本報記者 秦枭 北京報道
總部位于阿聯酋的Crowdfense公司近日公開宣布,将花費3000萬美元(約2.17億元人民币)向安全研究人員購買“零日漏洞”。
“零日漏洞”是網絡對抗中的一個關鍵概念,指在重要軟硬體産品中發現且未修複的邏輯漏洞,具有高度稀缺性和潛在破壞性。
《中國經營報》記者注意到,近幾年,世界各地的各種公司一直向安全研究人員提供賞金,懸賞出售漏洞和利用這些漏洞的黑客技術。這也使得“零日漏洞”灰産“野蠻生長”。
多位業内人士向記者表示,“零日漏洞”不僅是攻擊者技術實力的能力展現,也是安全防禦者技術實力的重要名額,黑客與安全專家都喜歡“零日漏洞”,隻是前者用于發動攻擊,後者用于提早防範。随着iOS與Android兩大作業系統的安全性提升,使得入侵手機變得更為困難,公開交易售賣的“零日漏洞”少,價格也水漲船高。
巨額賞金
從發現“零日漏洞”到實施攻擊,一般要經過五步。第一步,要耐心尋找“零日漏洞”的蹤迹;第二步,當發現疑似漏洞後,再驗證其真實性;第三步,根據這個“零日漏洞”,編織出攻擊代碼;第四步,繞過網絡管理者的防線,讓攻擊代碼悄無聲息地潛入;第五步,通過植入惡意軟體,發動零日攻擊,讓攻擊行動達到預期的效果。
此前,蘋果就曾遭到“零日漏洞”攻擊。資訊安全廠商卡巴斯基指出,黑客組織利用名為“Triangulation”的惡意軟體,通過iMessage短信發送,整個過程不需要受害者采取任何行動。一旦被感染,iPhone就會将麥克風錄音、照片、地理位置資料和其他敏感資訊傳輸到攻擊者控制的伺服器上。據悉,“Triangulation”包含四個“零日漏洞”,分别是CVE-2023-41990、CVE-2023-32434、CVE-2023-32435以及CVE-2023-38606。
漏洞一般用CVE加年份加代碼組成,CVE編号這個編号在全球範圍内是獨一無二的,用于明确辨別和區分不同的安全漏洞。CVE編号通常遵循一定的格式,如CVE-年份-順序号。
而這些漏洞,正是通過市場交易得來。一位網絡安全公司的程式員告訴記者,“零日漏洞”交易市場一般分為兩個途徑。第一個途徑,是正規公司主動購買“零日漏洞”,以便完善自己的程式代碼。發現“零日漏洞”的研究人員可以将其報告給受影響的公司,其中許多公司通過獎金的方式來獎勵研究人員。另一途徑則是黑市,這也是大部分人的選擇,他們将持有的“零日漏洞”賣給一些中介公司。該程式員表示, 相較于公司給出的獎金,顯然在“黑市”交易得到的回報更為豐厚。
天使投資人、資深人工智能專家郭濤表示,盡管某些安全公司聲稱遵守國際法規,并将漏洞細節僅出售給信任的機構或國家,但法律對于這一行為的管控并不明确。實際上,漏洞的發現者和賣家往往更願意将漏洞賣給出價更高的黑産組織,因為從這些組織那裡獲得的回報遠遠超過了向官方機構或漏洞所在公司送出漏洞的獎勵。
日前,在俄羅斯的Operation Zero公司在Telegram和X(即推特)官方賬戶上宣布,他們将把發現iOS和安卓系統的移動終端的“零日漏洞”報酬從20萬美元提高到2000萬美元。
和 Operation Zero公司類似,總部位于阿聯酋的 Crowdfense 近日宣布将啟動漏洞購買計劃,斥資3000萬美元購買各種手機、軟體等移動終端的“零日漏洞”。
記者注意到,在一些“零日漏洞”采購價格表中,“零日漏洞”的價格從數千美元到數百萬美元價格不等。
數字業務安全專家田際雲對記者表示,“零日漏洞”價格高漲是因為其特殊性,一是因為突發性、破壞力大、無法防範,攻擊效果高;二是公開交易售賣的“零日漏洞”少,物以稀為貴;三是,“零日漏洞”不僅是攻擊者技術實力的能力展現,也是安全防禦者技術實力的重要名額,黑客與安全專家都喜歡“零日漏洞”,隻是前者用于發動攻擊,後者用于提早防範。
郭濤認為,“零日漏洞”價格高漲的原因主要有兩點:一是iOS與Android兩大作業系統的安全性提升,使得入侵手機變得更為困難;二是由于特定事件,一些組織可能面臨研究人員合作意願下降的問題,是以不得不溢價購買。
無法根除
市場的經濟利益巨大,發現并利用“零日漏洞”帶來的高額收入使得灰産無法根除。
郭濤表示,盡管有些組織和個人緻力于道德黑客行為,希望通過合适的管道報告而非利用這些漏洞,但仍有部分人選擇通過非法途徑出售這些漏洞來擷取金錢利益。此外,技術的不斷發展意味着新的“零日漏洞”會源源不斷地出現,使得徹底根除這一市場變得幾乎不可能。
“軟體程式是人編寫,一定會有漏洞,隻是有的已發現,有的還未被發現而已。這就導緻‘零日漏洞’無窮無盡。”田際雲說道,“在網絡普及的今天,‘零日漏洞’交易具有跨境性和匿名性的特征,這就導緻無法對‘零日漏洞’交易進行有效監管和打擊變得困難。并且,一些國家缺乏明确的法律規定,監管部門的能力與資源不足,這也為‘零日漏洞’交易提供了便利。”
不僅如此,人工智能的快速發展也讓“零日漏洞”交易更加猖獗。隻要提供清晰、明确的訓示,ChatGPT甚至能夠生成功能性代碼。最近一位自稱為惡意軟體開發新手的研發者Aaron Mulgrew,在極短時間内利用ChatGPT創造出了一個“零日漏洞”,該漏洞可以從受攻擊的裝置中竊取敏感資料。這款惡意軟體成功規避了谷歌VirusTotal平台上所有合作供應商的安全檢測。
Mulgrew說道:“如果沒有基于 AI 的 Chatbot ,我估計可能需要一個包含 5 到 10 名惡意軟體開發人員的團隊,花費數周時間才能發現這麼一個漏洞,尤其是還要逃避所有的安全檢測機制。”
在一些國家,“零日漏洞”交易是被允許,但也僅限于指定組織和結構。田際雲表示,例如,情報機構利用“零日漏洞”用于國家安全、反恐;軍事部門可利用“零日漏洞”進行網絡攻防演練、網絡武器開發;安全公司利用“零日漏洞”研發安全軟體、提升網絡安全防禦能力;軟體廠商、服務平台利用“零日漏洞”修補其産品的安全漏洞,提高産品的安全性。
不過,在國内,“零日漏洞”交易屬于涉及網絡安全的活動,受到嚴格的監管,旨在防止漏洞被惡意利用,保護國家、企業和個人的利益。
近幾年,國内也陸續出台了相關的法律法規,來監管“零日漏洞”的相關行為。例如,2017年6月1日實施的《中華人民共和國網絡安全法》明确規定:“發現其網絡産品、服務存在安全缺陷、漏洞等風險時,應當立即采取補救措施,按照規定及時告知使用者并向有關主管部門報告。”“開展網絡安全認證、檢測、風險評估等活動,向社會釋出系統漏洞、計算機病毒、網絡攻擊、網絡侵入等網絡安全資訊,應當遵守國家有關規定。”
2021年9月1日,工業和資訊化部、國家網際網路資訊辦公室、公安部釋出的《網絡産品安全漏洞管理規定的通知》規定:“任何組織或者個人不得利用網絡産品安全漏洞從事危害網絡安全的活動,不得非法收集、出售、釋出網絡産品安全漏洞資訊;明知他人利用網絡産品安全漏洞從事危害網絡安全的活動的,不得為其提供技術支援、廣告推廣、支付結算等幫助”。“為他人利用網絡産品安全漏洞從事危害網絡安全的活動提供技術支援的,由公安機關依法處理;構成《中華人民共和國網絡安全法》第六十三條規定情形的,依照該規定予以處罰;構成犯罪的,依法追究刑事責任。”