美國《時(shí)代》周刊7月21日(提前出版)一期發(fā)表題為《零世界大戰(zhàn)——黑客如何竊取你的秘密》的封面文章,作者是列夫·格羅斯曼。文章稱,互聯(lián)網(wǎng)是一個(gè)戰(zhàn)場,戰(zhàn)利品是你的信息,而漏洞則是武器。
漏洞成為網(wǎng)戰(zhàn)武器
網(wǎng)絡(luò)戰(zhàn)不是未來,而是已經(jīng)存在,并且已經(jīng)司空見慣。在這場戰(zhàn)爭中,隨處都是戰(zhàn)場,漏洞是武器,而黑客則是軍火商。
一個(gè)軟件漏洞的價(jià)值能以金錢來衡量,這有點(diǎn)讓人匪夷所思。漏洞即錯(cuò)誤。通常,我們要花錢修復(fù)漏洞。而漏洞大有市場則是我們所處的科技時(shí)代更令人匪夷所思的結(jié)果。在這個(gè)科技時(shí)代,我們的整個(gè)世界——我們的商業(yè)活動(dòng)、醫(yī)療記錄、社會(huì)生活和政府——正在一點(diǎn)一點(diǎn)地脫離現(xiàn)實(shí)世界,以數(shù)據(jù)形式進(jìn)入由軟件構(gòu)成的計(jì)算機(jī)內(nèi)核。很多人出于善意或惡意對這些數(shù)據(jù)抱有興趣。其中一些人是間諜,還有一些人是罪犯。漏洞就是他們用以獲取數(shù)據(jù)的武器。
幾年前的一個(gè)例子能充分說明,是什么讓漏洞如此有用。當(dāng)時(shí),美國和以色列聯(lián)合研發(fā)了一種復(fù)雜的計(jì)算機(jī)病毒,其目的是侵入并破壞位于伊朗納坦茲市的某個(gè)進(jìn)行鈾濃縮的核設(shè)施。這種名為“震網(wǎng)”(Stuxnet)的病毒或許是第一個(gè)真正的網(wǎng)絡(luò)武器。一名雙重間諜利用U盤將這種病毒植入核設(shè)施的計(jì)算機(jī)系統(tǒng)。該病毒在查看整個(gè)計(jì)算機(jī)系統(tǒng)后向主人傳回詳細(xì)的情報(bào),隨后開始大規(guī)模侵入控制離心機(jī)的計(jì)算機(jī),并最終導(dǎo)致大約20%的離心機(jī)陷入癱瘓。(由于美國和以色列政府在這個(gè)問題上仍然保持沉默,以上均為通過安全專家和媒體提供的事實(shí)推演所得。)
是什么讓“震網(wǎng)”病毒如此有效?一個(gè)詞:漏洞。要成功侵入目標(biāo)系統(tǒng),“震網(wǎng)”病毒至少利用了4個(gè)不同的系統(tǒng)漏洞,包括一個(gè)微軟視窗操作系統(tǒng)的漏洞。這些漏洞——更確切地說,利用這些漏洞所需的知識(shí)——本身就像伊朗人正在提煉的濃縮鈾,但是以軟件的形式存在:它們是昂貴且高度精密的武器,構(gòu)成了極端復(fù)雜的武器系統(tǒng)的核心。當(dāng)“震網(wǎng)”病毒從納坦茲市的核設(shè)施擴(kuò)散并導(dǎo)致全球大約10萬臺(tái)計(jì)算機(jī)受到感染后,這些漏洞讓“震網(wǎng)”病毒具有更大的破壞力。
美國大肆濫用漏洞
早在“震網(wǎng)”病毒出現(xiàn)之前,為漏洞埋單的想法就已經(jīng)出現(xiàn)。1995年,美國網(wǎng)景通信公司(Netscape)推出了“漏洞獎(jiǎng)金”計(jì)劃,任何人只要找出該公司瀏覽器的漏洞都能獲得現(xiàn)金獎(jiǎng)勵(lì)。2002年,美國信息防護(hù)公司(iDefense)開始購買各種漏洞。2005年,TippingPoint 公司也推出了類似的購買計(jì)劃。鑒于公開市場上的“零日漏洞”交易日趨活躍和混亂,這兩項(xiàng)計(jì)劃作為安全的“零日漏洞”處理廠(類似于放射性廢物庫),提供了一種安全的選擇。(“零日”這個(gè)術(shù)語是指漏洞的新鮮程度。“零日漏洞”是指漏洞公開的時(shí)間為零天,因此還沒有人嘗試修復(fù)它。)如果你發(fā)現(xiàn)了一個(gè)漏洞,你能以公道的價(jià)格賣給iDefense或TippingPoint公司,而不是賣給出價(jià)最高但天知道會(huì)做出什么事情來的買家。iDefense和 TippingPoint公司會(huì)提醒客戶警惕這些漏洞,并與軟件開發(fā)商合作修復(fù)它們。這兩家公司還有一個(gè)共同點(diǎn):在2005年和2006年連續(xù)兩年聘用實(shí)習(xí)生阿龍·波特努瓦。
波特努瓦是一個(gè)超級(jí)網(wǎng)絡(luò)攻擊專家。2006年,波特努瓦從美國東北大學(xué)輟學(xué),開始全職在TippingPoint公司工作。2012年,他從該公司辭職,并創(chuàng)立了自己的Exodus公司。在這個(gè)不大的精英領(lǐng)域中,還有總部位于法國南部的Vupen公司、馬耳他的Revuln公司、美國的 Netragard公司和加拿大的Telus公司。(Netragard公司的信條是:“我們保護(hù)你們不受我們這種人的攻擊。”)Exodus公司總部位于奧斯汀的一棟辦公樓內(nèi),與會(huì)計(jì)師和地產(chǎn)經(jīng)紀(jì)人為鄰。即使以新創(chuàng)立的科技公司為標(biāo)準(zhǔn),這家公司的總部也過于簡樸:僅有一個(gè)室內(nèi)裝飾——一面掛在墻上的海盜旗。
Exodus公司9名研究人員的日常工作就是攻擊目標(biāo)軟件,尋找侵入系統(tǒng)的辦法。他們的目標(biāo)包括瀏覽器、電郵客戶端、即時(shí)通訊客戶端、Flash、Java、工業(yè)控制系統(tǒng),以及任何可以被攻擊者作為突破口的東西。
通常,Exodus公司的研究人員發(fā)現(xiàn)一個(gè)漏洞后,會(huì)起草一份專業(yè)報(bào)告和技術(shù)文件,說明這個(gè)漏洞是什么?在哪里?如何發(fā)現(xiàn)它?它在什么版本的軟件上運(yùn)行?如何修復(fù)?等等。最重要的是,Exodus公司會(huì)告訴你如何激活并利用這個(gè)漏洞。購買Exodus公司的漏洞需要注冊成為會(huì)員,年費(fèi)在20萬美元左右。
基于漏洞交易提供的漏洞正在被用于犯罪或不道德目的這個(gè)假設(shè),對于該行業(yè)的評價(jià)可謂毀譽(yù)參半??偛课挥谌A盛頓特區(qū)的Endgame公司多年以來向美國政府出售軟件漏洞,它被《福布斯》雜志稱為“黑客領(lǐng)域的黑水公司”。
Exodus公司的客戶基本可以分為兩類:攻擊型和防守型。防守型的包括安全公司和反病毒軟件開發(fā)商,他們希望獲取可以用于產(chǎn)品的信息,或?yàn)榭蛻籼峁┯嘘P(guān)系統(tǒng)威脅的最新信息。攻擊型的包括侵入測試者,他們利用Exodus公司的“零日漏洞”模擬攻擊自己或別人的網(wǎng)絡(luò)。
還有一些客戶可不是模擬而已。眾所周知,美國國家安全局和聯(lián)邦調(diào)查局喜歡在目標(biāo)計(jì)算機(jī)上植入監(jiān)視軟件,以收集情報(bào);聯(lián)邦調(diào)查局甚至正在游說法院,以更容易地獲得采取這種行動(dòng)的授權(quán)。如何在別人的計(jì)算機(jī)上植入軟件,而又不被別人發(fā)現(xiàn)?其中一個(gè)辦法就是利用漏洞。
根據(jù)《華盛頓郵報(bào)》對愛德華·斯諾登泄露的機(jī)密文件的分析,在美國國家安全局的預(yù)算中,有2510萬美元用于“額外秘密購買軟件漏洞”;還有 6.52億美元用于代號(hào)GENIE的秘密計(jì)劃——在外國計(jì)算機(jī)網(wǎng)絡(luò)上植入惡意代碼。截至2013年底,GENIE計(jì)劃預(yù)計(jì)已經(jīng)控制全球大約8.5萬臺(tái)計(jì)算機(jī)。
根據(jù)斯諾登提供的機(jī)密文件,2011年美國對中國、俄羅斯、伊朗和朝鮮等國家發(fā)起了231次網(wǎng)絡(luò)攻擊。而這還只是2011年的數(shù)字。在2015年美國國防預(yù)算中,有50億美元用于網(wǎng)絡(luò)空間行動(dòng),而我們對這個(gè)領(lǐng)域卻知之甚少。
漏洞黑市令人擔(dān)憂
鑒于軟件漏洞的潛在攻擊性,你可能認(rèn)為,美國政府希望像控制戰(zhàn)斗機(jī)和地雷交易一樣控制軟件漏洞交易。但事實(shí)上,監(jiān)管者才著手進(jìn)行控制。去年12 月,由美國和其他40個(gè)國家簽署的《瓦瑟納爾協(xié)定》進(jìn)行了修訂,將“侵入軟件”納入受到限制的軍民兩用技術(shù)名單,但到目前為止,這項(xiàng)修訂尚未得到落實(shí)。美國政府一名高級(jí)官員說,目前,美國政府還不想真正控制這個(gè)市場。市場行為更多地依賴自愿和自律。賣給誰?不賣給誰?這讓波特努瓦和他的團(tuán)隊(duì)有時(shí)不得不做出道德選擇。
盡管如此,濫用漏洞的可能性卻切實(shí)存在。零日漏洞可不管你侵入的是誰的計(jì)算機(jī),或者為什么侵入?今年4月28日,卡巴斯基實(shí)驗(yàn)室的研究人員透露,Adobe Flash軟件存在一種零日漏洞。如果能誘使目標(biāo)計(jì)算機(jī)的使用者訪問一個(gè)特定的網(wǎng)站,就能利用這個(gè)漏洞在目標(biāo)計(jì)算機(jī)上植入惡意代碼。經(jīng)研究人員查實(shí),這個(gè)特定的網(wǎng)站屬于敘利亞司法部。我們有理由推斷,敘利亞政府正在利用零日漏洞監(jiān)視國內(nèi)的異見人士。
如果一個(gè)不受任何國家控制的政治組織對公共設(shè)施發(fā)起攻擊,那將是一場真正的夢魘。例如,恐怖主義組織。美國聯(lián)邦調(diào)查局在紐約負(fù)責(zé)網(wǎng)絡(luò)和特殊行動(dòng)的前特工瑪麗·加利根說:“如果你能確定其中一種零日漏洞,就能利用它們造成嚴(yán)重破壞。”她以控制工業(yè)系統(tǒng)的軟件“數(shù)據(jù)采集與監(jiān)視控制系統(tǒng)” (SCADA)為例,該系統(tǒng)就是“震網(wǎng)”病毒攻擊的目標(biāo)。她說:“我們能想到的一切工業(yè)系統(tǒng)——制造車間、電網(wǎng)、供水或電梯——都是由與互聯(lián)網(wǎng)連接的數(shù)據(jù)設(shè)備運(yùn)行的。真正令人擔(dān)憂的是,這是保護(hù)力度最弱的環(huán)節(jié)。”
即使無足輕重的獨(dú)裁者和網(wǎng)絡(luò)犯罪分子不能從Exodus公司購買漏洞,他們也能從活躍的漏洞黑市上購買。有人認(rèn)為這是一個(gè)嚴(yán)重的問題,有人則不以為然。蘭德公司在今年3月的報(bào)告中指出,漏洞黑市是“一些受金錢驅(qū)使、具有高度組織性和復(fù)雜性的組織的競技場”。
波特努瓦對黑市漏洞的質(zhì)量嗤之以鼻。他說,黑市上的大部分漏洞都不具備“零日”新鮮度。通常,犯罪分子會(huì)選擇那些已經(jīng)推出安全補(bǔ)丁的較老的漏洞下手,他們要做的就是在網(wǎng)絡(luò)上獵捕那些尚未更新軟件的目標(biāo)。根據(jù)美國賽門鐵克(Symantec)公司《2014年互聯(lián)網(wǎng)安全威脅報(bào)告》,在該公司掃描的所有網(wǎng)站中,有1/8的網(wǎng)站存在一個(gè)未經(jīng)修復(fù)的嚴(yán)重漏洞。
還有一種與黑市截然相反的市場,這個(gè)市場由最初編寫存在漏洞的軟件的程序員運(yùn)行。越來越多的大型軟件公司意識(shí)到,購買自己產(chǎn)品的漏洞并趕在別人利用這些漏洞之前修復(fù)它們(有點(diǎn)類似于對出廠產(chǎn)品進(jìn)行Beta測試),其實(shí)是一種節(jié)省成本的辦法。2010年,谷歌公司推出獎(jiǎng)勵(lì)發(fā)現(xiàn)Chrome瀏覽器漏洞的計(jì)劃,并幫助推動(dòng)了這種趨勢。今年,谷歌公司用于這項(xiàng)計(jì)劃的支出累計(jì)達(dá)到330萬美元?,F(xiàn)在,獎(jiǎng)勵(lì)發(fā)現(xiàn)漏洞的做法已經(jīng)成為慣例,就連網(wǎng)絡(luò)商店平臺(tái) Etsy也有類似的計(jì)劃。微軟公司給予發(fā)現(xiàn)視窗操作系統(tǒng)一個(gè)嚴(yán)重漏洞的獎(jiǎng)金最高達(dá)到10萬美元。去年,臉譜公司為687個(gè)漏洞支付了150萬美元的獎(jiǎng)金。
數(shù)據(jù)防護(hù)千瘡百孔
當(dāng)然,我們夢想生活在一個(gè)沒有漏洞的世界:我們的軟件完美無瑕,安全性能絕佳。然而,現(xiàn)實(shí)卻與我們的夢想背道而馳。我們讓計(jì)算機(jī)為我們做得越多,對其安全性的需求就越迫切;但計(jì)算機(jī)需要做得越多,它們的軟件就必須越復(fù)雜,它們的漏洞也就越多。如此就形成了一種惡性循環(huán)。以你的筆記本電腦為例,其操作系統(tǒng)由數(shù)千萬行代碼組成,其安裝的應(yīng)用軟件大多數(shù)僅完成3/4就匆匆上市。當(dāng)你的筆記本電腦與數(shù)以百萬計(jì)的其他設(shè)備(包括平板電腦和手機(jī))連接,形勢就會(huì)迅速失控。
修復(fù)漏洞有點(diǎn)像排干海洋,你永遠(yuǎn)也不可能完成。盡管編碼水平和標(biāo)準(zhǔn)都在提高,但提高的速度還不夠快。目前,美國國家漏洞數(shù)據(jù)庫列出的漏洞有 63239個(gè)。去年,研究人員平均每天發(fā)現(xiàn)13個(gè)漏洞。今年3月,美國聯(lián)邦政府通報(bào),去年共有3000家美國公司遭到黑客攻擊。保護(hù)我們數(shù)據(jù)的防護(hù)墻實(shí)際上千瘡百孔。與計(jì)算機(jī)安全領(lǐng)域的人士接觸越久,就越會(huì)意識(shí)到,根本就不存在保護(hù)數(shù)據(jù)的防護(hù)墻。
我們?nèi)绱顺晒Φ貏?chuàng)造了一個(gè)相互連通的“天堂”,在這里,信息可以自由流動(dòng),我們又如此迫不及待地想生活在這個(gè)“天堂”,以至于我們已經(jīng)無法按照自己的意愿控制信息的流動(dòng)。其結(jié)果是,一場新的戰(zhàn)爭。這場戰(zhàn)爭并不引人矚目,但持久、廣泛。它模糊了軍事與民事、個(gè)人與公共、政治與商業(yè)的界限。其受害者損失的是個(gè)人數(shù)據(jù)和知識(shí)產(chǎn)權(quán),等他們發(fā)現(xiàn)自己遭受了攻擊,往往已為時(shí)過晚。美國政府一名高級(jí)官員說:“零日漏洞將一直存在。這不僅僅涉及保護(hù)措施——網(wǎng)絡(luò)空間的‘防護(hù)墻’、‘護(hù)城河’和‘鐵絲網(wǎng)’。你必須在一種假設(shè)下工作:有時(shí),壞人會(huì)侵入。”