本文轉載自微信公眾號“數世咨詢”（dwconcn）。

零日漏洞是間諜工具與網絡武器的原材料，由于國家資源的支撐，漏洞交易的利潤巨大，這也是中間人從來不公開談論的原因所在。

▶ 危險之旅

2013年，有關我開始了解零日漏洞的傳聞，一下子就傳開了。零日漏洞的交易者、漏洞交易者，包括寫漏洞利用代碼的人，都開始對我有了戒備。我被謝絕參加黑客論壇，甚至還有人一度在暗網上出錢雇人入侵我的郵件或手機。但我無意中了解的信息，是我繼續征程的動力。

世界的基礎設施競爭已轉到線上，數據也不例外。而訪問這些系統和數據最可靠的方法就是零日漏洞。零日漏洞已經成為美國間諜活動和作戰計劃的關鍵組件。斯諾登事件已經明確，美國是該領域最大的玩家，但我知道并不只有美國一家，高壓政權正在趕上，為了滿足需求，便很快的催生出這樣一個市場。漏洞到處都是，許多是我們自己制造出來的，而那些強大的力量(包括我們的政府)一直在為這種環境提供保證，因此許多人不想讓這些故事公之于眾。

在零日市場的早期，花了數年的時間才找到一個愿意講話的人。許多人從來不予回應，有些人干脆直接掛斷電話。還有人對我說，不只是他不能和我講這個市場，他還警告了所有他認識的人不能和我講這個市場上的事。他還告訴我，如果我繼續下去，我會把自己置于“危險”之中。

“你會到處碰壁的，妮可”--彼時國防部長Leon Panetta

“祝你好運”--前國家安全局局長Michael Hayden

做這一行，把嘴管嚴是必須的。每一筆交易都需要謹慎，大多數都是保密協議。誰的保密性做的好，政府就越愿意和他交易，他就會越賺錢。反之則反之。一個居住在曼谷的南非人，叫格魯格，在推特上有超過1萬個粉絲。2012年，公開的與一個記者談論漏洞交易，還出現在《福布斯》雜志上。結果被列入“不受歡迎的人”，政府不再與他交易。沒有人愿意步他的后塵，所以我只能搜尋公開的的資料，并以此深入下去，直到我找到了一個零日中間人，才得以了解“不為人知”的零日市場的故事。

▶ 先驅者

每個市場都是由一次打賭開始的。我所知道的零日市場，開始于一次10美元的賭局，這筆錢是約翰·沃特斯為收購網絡安全公司iDefense所愿意付出的價格。那是在2002年的夏天，沃特斯是一名對網絡安全一無所知的德克薩斯人。他認為，對于一家月燒錢百萬美元而且還不知道啥時能挽回損失的公司而言，10美元已經是一個相當不錯的出價了。當時正處于互聯網泡沫破滅的時期，iDefense已經數周沒有發出工資，納斯達克指數則達到了歷史最低點，5萬億美元的紙上財富在股市蒸發，在接下來的兩年中，一半的互聯網公司消失，即使是iDefense的員工也認為公司沒有機會了。

iDefense是一家威脅情報公司，主要的客戶是大銀行和一些政府機構。通常情況下，威脅情報意味著軟件中的漏洞，攻擊者利用這些漏洞入侵受害者的網絡并最終盜走他們的數據。但問題是iDefense提供的情報并非獨有，許多原始的信息免費收集于像BugTraq這類的黑客論壇。而且就在沃特斯走進iDefense總部的那一天，iDefense很可能會失去BugTraq的訪問機會。因為就在當天，網安巨頭賽門鐵克以7500萬美元的價格收購了BugTraq的運營方SecurityFocus。如果賽門鐵克關閉外界對BugTrag的訪問，iDefense就完蛋了。

大衛·恩德勒，曾在國家安全局任職，桑尼爾·詹姆斯則剛從大學畢業了兩年。這兩位iDefense實驗室的年輕黑客給沃特斯提供了一個“孤注一擲”的方案。他們認為，當今世界存在一個尚未開發的市場，找漏洞。多年來，對于漏洞發現者而言，是沒有800電話可打的。不管是發現了何種產品或系統的漏洞或代碼錯誤，對方是不會給予回應的，更多的情況下是律師找過來，要求他們停止對當事企業產品的“刺探”。即使當企業修復了產品問題，這些補丁也往往包含著令人驚詫的錯誤。

代碼每天都會產生漏洞，黑帽子利用這些漏洞來攫取利益，進行間諜活動，造成數字災難。白帽子則失去了向廠商提交漏洞的動機。廠商則更傾向于用解決人的辦法來解決他們產品的問題(用法律程序來威脅漏洞發生者)。而那些運行著有漏洞的軟件的機構，則對攻擊者敞開了大門。因此，兩位年輕的黑客想為漏洞發現者提供一種免費的高質量的保證，而不是經常發生的那樣，被懲罰。恩德勒和詹姆斯把他們的想法告訴了沃特斯。

付報酬購買黑客提交的漏洞，然后iDefense會把這些漏洞給到相應的科技公司用于開發補丁，而且在補丁出來之前，iDefense還可以提供暫時的安全解決方案。沃特斯同意了。于是在2003年，iDefense成為業界第一家向黑客敞開大門且愿意付錢購買漏洞的公司。

▶ 市場開始形成

起初，詹姆斯和恩德勒并未意識到自己在做什么。這個市場還不存在，至少就他們所知，也沒有競爭對手。兩人給出了一張有點奇怪的價格表，一種漏洞75美元，另一種500美元。在最初的一年半時間里，共收到了上千個漏洞，其中一半的漏洞非常差。他們考慮過拒絕，但還是認為需要建立信任，這樣才能吸引更多的黑客帶來更好的漏洞。

事情做成了。來自土耳其、新西蘭、阿根廷的黑客，甚至包括美國一名13歲的小黑客，開始不斷提交漏洞給iDefense，這些漏洞有防病毒軟件的，也有口令截獲從用戶與他們的瀏覽器盜取數據等。實際上，當該項目2003年引起關注的時候，沃特斯開始接到許多電話，大多數來自于科技大公司，對他發泄怒火，指責iDefense邀請并付錢給黑客查找他們產品的漏洞。但到了2003年底和2004年的時候，又有一些電話打過來，這些人聲稱為政府承包商工作，愿意為漏洞付出更高的價格(iDefense當時最高的漏洞報酬是1萬美元，而他們愿意出15萬美元)，只要iDefense不再將該漏洞告訴別人。利用這些漏洞可以開發出間諜工具和網絡武器，用以對抗美國的敵對方，而且沒有人會知道這些漏洞的存在。事實上，他們能出的價格遠遠超出沃特斯的想象。

沃特斯拒絕了，對方轉而用諸如“為了你的國家”之類的愛國主義說辭。雖然沃特斯是一個愛國主義者，但他畢竟也是一個商人。“這會讓我們完蛋，如果和政府合謀在客戶的核心技術上留下漏洞，這就是在坑客戶。”

承包商最終明白了沃特斯的堅決，但沃特斯已經感覺到了風向的變化。黑客開始要求六位數的報酬，而這個數字在半年前只是千元左右。于是黑客們開始尋求其他的選擇，類似于Digital Armaments這樣的神秘的團隊開始在網上出現，為甲骨文、微軟和VMWare的產品零日漏洞提供高達五位數的酬金。很快，沃特斯判斷出他們創造出的潛在市場價值，最終在2005年7月，他以4000萬美元的價格出售了他以10美元買到的iDefense。

“這會是一筆大生意，”零日市場的最早的一位中間商對我說。這已經是2015年的秋季，經過我兩年的努力，這位零日交易人最終同意了跟我面對面交談。

▶ 薩比恩的故事

那年10月，我飛到華盛頓杜勒期機場去見一個人，在這里我不得不稱他為“杰米·薩比恩”。薩比恩已經脫離零日市場數年的時間，但出于他的這段經歷，到現在那些政府機構還是他目前生意的客戶。只有在我不能使用他真實姓名的條件下，他才同意和我談話。薩比恩就是第一個給沃特斯開出15萬美元的人，而那個漏洞iDefense才付給黑客不到1000美元。“你無法想象這是多大的利潤，”時至今日的十幾年后，說起這事，他還是搖了搖頭。

在開始做零日業務之前，薩比恩在軍方，職責是保護軍方遍布在全世界的計算機網絡。我們安排在紐約州博爾斯頓的一家墨西哥餐館見面，這家餐館離他的幾個前客戶只有幾英里。

九十年代后期，薩比恩入職了一家政府承包商，首次代表美國情報機關涉足零日交易。那個時期，零日交易還沒有成為機密，也就是說如果與我這樣的人談話不會違反任何法律。但他仍然堅持不能透露他的名字。

薩比恩告訴我，通過保護軍方的網絡得以讓他深度熟悉技術方面的漏洞。在軍隊，安全通信往往意味著生存與死亡的天壤之別，但對于大型科技企業而言，似乎對此沒有意識。“大家非常清楚設計系統時要完成的功能，而不是安全。他們并不考慮系統可能如何被利用操縱。”

離開軍方后，如何利用計算機系統就成了薩比恩的主業。受雇于一家華盛頓周邊的政府承包商，薩比恩管理著一個25人的團隊，為美國政府開發入侵工具。薩比恩意識到，如果沒有部署黑客工具的方法，這些工具就沒有作用。能夠可靠的訪問目標計算機系統才最為關鍵。

“也許你是一名全世界水平最高的珠寶大盜，但除非你知道如何繞過警鈴系統，否則你哪兒也進不去。訪問為王。”

薩比恩的團隊私下交易數字訪問，搜索漏洞并為客戶編寫漏洞利用代碼。這些大筆的收入80%來自于五角大樓和情況機構，其余的則來自執法機構。目標就是幫助這些機構找到秘密進入敵對方系統的方法，敵對方會是民族國家、恐怖分子、販毒集團，或者低級別的罪犯。

有些項目是靠運氣的，如果他們發現了一個通用性很廣的產品漏洞，例如Windows，他們就會開發一個漏洞利用程序，然后盡可能賣給更多的機構。但大部分工作是有針對性的：如情報機構希望監視俄羅斯設在在基輔的大使館，再比如巴基斯坦在賈拉拉巴德的領事館。薩比恩的團隊必須實施偵察，辨識目標計算機及其運行的操作系統環境，找到進入內部的方法。

只要是人編寫的代碼，人來設計、建立和配置機構，就一定會有進入的方法。但找到漏洞只是成功的一半，另一半則是制作和打磨漏洞利用程序，這樣才能為政府機構提供一個可靠、干凈入口。

薩比恩的客戶并不滿足于僅僅能夠訪問，他們想要的是不被發現的潛入，一個種植隱形后門的方法，甚至在入侵被發現后還能繼續潛入的方法，并且要把敵人的數據拖回他們的命令控制服務器，還不能觸發警報。

“他們想要的是整個“殺傷鏈”，進入、傳送命令、滲漏數據、隱藏等能力。類似于特種部隊和海豹六隊，他們有狙擊手、掃雷手、撤離人員，甚至是破門員。”零日漏洞利用程序、木馬，提供可靠性、不可見性和持久性。這是一連串的環節。很難同時擁有這三種特性，但一旦具備，“搞定!”

我請他談談具體的漏洞利用程序，他帶有如同初戀般的情緒回憶起他的最愛。那是一個音頻存儲卡的零日。這個存儲卡在計算機的固件中運行，因此幾乎無法發現和刪除，唯一的辦法就是把計算機扔掉。“這是最好的漏洞利用。”

進入一臺計算機之后，間諜首先要做的事情就是監聽其他的間諜。如果發現已經有人在利用這臺計算機給命令服務器發送信息，就要把它刪除，不管對方在做什么。在同一臺計算機上發現有其他間諜的情況是常見的，尤其是在高級別的外交官、軍火商或是恐怖分子的網絡中。曾經有一個惠普打印機的零日，被“全世界的政府機構”利用，這個漏洞可以捕獲任何通過打印機的文件，從而建立起一個“灘頭堡”，而且這個灘頭堡IT管理員很難想去懷疑。

起初尋求零日武器庫的政府機構并不多。國家安全局曾吹噓在情報社區，自己擁有最大和最有能力的網軍，而且那時情報機構并不尋求外界的幫助。但在九十年代中期，隨著互聯網在大眾層面的普及，越來越多的情報機構害怕落后于互聯網應用的發展。在九十年代后期，中央情報局的一個特別工作組判定自身對這一趨勢非常缺乏準備，其他情報機構也有相同的認識，甚至認為自己更加落后。于是，購買零日漏洞的需求很快的增長起來。

幾乎在同一時期，美國在非洲的大使館，如肯尼亞、坦桑尼亞的炸彈事件，促使了需求的爆發。九十年代，國會一直在削減軍費開支的同時，卻堅持批準模糊的“網絡安全”預算，不管這些預算是為了攻擊還是防御。政策制定者認為，借用前美國戰略指揮官司詹姆斯·伊利斯的話，網絡沖突“就像里奧格蘭德河，一英里寬一英寸深”。在各個情報機構內部，則人人都認為最好的零日漏洞利用則意味著最好的情報，也就意味著更多的預算投入。

薩比恩，正是在這個需求即將爆發的時期進入到零日交易市場。

他的團隊研發的零日漏洞利用程序不足以滿足大量的需求，而不同的情報機構要的是進入相同系統的方法，于是薩比恩把同一個漏洞利用賣給了多個機構。在1998年大使館爆炸事件和2001年的911事件之后，從國防部到情報機構再到政府承包商，在接下來的5年時間里，年年保持50%對數字化間諜活動的需求增長。

找到漏洞并開發漏洞利用程序需要時間，因此薩比恩認為把漏洞挖掘外包會是最有效的節省時間和提升工作效率的辦法。他們還是會寫漏洞利用程序，但為什么不利用大量的外部黑客資源來給他們提供“原材料”呢?

“我們知道無法找到全部的漏洞，但我們也知道它的門檻很低，任何人都能以2000美元的價格買一個戴爾的漏洞。”

九十年代后期，薩比恩的團隊開始尋求外部的黑客資源，美國的地下零日市場誕生了。正如前文所述，這個市場也孕育了iDefense和其他的類似提供商。

薩比恩的故事就像一本間諜小說，充滿了暗藏殺機的會面、裝滿現金的口袋和隱蔽的中間人等情節，只是這并非文學作品或想象中的畫面，這是真實發生的。

▶ 爆發

在九十年代，政府機構花費大約1百萬美元的價格購買10個一組的漏洞利用，薩比恩團隊用去一半的錢來購買漏洞，然后自己再開發出漏洞利用程序。一個類似于windows通用系統的漏洞的價格是5萬美元，但如果是一個關鍵敵對方的很少有人用的系統，漏洞的價格會達到10萬美元。更甚者，如果能讓政府間諜深入敵人的系統，同時不被發現并潛伏很長一段時間，價格可以輕松達到15萬美元。

為薩比恩提供漏洞的黑客主要在東歐。蘇聯解體之后，有了大量有技術但沒工作的人。在歐洲，一些15、16歲的年輕黑客經常把他們找到的漏洞賣給政府機構或是代理人。薩比恩告訴我，一些最有才華的黑客在以色列，以色列8200部隊的退伍軍人，其中最棒的黑客之一，是一個僅16歲的以色列男孩。

零日交易是一個秘密且繁瑣的業務。薩比恩團隊不可能直接打電話給黑客，讓他們用電子郵件把漏洞發過來，然后再把支票寄過去。漏洞和利用程序必須仔細地在各種系統上進行測試。有時黑客會在視頻上操作演示，但大多數交易都是面對面的，通常會在黑客集會的旅館房間中進行。

薩比恩的業務越來越依賴中間人。數年來，把一個裝著幾十萬現金的旅行袋，扔到零日中間人面前的場景經常出現，以購買來自波蘭或整個東歐黑客提供的漏洞。

依賴信任和緘默法則是貫穿整個零日交易鏈條的關鍵。政府必須信息承包商能交付有效的漏洞，承包商必須信任中間人和黑客不會擅自暴露漏洞，或是將漏洞再次轉賣給敵對方。黑客必須信任承包商會付錢給他們，而不是拿到漏洞演示之后自己開發將漏洞據為已有。那個時候還沒有比特幣，一些支付會通過西聯匯款，但大部分還是通過現金。

如果你涉足過這個市場就會知道，這種交易的效率有多低。這也是為什么，薩比恩在2003年注意到iDefense在公開購買漏洞并給沃特斯打去電話的原因。

對于沃特斯這種致力于推動漏洞市場公開化的商人而言，承包商的做法是愚蠢的，甚至是危險的。“沒有人想公開談論他們正在做的事情，”沃特斯回憶。“整個過程都被一層神秘的氣氛包裹著。但是市場越不透明，效率就越低。市場越公開，就會越成熟，買主的主動權就更多。不去打開潘多拉魔盒，價格就會一直上漲。”

到了2004年末，來自政府和前臺公司(掩蓋真實身份的幌子公司)大量需求不斷地促升漏洞利用的價格，給iDefense帶來了很大的競爭壓力。但隨著市場的擴大，真正給沃特斯帶來麻煩的反而不是市場層面的影響，而是不斷增長的全面網絡戰的可能性。“就象在地下市場擁有核彈，可以在不受控制的情況下在全世界出售。”

冷戰的確定性反而促進了處于蠻荒時代的數字世界，沒人能確定敵人會在哪里以及可時出現。美國的情報機構越來越依賴網絡間諜，以盡可能多的收集敵對方的數據。而且不只是監聽，他們還尋求能夠破壞基礎設施，摧毀電網的代碼。渴求這些工具的華盛頓承包每年都以兩倍的速度增長。

最大的承包商，如洛克希德·馬丁、雷神、諾斯羅普·格魯曼、波音等，來不及雇傭更多的網絡安全專家，于是他們從情報機構的內部挖人，以及收購小一些的承包商，如薩比恩的團隊。情報機構則開始從法國的一家零日代理商Vupen獲取漏洞利用。這家代理商就是現在的Zerodium。他們在華盛頓周邊建立辦事處，并在線上明碼標價，提供高達100萬美元(現在已經到了250萬美元)的懸賞收購遠程入侵iPhone的漏洞。

該公司網站上曾有的標語：“我們付出重金，而不是漏洞賞金。”前國家情報局的人員也開始成立自己的業務，如Immunity Inc，為國外政府提供諜報技術的培訓。一些承包商，像CberPoint，把他們的業務擴展到海外，駐扎在阿聯酋首都阿布扎比，阿聯酋政府曾重賞過國家安全局的黑客，因為他們幫助阿聯酋成功入侵了敵對方。巨大的需求不斷促升著漏洞的價格，不久之后，又一家零日交易商Crowdfense，出價比Zerodium竟要高出100萬美元。最終這些工具，都會被美國利用。

到了2015年，薩比恩同意與我見面的時候，零日市場已經真正的形成。“在九十年代，開發漏洞利用并交易只是個很小的圈子。現在則非常的商業化了，”他揮動手指畫了個很大的圈子，以象征華盛頓大街的承包商。“我們已經被包圍了，有超過100家的承包商在經營這個業務。”

美國的政府機構形成的市場并非薩比恩退出的原因，而是海外的需求給他帶來不安。“每個人都有自己的敵人，即使是你從未想到的國家，也在積攢漏洞以防不時之需。大多數國家只是為了保護自己，但很快這些國家就會意識到，他們不得不把手伸出來去觸動別人。”

“這樣下去，你肯定會遇到事情的，結局肯定不妙。”說完這句話，薩比恩起身離去。

注：本文摘譯自《他們是如何告訴我世界結束的》一書，作者妮可·佩爾羅斯。小標題為譯者所寫。