據(jù)雅虎新聞網(wǎng)5月11日引言路透社的報道：即使美國政府在普遍的互聯(lián)網(wǎng)間諜上遭遇強勁對手，它已成為這一迅速發(fā)展的灰色市場的最大買家，黑客和安全公司紛紛出售入侵計算機的工具。

美國的戰(zhàn)略引起了技術(shù)行業(yè)和情報界的擔(dān)心，華盛頓事實上是在鼓勵黑客行動，未能向軟件公司和用戶披露購買的黑客工具所利用的漏洞。

這是因為美國情報和軍事機構(gòu)沒有在購買主要用于抵御攻擊的工具。相反，他們在使用滲透海外計算機網(wǎng)絡(luò)的工具，對能干擾數(shù)據(jù)或危害系統(tǒng)的間諜計劃和網(wǎng)絡(luò)武器不予理睬。

核心問題是：間諜攻擊和網(wǎng)絡(luò)武器依靠現(xiàn)有軟件程序中的漏洞，如果缺陷通過公共警告得以曝光，那么這些黑客技巧就不那么管用。所以，政府在進攻性技巧上花費約多，其對確保廣泛使用的軟件中的安全漏洞不被修補的興趣越大。而且，投向進攻的資金會將從事防御的一些天才研究人員吸引過來，而納稅人的錢在停止流向技藝高超的黑客的同時供應(yīng)給了犯罪集團。一位曾經(jīng)在國家安全局工作過的推特公司的安全研究人員查理米勒說：“唯一付出代價的人是從事進攻性工作的一方。”

國家安全局發(fā)言人同意說黑客工具的擴散是一個重大關(guān)切，但不愿對該局購買這些工具中所起的作用進行評論，稱話題“敏感”。

美國的進攻性網(wǎng)絡(luò)戰(zhàn)戰(zhàn)略——包括總的綱要和總的開支水平——是保密信息。官員從為公開承認(rèn)從事進攻性網(wǎng)絡(luò)戰(zhàn)，盡管有一次被廣泛報道 ——使用“震網(wǎng)”病毒破壞伊朗核研究計劃——受到華盛頓的稱贊。

之前官員向路透社確認(rèn)美國政府驅(qū)動了“震網(wǎng)”的開發(fā)，五角大樓正在通過新組建的網(wǎng)絡(luò)司令部擴展其進攻性能力。

“震網(wǎng)”病毒盡管不是一般的厲害，但不是一個孤立案例。公共和私營部門的計算機研究人員說美國政府主要通過防務(wù)承包商來代理，已經(jīng)成為建立模糊而龐大的被成為黑客程序的商業(yè)市場的主要推手，黑客程序挖掘隱藏的計算機漏洞。

從最常見的用途來看，黑客程序很重要，但在大型程序中是可相互交換的組件。這些程序可盜竊金融賬戶的秘密，將iPhone轉(zhuǎn)換為監(jiān)聽設(shè)備，或向“震網(wǎng)”病毒破壞核設(shè)施。

想象一下一個布滿暗門的大型建筑，每道門都有不同的鑰匙。只要你發(fā)現(xiàn)正確的鑰匙，每道門你都可以進入。

對鑰匙的爭奪日趨激烈。根據(jù)資深的研究人員和政府前高級官員稱，國防部和美國情報機構(gòu)，尤其是國家安全局投入巨資獲取有關(guān)商業(yè)計算機系統(tǒng)的漏洞信息并加以利用的黑鞋程序，他們將安全研究世界完全顛倒了。

許多天才的黑客曾經(jīng)向微軟之類的安全公司提出過其產(chǎn)品的安全缺陷，他們現(xiàn)在開始向最高價的競標(biāo)者出售信息和黑客程序，有時通過中間人來交易，他們與最后的買家從未謀面。工業(yè)主管們私下說，國防承包商和機構(gòu)一年至少花費上千萬美元購買黑客程序，它們是巨大的網(wǎng)絡(luò)武器行業(yè)的一個重要組成部分。

前白宮網(wǎng)絡(luò)安全顧問霍華德斯密特和理查德克拉克在接受采訪時說，政府在這方面一直將重點過多地放在進攻性能力上，置美國公司和消費者于風(fēng)險之中。

克拉克說：“如果美國政府知道了可以利用的漏洞，正常情況下，其首要任務(wù)是告訴美國用戶。應(yīng)該有某種機制，決定他們?nèi)绾卧谶M攻和防御中利用這些信息，但現(xiàn)在還沒有這種機制。”

前國家安全局局長米克爾海登承認(rèn)存在戰(zhàn)略權(quán)衡，稱：“傳統(tǒng)上在保護進攻性能力和加強防御之間一直要謹(jǐn)慎計算。鑒于我們所遭受的損失，在重要的政策層面我們應(yīng)該重新解決這一問題。”

這一問題是敏感的，它正值美國最新披露了遭受黑客攻擊的幅度和規(guī)模，而且美國情報官員將攻擊矛頭指向中國之時。中國官員否認(rèn)這些指責(zé)，稱他們也是黑客攻擊的受害者。

今年，美國官員告訴國會說脆弱的互聯(lián)網(wǎng)安全已經(jīng)超越恐怖主義成為美國最大的單一威脅，良好的風(fēng)險信息共享十分重要。但進行之中的美國兩大倡議計劃——網(wǎng)絡(luò)安全立法正在國會討論，奧巴馬總統(tǒng)2月份的行政命令——都沒有要求國防和情報機構(gòu)擴散他們所知道的漏洞以幫助私營部門進行自我防御。

多數(shù)公司，包括微軟、蘋果和Adobe系統(tǒng)公司原則上不會向報告缺陷的研究人員支付報酬，稱他們不希望鼓勵黑客。那些支付“獎賞”的公司，包括谷歌和臉譜公司，稱他們身處困境，希望競爭到國防工業(yè)的經(jīng)費開支。

一些國家安全官員和安全主管稱美國的戰(zhàn)略邏輯上是完美無瑕的。美國政府最好能夠購買黑客程序以免落入獨裁者或有組織犯罪分子的手中。

當(dāng)美國某機構(gòu)知道了某個漏洞，但并未向公眾提出警告，就會出現(xiàn)意料之外的后果。如果惡意力量購買了有關(guān)漏洞的信息或獨立發(fā)現(xiàn)了這一漏洞，在公司研發(fā)出補丁之前，他們就可以用來造成損害或進行間諜或欺騙活動。而且，當(dāng)美國推出一種含有黑客程序的軟件程序時，在發(fā)出公告警告或補丁之前可以被發(fā)現(xiàn)并迅速復(fù)制，用來攻擊美國的利益。

即使發(fā)布補丁之后也會發(fā)生一些損失。

微軟及其客戶就曾發(fā)生這種事情。就是一款很小的被稱為Duqu的惡意軟件。專家說它是設(shè)計用來竊取伊朗的工業(yè)設(shè)施的設(shè)計，它被用作黑客程序，引發(fā)計算機安裝偽裝成字體的惡意軟件。

2011年發(fā)現(xiàn)之后分析這一程序的人認(rèn)為它是美國機構(gòu)制造的。盡管 Duqu在某些方面很像“震網(wǎng)”病毒。但他們不能確定它是如何組裝的，或這一間諜工具是否完成了使命。

可以肯定的是黑客復(fù)制了Duqu原先聞所未聞的入侵計算機的方法，轉(zhuǎn)變?yōu)?ldquo;利用工具包”，一個被稱為黑洞，另一個被稱為Cool。這兩個工具被賣給全世界的黑客。然后微軟發(fā)布漏洞補丁。

盡管如此，據(jù)芬蘭一家名為F-Secure的安全公司稱，黑客去年用它攻擊了美國千分之十六的計算機，其他一些國家比例更高。在2012年下半年，這一漏洞成為已知上萬漏洞中被使用的頻率名列第二。當(dāng)黑客程序工作時，黑客就安裝許多惡意軟件，包括用于盜取金融登陸信息的臭名昭著的Zeus病毒軟件，該軟件從銀行盜取了幾千萬美元。微軟公司不愿說該公司是否就Duqu和其他程序與美國官員進行對質(zhì)，但一位主管說該公司反對“我們的產(chǎn)品被用于惡意目的。”

美國前國家安全局局長海登和其他高級官員夸口說美國網(wǎng)絡(luò)空間的進攻性能力是全世界最好的。但在2010年之前，當(dāng)一個小型實驗室發(fā)現(xiàn)名為“震網(wǎng)”的蠕蟲病毒時，外界對此幾乎沒有一無所知。

幾個國家的安全專家小組花費了幾個月對該病毒進行了解析。他們發(fā)現(xiàn)它是經(jīng)過精心設(shè)計的，從便攜的閃存盤發(fā)送的，通過聯(lián)網(wǎng)的基于Windows操作系統(tǒng)的個人計算機進行擴散，入侵到運行德國西門子公司制造的工業(yè)控制軟件的機器。

“震網(wǎng)”病毒在許多方面是獨特的。其中之一是利用了Windows系統(tǒng)四個原先不知道的漏洞。在工業(yè)界，這種漏洞的利用被稱為“零時差攻擊”。漏洞被報道后，安裝安全補丁花了幾個月。

即使明白軟件得到更新，零時差攻擊也將起作用。專家稱及時是某個程序的一次的零時差利用都說明肇事者是認(rèn)真的。一次廣為人知的針對谷歌的黑客吸行動就是利用的一次零時差攻擊。美國官員和私營部門專家將此事歸咎于中國政府的黑客。

許多零時差惡意程序似乎是情報機構(gòu)所為。但私營公司也在紛紛雇傭程序員識別漏洞，然后編寫惡意代碼。一些買家說，一個零時差（惡意程序）的啟動率是5萬美元。這個全球市場是秘密進行的，一些公司常常充當(dāng)中間人。買方是美國政府的機構(gòu)和將惡意程序轉(zhuǎn)變?yōu)榫W(wǎng)絡(luò)武器的防務(wù)承包商。由于沒有規(guī)章，不好說還有誰可能在購買零時差攻擊惡意程序，但已知的客戶包括有組織犯罪集團和對公民進行間諜活動和鎮(zhèn)壓的政府。

及時“震網(wǎng)”病毒利用的四個惡意程序之一也被人購買。瑞典防務(wù)研究局專家戴維林達爾說在“震網(wǎng)”發(fā)現(xiàn)之前，俄羅斯一款名為Zlob的犯罪軟件也曾使用了同樣的把戲。同一個人可能將這一惡意程序賣給了美國和俄羅斯犯罪分子。但他說也不能排除這是同時的發(fā)明。

美國官員知道利用漏洞的對手國家和犯罪組織但卻將之保密是一個很大的關(guān)切。美國國家安全局不愿說它是否發(fā)生或如何發(fā)生的，但研究人員說同時的安全發(fā)現(xiàn)經(jīng)常發(fā)生。

中國被認(rèn)為依靠自有的程序員從事了很多的惡意攻擊。

阿根廷一位名為Cesar Cerrudo研究人員是首批公開出售零時差攻擊程序的人。他說他曾對來自中國的一些請求不予理睬，也后悔向歐洲的一家研究機構(gòu)出售惡意程序，但他不愿說出它的名字。后來，他從一個國家政府收到了一大筆資金。他現(xiàn)在在西雅圖的一家咨詢公司工作，為公司客戶提供安全咨詢。

位于巴黎的一家名為Vupen的安全公司向世界許多情報、執(zhí)法和軍事當(dāng)局出售基于漏洞利用的工具。但不像伊朗和北朝鮮這樣的國家出售，稱它自愿遵從歐洲和美國的限制武器出口的規(guī)定。

直到2010年，Vupen公司經(jīng)常免費通知軟件銷售商它所發(fā)現(xiàn)的漏洞。但現(xiàn)在這一狀態(tài)已經(jīng)改變。當(dāng)軟件制作者不同意補償機制時，Vupen公司就會選擇賣給政府。

這一市場的新加入者是位于馬耳他的ReVuln公司，專門制造用于工業(yè)控制系統(tǒng)的漏洞利用程序。這是政府的一大隱患，因為這種系統(tǒng)是恐怖分子和敵對國家的主要目標(biāo)，會造成巨大的人員傷亡。

進攻性網(wǎng)絡(luò)戰(zhàn)的許多工作都是美國防務(wù)承包商來做的，現(xiàn)在有許多風(fēng)險投資背景的新公司加入，他們?yōu)樵S多基于漏洞利用的網(wǎng)絡(luò)武器尋找政府買家。防務(wù)承包商既購買也生產(chǎn)。其中不乏雷神、諾格、哈里斯這樣的大公司。他們并購了一些專門從事漏洞發(fā)現(xiàn)和惡意程序編寫的小公司。

路透社檢查了一架大型承包商的產(chǎn)品目錄。其中有一種產(chǎn)品能將任何一款iPhone轉(zhuǎn)變?yōu)榉块g范圍監(jiān)聽設(shè)備。另一種產(chǎn)品是在打印機或其他設(shè)備上安裝間諜軟件的系統(tǒng)，并通過無線電波將惡意軟件轉(zhuǎn)移到設(shè)備附件的計算機中，即使機器沒有與任何事物連接。

還有一些訪問計算機或電話的工具，收集不同種類的數(shù)據(jù)的工具以及將信息偷偷傳出去的工具。多數(shù)這些惡意程序在10萬美元以上。其中絕大部分依靠零時差漏洞利用。

情報機構(gòu)有很好的理由將許多間諜軟件的開發(fā)工作交給外部人士。因為這就像彈藥的開發(fā)。只有當(dāng)銷售商證明管用時他們才會購買。 知遠(yuǎn)/嚴(yán)美