區聚會上流出的一份非官方版本。)根據Zerodium公司的這份清單,面向Drupal與WordPress通用Web發布軟件的黑客技術要價約為5000美元。而更令人驚訝的是,一直受到匿名人士高度關注的TorBrowser的相關漏洞僅要價30000美元。
而就在這份清單曝光的幾天之后,Tor方面宣稱美國聯邦調查局已經向卡內基梅隆大學支付了100萬美元,要求想辦法攻克負責實現Tor匿名保護機制且基于服務器的“隱藏服務”功能。不過Bekrar在一封寫給《連線雜志》的郵件當中強調稱,Zerodium所提到的Tor入侵技術僅作用于TorBrowser當中源自火狐瀏覽器的安全漏洞,而非Tor網絡本身存在缺陷。Bekrar指出,這“可能會威脅到合法Tor用戶的安全與隱私。”
作為攻擊活動中開價最高的目標平臺,“身家”高達50萬美元的iPhone與iPad攻擊手段仍然不完整——具體來講,Zerodium實際上是為上個月公開的某項存在缺陷的黑客技術開出了一半酬金。關于這一點,Bekrar如今強調稱,作為“限時挑戰任務”,該公司公開承諾將為能夠在今年11月之前證明自身成功突破iOS設備并通過其Safari或者Chrome瀏覽器訪問惡意網頁的黑客支付100萬美元。
然而即使價碼縮水一半,iOS的入侵身份仍然達到了Zerodium這份價格表上第二高項目的五倍。蘋果公司的用戶可能會對這種狀況感到沮喪,畢竟向來以安全著稱的卓越移動平臺仍然存在著被攻陷的可能——不過換個角度來講,至少入侵蘋果設備會帶來極為高昂的成本,這可以看成是件好事。
