本报记者秦枭北京报道
总部位于阿联酋的Crowd-fense公司近日公开宣布,将花费3000万美元(约2.17亿元人民币)向安全研究人员购买“零日漏洞”。
“零日漏洞”是网络对抗中的一个关键概念,指在重要软硬件产品中发现且未修复的逻辑漏洞,具有高度稀缺性和潜在破坏性。
《中国经营报》记者注意到,近几年,世界各地的各种公司一直向安全研究人员提供赏金,悬赏出售漏洞和利用这些漏洞的黑客技术。这也使得“零日漏洞”灰产“野蛮生长”。
多位业内人士向记者表示,“零日漏洞”不仅是攻击者技术实力的能力体现,也是安全防御者技术实力的重要指标,黑客与安全专家都喜欢“零日漏洞”,只是前者用于发动攻击,后者用于提早防范。随着iOS与Android两大操作系统的安全性提升,使得入侵手机变得更为困难,公开交易售卖的“零日漏洞”少,价格也水涨船高。
巨额赏金
从发现“零日漏洞”到实施攻击,一般要经过五步。第一步,要耐心寻找“零日漏洞”的踪迹;第二步,当发现疑似漏洞后,再验证其真实性;第三步,根据这个“零日漏洞”,编织出攻击代码;第四步,绕过网络管理者的防线,让攻击代码悄无声息地潜入;第五步,通过植入恶意软件,发动零日攻击,让攻击行动达到预期的效果。
此前,苹果就曾遭到“零日漏洞”攻击。信息安全厂商卡巴斯基指出,黑客组织利用名为“Triangu-lation”的恶意软件,通过iMessage短信发送,整个过程不需要受害者采取任何行动。一旦被感染,iPhone就会将麦克风录音、照片、地理位置数据和其他敏感信息传输到攻击者控制的服务器上。据悉,“Triangu-lation”包含四个“零日漏洞”,分别是CVE-2023-41990、CVE-2023-32434、CVE-2023-32435以及CVE-2023-38606。
漏洞一般用CVE加年份加代码组成,CVE编号这个编号在全球范围内是独一无二的,用于明确标识和区分不同的安全漏洞。CVE编号通常遵循一定的格式,如CVE-年份-顺序号。
而这些漏洞,正是通过市场交易得来。一位网络安全公司的程序员告诉记者,“零日漏洞”交易市场一般分为两个途径。第一个途径,是正规公司主动购买“零日漏洞”,以便完善自己的程序代码。发现“零日漏洞”的研究人员可以将其报告给受影响的公司,其中许多公司通过奖金的方式来奖励研究人员。另一途径则是黑市,这也是大部分人的选择,他们将持有的“零日漏洞”卖给一些中介公司。该程序员表示,相较于公司给出的奖金,显然在“黑市”交易得到的回报更为丰厚。
天使投资人、资深人工智能专家郭涛表示,尽管某些安全公司声称遵守国际法规,并将漏洞细节仅出售给信任的机构或国家,但法律对于这一行为的管控并不明确。实际上,漏洞的发现者和卖家往往更愿意将漏洞卖给出价更高的黑产组织,因为从这些组织那里获得的回报远远超过了向官方机构或漏洞所在公司提交漏洞的奖励。
日前,在俄罗斯的Operation Zero公司在Telegram和X(即推特)官方账户上宣布,他们将把发现iOS和安卓系统的移动终端的“零日漏洞”报酬从20万美元提高到2000万美元。
和Operation Zero公司类似,总部位于阿联酋的Crowdfense近日宣布将启动漏洞购买计划,斥资3000万美元购买各种手机、软件等移动终端的“零日漏洞”。
记者注意到,在一些“零日漏洞”采购价格表中,“零日漏洞”的价格从数千美元到数百万美元价格不等。
数字业务安全专家田际云对记者表示,“零日漏洞”价格高涨是因为其特殊性,一是因为突发性、破坏力大、无法防范,攻击效果高;二是公开交易售卖的“零日漏洞”少,物以稀为贵;三是,“零日漏洞”不仅是攻击者技术实力的能力体现,也是安全防御者技术实力的重要指标,黑客与安全专家都喜欢“零日漏洞”,只是前者用于发动攻击,后者用于提早防范。
郭涛认为,“零日漏洞”价格高涨的原因主要有两点:一是iOS与Android两大操作系统的安全性提升,使得入侵手机变得更为困难;二是由于特定事件,一些组织可能面临研究人员合作意愿下降的问题,因此不得不溢价购买。
无法根除
市场的经济利益巨大,发现并利用“零日漏洞”带来的高额收入使得灰产无法根除。
郭涛表示,尽管有些组织和个人致力于道德黑客行为,希望通过合适的渠道报告而非利用这些漏洞,但仍有部分人选择通过非法途径出售这些漏洞来获取金钱利益。此外,技术的不断发展意味着新的“零日漏洞”会源源不断地出现,使得彻底根除这一市场变得几乎不可能。
“软件程序是人编写,一定会有漏洞,只是有的已发现,有的还未被发现而已。这就导致‘零日漏洞’无穷无尽。”田际云说道,“在网络普及的今天,‘零日漏洞’交易具有跨境性和匿名性的特征,这就导致无法对‘零日漏洞’交易进行有效监管和打击变得困难。并且,一些国家缺乏明确的法律规定,监管部门的能力与资源不足,这也为‘零日漏洞’交易提供了便利。”
不仅如此,人工智能的快速发展也让“零日漏洞”交易更加猖獗。只要提供清晰、明确的指示,ChatGPT甚至能够生成功能性代码。最近一位自称为恶意软件开发新手的研发者AaronMulgrew,在极短时间内利用ChatGPT创造出了一个“零日漏洞”,该漏洞可以从受攻击的设备中窃取敏感数据。这款恶意软件成功规避了谷歌VirusTotal平台上所有合作供应商的安全检测。
Mulgrew说道:“如果没有基于AI的Chatbot,我估计可能需要一个包含5到10名恶意软件开发人员的团队,花费数周时间才能发现这么一个漏洞,尤其是还要逃避所有的安全检测机制。”
在一些国家,“零日漏洞”交易是被允许,但也仅限于指定组织和结构。田际云表示,例如,情报机构利用“零日漏洞”用于国家安全、反恐;军事部门可利用“零日漏洞”进行网络攻防演练、网络武器开发;安全公司利用“零日漏洞”研发安全软件、提升网络安全防御能力;软件厂商、服务平台利用“零日漏洞”修补其产品的安全漏洞,提高产品的安全性。
不过,在国内,“零日漏洞”交易属于涉及网络安全的活动,受到严格的监管,旨在防止漏洞被恶意利用,保护国家、企业和个人的利益。
近几年,国内也陆续出台了相关的法律法规,来监管“零日漏洞”的相关行为。例如,2017年6月1日实施的《中华人民共和国网络安全法》明确规定:“发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。”“开展网络安全认证、检测、风险评估等活动,向社会发布系统漏洞、计算机病毒、网络攻击、网络侵入等网络安全信息,应当遵守国家有关规定。”
2021年9月1日,工业和信息化部、国家互联网信息办公室、公安部发布的《网络产品安全漏洞管理规定的通知》规定:“任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动,不得非法收集、出售、发布网络产品安全漏洞信息;明知他人利用网络产品安全漏洞从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助”。“为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持的,由公安机关依法处理;构成《中华人民共和国网络安全法》第六十三条规定情形的,依照该规定予以处罚;构成犯罪的,依法追究刑事责任。”