黑客出售代码漏洞生意火爆 各国重金购买

　　在小小的地中海岛国马耳他，两位意大利黑客一直在寻找电脑代码中的秘密漏洞。各国政府愿意花费数十万美元购买黑客所发现的漏洞，学习并加以利用。

　　今年32岁的鲁吉·奥列玛(Luigi Auriemma)和28岁的多纳托·弗拉特(Donato Ferrante)向一些国家销售电脑漏洞等技术详细信息，这些国家希望借此侵入敌对国的电脑系统。奥列玛和弗拉特供职于ReVuln公司，他们并未披露其公司客户，但是重要买家中包含了NSA及其敌对国伊朗革命卫队等。NSA希望找到美国不断扩大的网络武器军火库的漏洞。

　　出售电脑代码漏洞的业务正日益兴起，遍布全世界，从南非到韩国。黑客将微软Windows系统中出现的软件代码漏洞称之为“零日”漏洞(zero days)，买家们可以利用这一漏洞自由访问一台电脑，企业、机构或者个人的PC。

　　政府买家

　　就在几年前，奥列玛和弗拉特等黑客就可以将代码漏洞出售给微软、苹果等公司，后者再予以修复。上月，微软大幅提升了漏洞发现奖金，黑客所发现的漏洞最高可获得15万美元奖励。不过随着一些国家希望利用电脑漏洞达成某种临时性成功，电脑漏洞的售价也越来越高。美国和以色列在三年前就利用一种名为“Stuxnet”的电脑蠕虫攻击了伊朗核浓缩项目。

　　“各国政府现在会说，‘为了尽最大可能保护我们的国家’，我需要找出其他国家的网络漏洞，”美国白宫前网络安全协调员霍华德·施密特(Howard Schmidt)表示，“问题是，我们的网络安全性已经从根本上降低。”

　　零日漏洞非常简单，就如同一名黑客发现了一个需要密码的在线账户，但实际上并不需要任何密码就可以登录。通过敲击“回车”键绕过系统就是一次零日漏洞利用。杀毒软件开发商赛门铁克表示，在零日漏洞被发现前，它的平均攻击时间维持将近1年--312天。到那时，犯罪分子和政府就可以利用或“武装”这些漏洞，对目标进行侦查、窃取或攻击。

　　淘金热

　　如今，电脑漏洞信息出售市场出现了新一轮的淘金热。NSA前雇员爱德华·斯诺登(Edward J. Snowden)曝出的监听丑闻已经让外界明确知道，美国就是电脑漏洞的买家之一。不过市场中肯定不止美国一家。

　　以色列、英国、俄罗斯、印度以及巴西也是重要买家，朝鲜以及一些中东情报部门也位列其中。华盛顿战略和国际研究中心称，马来西亚、新加坡等亚太国家也参与了这一市场的买卖。

　　对于那些急于取代老牌军火承包商的创业公司来说，他们销售电脑漏洞以及如何使用这些漏洞的专业知识，这已经成为了一个利润丰厚的商机。法国Vupen 、美国Exodus Intelligence等公司都在大做广告称，他们销售有关网络间谍甚至是网络武器的漏洞知识。

　　美国维吉尼亚州一家名为Endgame的创业公司开发了多种工具，可发现漏洞，可用于抗击网络间谍和网络攻击目的，但现在主要向美国出售。和ReVuln一样，这些公司都不愿意披露他们的客户名字。不过Netragard创始人阿德瑞尔·德斯特尔斯(Adriel Desautels)表示，他们的客户完全是美国公司。过去三年，Netragard的“收购开发项目”(exploit acquisition program)规模已经增加了一倍，漏洞的平均销售价格在大约3.5万美元至16万美元。

　　漏洞奖励计划

　　很多科技公司已经启动了“漏洞奖励”计划。他们向黑客支付一定现金，获取系统中的漏洞信息，以防黑客们自己保留，或在黑市中出售。大约在10年前，Mozilla基金会启动了首个奖励计划，向发现火狐浏览器漏洞的黑客提供奖励。自此之后，谷歌、Facebook、Paypal纷纷仿效。近几个月，奖金规模已经大幅飙升。

　　2010年，谷歌向Chrome浏览器漏洞的发现者开出了3133.70美元奖金。而在上月，谷歌将多数产品中的漏洞发现奖金提高到了2万美元。Facebook在2011年启动了类似奖励计划，至今已经支付了100万美元，这其中包含向一位13岁孩子支付2500美元，单笔最大漏洞奖金支付为2万美元。

　　微软长期以来一直抵制这种奖励计划，但该软件巨头态度上月发生了重大转变。微软上月宣布，如果黑客发现了一个漏洞，并提供了抵御方法，微软将向其最多奖励15万美元。

　　苹果尚未提供类似计划，发现该公司的漏洞也是黑客们梦寐以求的事情。两位知情人士称，苹果iOS系统中的零日漏洞售价曾经高达50万美元。

　　美国开辟这一市场

　　从多个方面讲，美国政府开辟了这一市场。当美国和以色列利用一系列漏洞，包括Windows字体项目中的一个漏洞，发动名为Stuxnet的蠕虫项目攻击时，他们向世界展示了一切皆有可能。 Stuxnet是一种尖端网络武器，用以临时性摧毁伊朗的铀浓缩能力，它也是网络军备竞赛的催化剂。

　　2007年，美国NSA前雇员查理·米勒(Charlie Miller)在一份现在看来非常具有前瞻性的报告中描述了黑客利用漏洞赚钱的替代性方案。黑客此前要么是将漏洞信息免费提供给厂商，要么就以数千美元出售。

　　米勒称，一家美国政府机构就曾为他所发现的一个Linux漏洞支付1万美元。他还为另一个漏洞要价8万美元，随后就“过于迅速地”获得同意。“我可能要的还不够多。”他说。

　　专家称，在一个政府机构为主要参与者的市场中，监管将十分有限。“如果你尝试限制业务合作伙伴，你可能就会被踢出市场，”施密特称，“如果有人向你推销一种可以影响数百万台设备的漏洞，然后说，‘如果支付我想要的价格，你将成为唯一拥有该漏洞的人’，肯定还会有人愿意支付这笔费用。”

　　“不幸的是，”他说，“网络空间中的与魔鬼共舞的现象十分普遍。”