零日漏洞是间谍工具和网络武器的原材料。得益于国家资源的支持,漏洞交易的利润是巨大的,这也是中间商从不公开谈论的原因。?危险之旅2013年,我开始了解零日漏洞的谣言一下子传开了。零日漏洞利用交易者,漏洞利用交易者,包括那些编写漏洞利用代码的人,都开始对我产生警惕。我被黑客论坛拒绝了,有一次有人在暗网上付钱让某人侵入我的电子邮件或电话。但偶然了解到的信息是我继续前行的动力。世界基础设施竞争已经转移到线上,数据也不例外。访问这些系统和数据的最可靠方法是零日攻击。零日攻击已成为美国间谍活动和战争计划的重要组成部分。斯诺登事件已经表明,美国是这个领域最大的参与者,但我知道美国不是唯一的参与者。专制政权正在迎头赶上。为了满足需求,这样的市场很快就会诞生。漏洞无处不在,很多是我们自己造成的,那些强大的力量(包括我们的政府)一直在为这个环境提供保障,所以很多人不希望这些故事被公开。在零日市场的早期,需要多年才能找到愿意发言的人。许多人从未回应,有些人只是挂断了电话。另一个人告诉我,他不仅不能告诉我这个市场,而且还警告他认识的每个人都不要告诉我这个市场。他还告诉我,如果我继续下去,我会将自己置于“危险”之中。“你会到处碰壁,妮可”——当时的国防部长莱昂帕内塔“祝你好运”——而前国家安全局局长迈克尔海登是一个必须闭嘴的企业。每笔交易都需要谨慎,而且大多数都涉及保密协议。谁保密得好,政府越愿意和他打交道,他赚的钱就越多。反之亦然。居住在曼谷的南非人Grug在Twitter上拥有超过10,000名粉丝。2012年,公开与记者谈论漏洞交易,还登上了《福布斯》杂志。结果,他被列为“不受欢迎的人”,政府停止与他打交道。没有人愿意步其后尘,我只能搜索公开资料,从那里,直到找到零日中介,才得以了解“不为人知”的零日市场的故事。?先锋每个市场都从赌注开始。我所知道的零日市场始于10美元的赌注,这是JohnWaters为收购网络安全公司iDefense所愿意支付的价格。那是2002年夏天,沃特斯是德克萨斯人,对网络安全一无所知。他认为10美元对于一家每月烧掉数百万美元并且不知道何时能挽回损失的公司来说是一个相当不错的报价。当时正值互联网泡沫破灭,iDefense数周未支付薪水,纳斯达克指数处于历史最低点,5万亿美元的账面财富在股市蒸发,在接下来的两年里,一半互联网公司消失,连iDefense的员工都认为公司没有机会了。iDefense是一家威胁情报公司,其主要客户是各大银行和一些政府机构。通常,威胁情报是指攻击者用来侵入受害者网络并最终窃取其数据的软件中的漏洞。问题是iDefense提供的情报并不是独一无二的,很多原始信息都是在BugTraq等黑客论坛上免费收集的。沃特斯走进iDefense总部的那一天,iDefense很可能无法访问BugTraq。因为就在同一天,网络安全巨头赛门铁克以7500万美元的价格收购了BugTraq的运营商SecurityFocus。如果赛门铁克关闭对BugTrag的外部访问,iDefense就完蛋了。美国国家安全局前雇员大卫·恩德勒(DavidEndler)和大学毕业两年的苏尼尔·詹姆斯(SunilJames)。iDefenseLabs的两位年轻黑客为Waters提供了一个孤注一掷的解决方案。他们认为当今世界有一个尚未开发的市场,正在寻找漏洞。多年来,没有800个数字可供错误查找者使用。无论发现什么样的产品或系统漏洞或代码错误,对方都不会回应。更多的时候,律师会来要求他们停止“刺探”公司的产品。即使公司修复了产品问题,这些补丁也常常包含令人惊讶的错误。漏洞每天都在代码中产生,黑帽利用这些漏洞谋取利益、间谍活动和数字灾难。白帽子失去了向供应商提交漏洞的动力。供应商更倾向于使用人工解决方案来解决其产品的问题(以合法程序威胁漏洞产生者)。运行易受攻击软件的组织为攻击者敞开了大门。因此,这两位年轻的黑客希望为错误发现者提供免费的高质量保证,而不是像经常发生的那样受到惩罚。恩德勒和詹姆斯与沃特斯分享了他们的想法。付费购买黑客提交的漏洞,然后iDefense将这些漏洞交给相应的技术公司开发补丁,在补丁出来之前,iDefense也可以提供临时的安全解决方案。沃特斯同意了。于是在2003年,iDefense成为业内第一家向黑客敞开大门并愿意为攻击付费的公司。?市场初具规模起初,James和Endler并没有意识到他们在做什么。市场还不存在,至少据他们所知,而且没有竞争对手。两人给出了一个有点奇怪的价目表,一种类型的漏洞利用75美元,另一种500美元。在第一年半的时间里,收到了数千个错误,其中一半是非常糟糕的。他们考虑过拒绝,但觉得需要建立信任,这样才能吸引更多的黑客来带来更好的攻击。完成。来自土耳其、新西兰、阿根廷的黑客,甚至美国一名13岁的黑客都开始向iDefense提交漏洞。这些漏洞包括防病毒软件、密码拦截以及用户及其浏览器的数据窃取。事实上,当该项目在2003年受到关注时,沃特斯开始接到很多电话,其中大部分来自大型科??技公司,他们向他发泄愤怒,指责iDefense邀请黑客并付钱让他们寻找产品中的漏洞。但在2003年底和2004年,自称为政府承包商工作的人打来的电话越来越多,他们愿意为漏洞支付更高的费用(iDefense当时最高的漏洞报酬为10,000美元,他们愿意为漏洞支付10,000美元)。150,000美元),只要iDefense停止向其他人透露该漏洞。这些漏洞可能被用来开发针对美国对手的间谍工具和网络武器,而没有人知道它们的存在。事实上,他们能开出的价格远超沃特斯的想象。沃特斯谢绝了,对方转而用“为了你的国家”等爱国说辞。沃特斯虽然是爱国者,但毕竟也是商人。“这会害了我们。如果你和政府合谋,在客户的核心技术上留下漏洞,这就是欺骗客户。”承包商终于明白了沃特斯的决心,但沃特斯已经感觉到了风向的变化。黑客开始索要六位数的奖励,半年前只有1000元左右。于是黑客们开始寻找其他选择,互联网上开始出现像DigitalArmaments这样的神秘团队,为Oracle、Microsoft和VMWare产品中的零日漏洞提供高达五位数的奖励。沃特斯迅速判断出它们创造的潜在市场价值,最终在2005年7月,他以4000万美元的价格卖掉了他以10美元购买的iDefense。“这将是一件大事,”零日市场最早的中间商之一告诉我。那是2015年的秋天,经过两年的努力,零日交易员终于同意与我面对面交谈。?Sabine的故事那年10月,我飞到华盛顿杜勒斯机场,遇到了一个我在这里不得不称呼为“JamieSabine”的男人。Sabian已经离开零日市场好几年了,但因为他的经历,那些政府机构仍然是他目前的商业客户。他同意与我交谈,条件是我不能使用他的真名。Sabian是第一个向Waters提供150,000美元的人,而iDefense为该漏洞向黑客支付了不到1,000美元。“你无法想象这是多么大的利润,”十多年后谈起这件事,他依然摇头。在开始她的零日业务之前,Sabine在军队服役,负责保护全球军队的计算机网络。我们约好在纽约博尔斯顿的一家墨西哥餐馆见面,距离他的一些前客户只有几英里。1990年代后期,Sabine在一家政府承包商工作,在那里他代表美国情报机构首次涉足零日交易。那时,零日交易没有保密,这意味着与像我这样的人交谈不会违反任何法律。但他仍然坚持不透露自己的姓名。Sabian告诉我,保护军方网络让他对技术漏洞有了深刻的了解。在军队中,安全通信往往意味着生与死的区别,但对于BigTech来说,似乎没有意识到这一点。“人们在设计系统时非常清楚系统的功能,而不是安全性。他们没有考虑系统可能如何被操纵。”离开军队后,如何开发计算机系统成为萨比安的主要业务。Sabian受雇于华盛顿附近的一家政府承包商,管理着一个由25人组成的团队,该团队为美国政府开发入侵工具。Sabian意识到黑客工具如果没有部署方法就毫无用处。对目标计算机系统的可靠访问至关重要。“也许你是世界上最好的珠宝小偷,但除非你知道如何绕过警报系统,否则你哪儿也去不了。访问为王。“Sabien的团队私下交易数字访问权、搜索错误并为客户编写漏洞利用代码。这些大笔资金中有80%来自五角大楼和环境机构,其余来自执法部门。目标是帮助这些机构找到秘密进入。对手的系统方法,对手可能是民族国家,恐怖分子,贩毒集团或低级犯罪分子。有些项目靠运气。如果他们在广泛使用的产品中发现漏洞,例如Windows,他们会开发一个漏洞,然后将其出售给尽可能多的机构。但大部分工作都是有针对性的:情报机构想要监视俄罗斯驻基辅大使馆,或巴基斯坦驻贾拉拉巴德领事馆大使馆。萨比安的团队必须进行侦察,确定目标计算机及其运行的操作系统环境,并找到进入内部的方法。只要有人写的代码,人设计、构建和配置e机构,会有访问方法。但找到漏洞只是成功的一半,另一半是精心设计和完善漏洞利用程序,以便政府机构拥有可靠、干净的入口点。Sabian的客户不只是有访问权限,他们想要的是不被发现的渗透,一种植入隐形后门的方法,一种即使在检测到入侵后仍继续渗透的方法,并将敌人的数据拖回他们的命令-和-在不触发警报的情况下控制服务器。”他们想要的是整个“杀伤链”,能够进入、传输命令、窃取数据、隐藏等等。与特种部队和海豹六队类似,他们有狙击手、扫雷兵、撤离人员,甚至还有破门器。“零日漏洞利用,特洛伊木马,提供可靠性,隐蔽性,持久性。这是一个链式链接。很难同时拥有这三个,但是一旦拥有,“完成!”我让他说说具体的漏洞利用,他像初恋一样回忆起自己的最爱,那是一张音频存储卡的零日漏洞,这张存储卡运行在电脑的固件中,几乎不可能找到也无法删除,唯一的办法就是扔掉电脑离开。”这是最好的利用方式。“间谍进入一台电脑后,首先要做的就是监视其他间谍,如果发现有人在用这台电脑向指挥服务器发送信息,就必须删除,不管对方在干什么.在同一台计算机上在网上发现其他间谍并不少见,尤其是在高级外交官、军火商或恐怖分子的网络中。惠普打印机有一个零日漏洞,被“世界各地的政府机构”利用,这个漏洞可以捕获通过打印机的任何文件,创建一个IT管理员几乎不想怀疑的“滩头阵地”。最初寻求零日攻击的政府机构并不多。美国国家安全局吹嘘自己拥有情报界规模最大、能力最强的网络军队,当时情报界并没有寻求外界帮助。但在20世纪90年代中期,随着互联网在大众层面的普及,越来越多的情报机构担心在互联网应用开发方面落后。在1990年代后期,中央情报局特遣部队认为自己对这一趋势毫无准备,其他情报机构也有同感,并认为自己落后得更远。因此,购买零日漏洞的需求迅速增长。几乎与此同时,美国驻非洲(例如肯尼亚和坦桑尼亚)大使馆发生爆炸事件,导致需求激增。在1990年代,国会不断削减军费开支,同时坚持批准模糊的“网络安全”预算,无论是用于进攻还是防御。政策制定者认为,借用前美国战略指挥官詹姆斯·埃利斯的话,网络冲突“就像格兰德河,一英里宽一英寸深”。在情报机构内部,每个人都同意最好的零日攻击意味着最好的情报,这意味着更多的预算投入。Sabien正是在这个需求即将爆发的时期进入了零日交易市场。他的团队开发的零日漏洞利用程序不足以满足大量需求,而且不同的情报机构希望访问相同的系统,因此Sabian将相同的漏洞利用程序出售给多个机构。在1998年大使馆爆炸事件和2001年9/11事件之后,在接下来的五年中,从国防部到情报机构再到政府承包商,对数字间谍活动的需求每年继续增长50%。查找错误和开发漏洞需要时间,因此Sabian认为外包漏洞发现将是节省时间和提高生产力的最有效方式。他们仍然会编写漏洞利用程序,但为什么不利用大量的外部黑客资源来为他们提供“原材料”呢?“我们知道没有办法找到所有的错误,但我们也知道进入门槛很低,任何人都可以找到它们。”戴尔利用2,000美元。”1990年代后期,Sabian的团队开始寻求外部黑客资源,美国地下零日市场应运而生。如前所述,这个市场还催生了iDefense和其他类似的提供商。Sabion的故事读起来就像一部间谍小说,到处都是隐藏的会议、装满现金的口袋和隐藏的中间人,除了它不是文学或幻想,它是真实的。?爆发于1990年代,政府机构花费约100万购买了一套10个exploit,Sabian团队用一半的钱购买了exploit,然后自己开发了exploit。类似普通Windows系统的漏洞价格为5万美元,但如果是很少被重点敌人利用的系统,漏洞价格将达到10万美元。更重要的是,如果它允许政府间谍渗透到敌人的系统中,同时保持不被发现和潜伏很长一段时间,价格很容易达到150,000美元。为Sabian提供漏洞利用的黑客主要在东欧。苏联解体后,出现了大量有技能但失业的人。在欧洲,15岁和16岁的黑客经常将他们发现的漏洞出售给政府机构或代理人。Sabian告诉我,以色列有一些最有才华的黑客,他们是以色列8,200部队的老兵,其中最优秀的黑客之一是一名16岁的以色列男孩。零日交易是一项隐秘而繁琐的业务。Sabian的团队不可能直接打电话给黑客,要求他们通过电子邮件发送漏洞利用程序,然后寄给他们一张支票。必须在各种系统上仔细测试漏洞和漏洞利用。有时黑客会在视频中进行演示,但大多数交易都是面对面的,通常是在黑客聚集的酒店房间内进行。Sabien的业务越来越依赖中间商。多年来,在波兰或整个东欧,将装满数十万现金的旅行袋扔在零日中介面前,向黑客购买漏洞利用程序的场景屡见不鲜。依靠信任和沉默法则是贯穿整个零日交易链的关键。政府必须拥有能够提供有效漏洞利用的信息承包商,并且承包商必须相信中间商和黑客不会在未经授权的情况下暴露漏洞或将其转售给对手。黑客必须相信承包商会付钱给他们,而不是得到一个漏洞演示并自己开发并声称是他们自己的。那时候还没有比特币,有些付款是通过西联汇款进行的,但大部分仍然是现金。如果你曾经进入过这个市场,你就会知道这种交易是多么低效。这就是为什么在2003年,Sabian注意到iDefense公开购买漏洞并致电Waters。对于像沃特斯这样试图公开漏洞市场的商人来说,承包商的做法是愚蠢的,甚至是危险的。“没有人愿意公开谈论他们在做什么,”沃特斯回忆道。“整个过程都笼罩在一种神秘的气氛中。但市场越不透明,效率就越低。市场越开放,就会越成熟,买家的主动性就会越大。”如果不打开潘多拉魔盒,价格会一直上涨。“到2004年底,来自政府和前台公司(隐瞒真实身份的前台公司)的大量需求不断提高漏洞利用价格,给iDefense带来了巨大的竞争压力。但随着市场的扩大,它确实给了沃而不是市场层面的影响,苔丝对全面爆发网络战的可能性越来越大感到困扰。冷战的确定性反而助长了数字世界的狂野时代,没有人确定敌人会在何时何地出现。美国情报机构越来越依赖网络间谍活动来收集尽可能多的敌人数据。不仅是窃听,他们还在寻找可以破坏基础设施并使电网瘫痪的代码。渴望这些工具的华盛顿合同每年都在翻一番。最大的承包商,LockheedMartin、Raytheon、NorthrowGrumman、Boeing等,来不及聘请更多的网络安全专家,所以他们从情报机构内部挖人,收购较小的承包商,比如Sabian的团队。情报机构开始招募来自法国Vupen的零日机构,得到了利用。这个机构现在是Zerodium。他们在华盛顿附近设立了办事处,并在网上公布了一个价格,悬赏高达100万美元(现在已经达到250万美元),以获得远程入侵iPhone的漏洞。该公司网站上以前的标语是:“我们支付大笔资金,而不是漏洞赏金。前国家情报局人员也开始了自己的业务,例如ImmunityInc,为外国政府提供间谍技术培训。一些承包商,例如CberPoint,已将业务扩展到海外,进驻阿联酋首都阿布扎比,阿联酋政府奖励国家安全局的黑客,因为他们帮助阿联酋成功入侵了敌对国家。巨大的需求持续带动提高了漏洞的价格。不久之后,另一个零日交易者Crowdfense的出价超过了Zerodium。最终,这些工具将被美国使用。到Sabian同意在2015年与我会面时,零日市场真的形成了。“在90年代,开发漏洞并进行交易只是一个很小的圈子。现在它非常商业化,”他挥舞着手指画了一个大圆圈,象征着华盛顿大道上的承包商。“我们被包围了,有100多个承包商在经营这项业务。“美国政府机构创造的市场并不是萨宾退出的原因,而是海外的需求让他感到不安。“每个人都有自己的敌人,即使是你想都没想过的国家,也在挖坑以备不时之需。大多数国家只是想保护自己,但很快这些国家就会意识到,他们必须伸出手去接触别人。”“再这样下去,肯定会出事,结局肯定不会好。”说完,萨宾起身离开。注:本文节选自NicolePerrose的书?。字幕由译者编写。
