機密黑客技術(shù)，或者俗稱為“零日漏洞”，早已作為一種產(chǎn)品在黑市當(dāng)中交易流通。這類技術(shù)往往包含著企業(yè)當(dāng)中某些軟件的安全漏洞信息或者窺探敏感隱私信息的途徑。而對那些專門從中獲利的中間商而言，零日漏洞只是一種稀松平常的可交易商品，他們甚至?xí)檫@類黑客技術(shù)編寫一套完整的價格清單。

[[156644]]

就在本周三，零日漏洞中間商、初創(chuàng)企業(yè)Zerodium公司居然破天荒地公布了這樣一份不同類型數(shù)字化入侵技術(shù)與軟件目標的價格清單。這份清單是該公司從某個黑客組織手中所買到，并隨后通過訂閱服務(wù)的方式將其轉(zhuǎn)售給客戶——其中還包括多個政府機構(gòu)。這份清單列出了面向數(shù)十種不同應(yīng)用程序及操作系統(tǒng)的具體黑客攻擊方法，每一項都提供極為詳細的實現(xiàn)方式。其詳盡程度在黑客技術(shù)交易黑市當(dāng)中都是極為罕見的。“零日漏洞業(yè)務(wù)的首要原則就是絕對不要公開討論價格，”Zerodium公司CEO Chaouki Bekrar在一條寫給《連線雜志》的消息當(dāng)中指出。“所以我想，我們應(yīng)該公布自己買到的這份價格清單。”

“零日漏洞業(yè)務(wù)的首要原則就是絕對不要公開討論價格。”

一次黑客攻擊活動有可能以遠程方式徹底侵入受害者的計算機設(shè)備并掌控其Safari或者IE瀏覽器，而完成這項任務(wù)的黑客能夠獲得5萬美元的收益。谷歌Chrome瀏覽器的攻擊難度更高一些，Zerodium公司給出的對應(yīng)價位為8萬美元。以遠程方式突破Android或者Windows Phone設(shè)備的價格更高，買家需要為此支付10萬美元。而iOS攻擊則難度最大，高達50萬美元的開價也成為此次曝光的清單當(dāng)中最昂貴的選項。

下面來看由Zerodium公司提供的完整清單圖表：

Zerodium公司給出的不同零日漏洞黑客技術(shù)完整價格清單。

Zerodium公司明確警告稱，任由由Zerodium公司買下并轉(zhuǎn)售的零日漏洞必須接受其監(jiān)控;企業(yè)黑客不得將其轉(zhuǎn)售給其他買家或者將其提交給相關(guān)軟件供應(yīng)商——因為后者可能會發(fā)布補丁以保護用戶并導(dǎo)致攻擊手段失效。該公司還規(guī)定，其只會付費購買那些“原創(chuàng)的、獨家的且此前未被報告過的零日漏洞信息。”

換言之，Zerodium公司會嚴格保證始終向保密客戶提供新鮮出爐的黑客技術(shù)。該公司還表示能夠為包括“政府機構(gòu)在內(nèi)的各類買家提供指定且有針對性的網(wǎng)絡(luò)安全服務(wù)，”并利用這些信息幫助企業(yè)客戶提前對潛在攻擊進行防御。Zerodium公司創(chuàng)始人Bekrar指出，Zerodium的客戶們會以每年至少50萬美元的價格購買訂閱服務(wù)，旨在獲取對這些安全漏洞的訪問權(quán)限。雖然不會透露任何特定客戶的名稱，但Bekrar所效力的上一家初創(chuàng)企業(yè)法國Vupen公司曾公開表示，其曾經(jīng)為包括北約內(nèi)部以及“北約盟友”國家的多個政府機關(guān)提供零日漏洞信息。新聞?wù){(diào)查網(wǎng)站Muckrock于2013年曾通過信息自由申請了解到，Vuper公司的客戶甚至包括美國國安局。

公開零日漏洞價格清單對黑客技術(shù)市場上的交易活動有何影響目前尚不明確。而且這實際上有可能鼓勵更多技術(shù)人員將自己發(fā)現(xiàn)的黑客入侵方案在地下交易平臺上銷售;獨立安全研究人員長期以來一直抱怨缺少充足的零日漏洞資源交易渠道，這使得他們很難拿到一個相對“公平”的價碼，前美國國安局黑客Charlie Miller在2007年發(fā)表的一篇論文當(dāng)中指出。Bekrar于今年7月建立的Zerodium公司則顯然成了這群獨立安全研究人員眼中的最佳擺攤地點。“有了Zerodium，安全研究人員終于能夠依靠自己的辛勤工作與發(fā)現(xiàn)換取回報了，”他寫道。

公開交易秘密入侵技術(shù)同時也使得Bekrar成為隱私保護社區(qū)與軟件開發(fā)商的炮轟目標，他們認為Zerodium這樣的組織使得依靠安全漏洞牟利變得更加輕松。谷歌公司的安全人員Justin Schuh甚至一度將他稱為“挑戰(zhàn)倫理道德的機會主義者”。美國公民自由聯(lián)盟首席技術(shù)人員Chris Soghoian也將Bekrar建立的Vupen稱為“現(xiàn)代背景下的死亡商人”，出售的則是“網(wǎng)絡(luò)戰(zhàn)爭中的子彈。”

即使只是單純?yōu)榱诉M行營銷，這份價格清單也有可能透露出一些與特定軟件安全漏洞相關(guān)的有價值信息。

在Soghoian看來，Bekrar之所以決定公布這份零日漏洞價格清單，其目的絕不是為了增加零日信息交易市場的透明度，而完全屬于精明的營銷手段。“Chaouki的Vupen以及如今的Zerodium都在濫用如今的自由宣傳權(quán)利。他希望能夠通過這種免費發(fā)布的方式吸引客戶，”Soghoian表示。而其它規(guī)模更大且成熟度更高的防御項目承包商則用不著采用這種方式來銷售零日信息，Soghoian補充稱。“Raytheon與ManTech這樣的企業(yè)壓根不會考慮在網(wǎng)絡(luò)上發(fā)布什么價格清單……美國國安局很清楚這些廠商開出的具體價碼。”

Bekrar并沒有對《連線雜志》所提出的他為何選擇公布這份價格清單做出回應(yīng)。不過即使只是單純?yōu)榱诉M行營銷，這份價格清單也有可能透露出一些與特定軟件安全漏洞相關(guān)的有價值信息。(截至目前，我親眼見到的其它零日漏洞價目表就只有2012年某次黑客社區(qū)聚會上流出的一份非官方版本。)根據(jù)Zerodium公司的這份清單，面向Drupal與WordPress通用Web發(fā)布軟件的黑客技術(shù)要價約為5000美元。而更令人驚訝的是，一直受到匿名人士高度關(guān)注的TorBrowser的相關(guān)漏洞僅要價30000美元。

而就在這份清單曝光的幾天之后，Tor方面宣稱美國聯(lián)邦調(diào)查局已經(jīng)向卡內(nèi)基梅隆大學(xué)支付了100萬美元，要求想辦法攻克負責(zé)實現(xiàn)Tor匿名保護機制且基于服務(wù)器的“隱藏服務(wù)”功能。不過Bekrar在一封寫給《連線雜志》的郵件當(dāng)中強調(diào)稱，Zerodium所提到的Tor入侵技術(shù)僅作用于TorBrowser當(dāng)中源自火狐瀏覽器的安全漏洞，而非Tor網(wǎng)絡(luò)本身存在缺陷。Bekrar指出，這“可能會威脅到合法Tor用戶的安全與隱私。”

作為攻擊活動中開價最高的目標平臺，“身家”高達50萬美元的iPhone與iPad攻擊手段仍然不完整——具體來講，Zerodium實際上是為上個月公開的某項存在缺陷的黑客技術(shù)開出了一半酬金。關(guān)于這一點，Bekrar如今強調(diào)稱，作為“限時挑戰(zhàn)任務(wù)”，該公司公開承諾將為能夠在今年11月之前證明自身成功突破iOS設(shè)備并通過其Safari或者Chrome瀏覽器訪問惡意網(wǎng)頁的黑客支付100萬美元。

然而即使價碼縮水一半，iOS的入侵身份仍然達到了Zerodium這份價格表上第二高項目的五倍。蘋果公司的用戶可能會對這種狀況感到沮喪，畢竟向來以安全著稱的卓越移動平臺仍然存在著被攻陷的可能——不過換個角度來講，至少入侵蘋果設(shè)備會帶來極為高昂的成本，這可以看成是件好事。