计算机战争背后的死亡商人揭秘:漏洞高价出售
2012年03月23日,上个月,谷歌(微博)在温哥华举办了一个比赛,会上这家搜索巨头以安全著称的Chrome浏览器被黑客们两度攻陷。这两种新的黑客攻击方法都利用了一个作弊网站来绕过Chrome的安全保护,结果成功侵入了目标电脑。虽然这两次黑客攻击都攻破了谷歌的防护措施,但这只是第三次真正成功地入侵谷歌系统。
来自法国安全公司Vupen的黑客团队采取了不同的做法。他们没有参加谷歌的比赛,而是通过破解Chrome的安全保护以赢得惠普(微博)在同一场大会上赞助的另一场黑客比赛。虽然谷歌向那两位赢得其比赛的黑客各提供了6万美元奖金,条件是他们要告诉谷歌他们的攻击细节,并帮助谷歌修复他们利用的漏洞。Vupen的CEO兼首席黑客查欧基·贝克拉(Chaouki Bekrar)表示,他的公司根本不想将其秘密技术告诉谷歌——当然不会为了6万美元而进行这种愚蠢的交换。
“我们不会把这种技术告诉谷歌,即使给我们100万美元也不行。”贝克拉说,“我们不想告诉谷歌任何可以帮助他们修复这个漏洞或其他类似漏洞的知识。这是为我们的客户保留的。”毕竟,这些客户的目的不是修复谷歌或其他任何商业软件供应商的安全漏洞。他们是政府机构,购买了“零天攻击”(指在软件安全漏洞被发现的头一天便遭到攻击——译注)技术或那些利用了软件中未公开漏洞的黑客技术。他们的目的显而易见,就是侵入或干扰犯罪嫌疑人和情报目标的电脑和电话。
在阴暗但合法的安全漏洞市场上,“零天攻击”技术可能会使黑客从软件公司手中得到2,000或3,000美元,但打算秘密使用这个漏洞的间谍和警察可能会给出10倍甚至100倍的价钱。贝克拉没有详细说明Vupen的确切定价,但Frost & Sullivan公司(将漏洞研究领域的“2011年度创业公司”奖授予了Vupen)的分析师表示,Vupen的客户每年支付大约10万美元的会员费,从而获得购买该公司技术的特权。
这些黑客技术包括了攻击微软(微博)Word、Adobe Reader、谷歌安卓系统、苹果iOS系统和许多其他软件的技术。Vupen在惠普举办的黑客比赛上夸口说,他们已经掌握了各大浏览器的漏洞。熟悉该公司业务的知情人士表示,Vupen销售目录上仅一项技术的价格常常都远远超过其六位数的会员费。即便价格如此之高,Vupen也没有将其发现的安全漏洞只卖给一家,而是同时出售给多个政府机构。这种商业模式常常使其客户你争我夺,生怕在间谍军备竞赛中落后。
贝克拉声称,Vupen会仔细核查客户的背景,只向北约国家的政府和“北约的合作伙伴”出售安全漏洞。他表示,该公司还有其他的“内部程序”来过滤那些非民主国家,并要求买家签署合同,不得公布或转售这些漏洞。但即便如此,他承认该公司的黑客攻击方法仍有可能落入不法分子之手。“我们尽力确保这些漏洞不会从买家的手中外流。”贝克拉说,“但如果你将武器出售给别人,就无法保证他们不会再卖给其他人。”
这种武器贸易的比喻很合Vupen批评者的胃口。隐私保护活动人士克里斯·索菲安(Chris Soghoian)和开放社会基金会(Open Society Foundations)的同仁们把Vupen称作“为计算机战争提供弹药的当代死亡商人”。在有个漏洞被售出后,索菲安说:“它在黑洞里消失了。他们不知道这个漏洞被如何利用,是否得到了许可,或者是否违反了人权。”
这个问题在去年明明白白地摆在了世人眼前。当时,加州森尼维尔市蓝衣系统公司(Blue Coat Systems)的监视装置被出售给了一家阿联酋公司,但最后却在叙利亚被用来监视不同政见者。“Vupen不知道他们的漏洞被如何利用,他们可能也不想知道,只要支票兑现就行。”
Vupen并不是唯一一家出售安全漏洞的公司,但与这家位于法国蒙彼利埃的小公司相比,其他买卖黑客技术的公司,包括Netragard和Endgame以及Northrop Grumman和Raytheon等规模更大的公司,则更加守口如瓶。贝克拉用“透明”来形容自己的公司,而索菲安则说这家公司“无耻”。Vupen就是这个行业的Snooki(美国真人秀节目《泽西海岸》的明星,行为大胆出格——译注)。”索菲安说,“他们寻找宣传自己的机会,但他们甚至没有意识到,他们根本不入流。他们就是漏洞交易领域里的《泽西海岸》。”(责任编辑:admin)
- “扫一扫”关注融合网微信号
免责声明:我方仅为合法的第三方企业注册用户所发布的内容提供存储空间,融合网不对其发布的内容提供任何形式的保证:不保证内容满足您的要求,不保证融合网的服务不会中断。因网络状况、通讯线路、第三方网站或管理部门的要求等任何原因而导致您不能正常使用融合网,融合网不承担任何法律责任。
第三方企业注册用户在融合网发布的内容(包含但不限于融合网目前各产品功能里的内容)仅表明其第三方企业注册用户的立场和观点,并不代表融合网的立场或观点。相关各方及作者发布此信息的目的在于传播、分享更多信息,并不代表本网站的观点和立场,更与本站立场无关。相关各方及作者在我方平台上发表、发布的所有资料、言论等仅代表其作者个人观点,与本网站立场无关,不对您构成任何投资、交易等方面的建议。用户应基于自己的独立判断,自行决定并承担相应风险。
根据相关协议内容,第三方企业注册用户已知悉自身作为内容的发布者,需自行对所发表内容(如,字体、图片、文章内容等)负责,因所发表内容(如,字体、图片、文章内容等)等所引发的一切纠纷均由该内容的发布者(即,第三方企业注册用户)承担全部法律及连带责任。融合网不承担任何法律及连带责任。
第三方企业注册用户在融合网相关栏目上所发布的涉嫌侵犯他人知识产权或其他合法权益的内容(如,字体、图片、文章内容等),经相关版权方、权利方等提供初步证据,融合网有权先行予以删除,并保留移交司法机关查处的权利。参照相应司法机关的查处结果,融合网对于第三方企业用户所发布内容的处置具有最终决定权。
个人或单位如认为第三方企业注册用户在融合网上发布的内容(如,字体、图片、文章内容等)存在侵犯自身合法权益的,应准备好具有法律效应的证明材料,及时与融合网取得联系,以便融合网及时协调第三方企业注册用户并迅速做出相应处理工作。
融合网联系方式:(一)、电话:(010)57722280;(二)、电子邮箱:2029555353@qq.com dwrh@dwrh.net
对免责声明的解释、修改及更新权均属于融合网所有。