計算機戰爭背后的“死亡商人”

　　上個(gè)月，谷歌在溫哥華舉辦了一個(gè)比賽，會(huì )上這家搜索巨頭以安全著(zhù)稱(chēng)的Chrome瀏覽器被黑客們兩度攻陷。這兩種新的黑客攻擊方法都利用了一個(gè)作弊網(wǎng)站來(lái)繞過(guò)Chrome的安全保護，結果成功侵入了目標電腦。雖然這兩次黑客攻擊都攻破了谷歌的防護措施，但這只是第三次真正成功地入侵谷歌系統。

　　來(lái)自法國安全公司Vupen的黑客團隊采取了不同的做法。他們沒(méi)有參加谷歌的比賽，而是通過(guò)破解Chrome的安全保護以贏(yíng)得惠普在同一場(chǎng)大會(huì )上贊助的另一場(chǎng)黑客比賽。雖然谷歌向那兩位贏(yíng)得其比賽的黑客各提供了6萬(wàn)美元獎金，條件是他們要告訴谷歌他們的攻擊細節，并幫助谷歌修復他們利用的漏洞。Vupen的CEO兼首席黑客查歐基·貝克拉(Chaouki Bekrar)表示，他的公司根本不想將其秘密技術(shù)告訴谷歌——當然不會(huì )為了6萬(wàn)美元而進(jìn)行這種愚蠢的交換。

　　“我們不會(huì )把這種技術(shù)告訴谷歌，即使給我們100萬(wàn)美元也不行。”貝克拉說(shuō)，“我們不想告訴谷歌任何可以幫助他們修復這個(gè)漏洞或其他類(lèi)似漏洞的知識。這是為我們的客戶(hù)保留的。”

　　畢竟，這些客戶(hù)的目的不是修復谷歌或其他任何商業(yè)軟件供應商的安全漏洞。他們是政府機構，購買(mǎi)了“零天攻擊”(指在軟件安全漏洞被發(fā)現的頭一天便遭到攻擊——譯注)技術(shù)或那些利用了軟件中未公開(kāi)漏洞的黑客技術(shù)。他們的目的顯而易見(jiàn)，就是侵入或干擾犯罪嫌疑人和情報目標的電腦和電話(huà)。

　　在陰暗但合法的安全漏洞市場(chǎng)上，“零天攻擊”技術(shù)可能會(huì )使黑客從軟件公司手中得到2,000或3,000美元，但打算秘密使用這個(gè)漏洞的間諜和警察可能會(huì )給出10倍甚至100倍的價(jià)錢(qián)。貝克拉沒(méi)有詳細說(shuō)明Vupen的確切定價(jià)，但Frost & Sullivan公司(將漏洞研究領(lǐng)域的“2011年度創(chuàng )業(yè)公司”獎授予了Vupen)的分析師表示，Vupen的客戶(hù)每年支付大約10萬(wàn)美元的會(huì )員費，從而獲得購買(mǎi)該公司技術(shù)的特權。

　　這些黑客技術(shù)包括了攻擊微軟Word、Adobe Reader、谷歌安卓系統、蘋(píng)果iOS系統和許多其他軟件的技術(shù)。Vupen在惠普舉辦的黑客比賽上夸口說(shuō)，他們已經(jīng)掌握了各大瀏覽器的漏洞。熟悉該公司業(yè)務(wù)的知情人士表示，Vupen銷(xiāo)售目錄上僅一項技術(shù)的價(jià)格常常都遠遠超過(guò)其六位數的會(huì )員費。

　　即便價(jià)格如此之高，Vupen也沒(méi)有將其發(fā)現的安全漏洞只賣(mài)給一家，而是同時(shí)出售給多個(gè)政府機構。這種商業(yè)模式常常使其客戶(hù)你爭我?jiàn)Z，生怕在間諜軍備競賽中落后。

　　貝克拉聲稱(chēng)，Vupen會(huì )仔細核查客戶(hù)的背景，只向北約國家的政府和“北約的合作伙伴”出售安全漏洞。他表示，該公司還有其他的“內部程序”來(lái)過(guò)濾那些非民主國家，并要求買(mǎi)家簽署合同，不得公布或轉售這些漏洞。但即便如此，他承認該公司的黑客攻擊方法仍有可能落入不法分子之手。“我們盡力確保這些漏洞不會(huì )從買(mǎi)家的手中外流。”貝克拉說(shuō)，“但如果你將武器出售給別人，就無(wú)法保證他們不會(huì )再賣(mài)給其他人。”

　　這種武器貿易的比喻很合Vupen批評者的胃口。隱私保護活動(dòng)人士克里斯·索菲安(Chris Soghoian)和開(kāi)放社會(huì )基金會(huì )(Open Society Foundations)的同仁們把Vupen稱(chēng)作“為計算機戰爭提供彈藥的當代死亡商人”。在有個(gè)漏洞被售出后，索菲安說(shuō)：“它在黑洞里消失了。他們不知道這個(gè)漏洞被如何利用，是否得到了許可，或者是否違反了人權。”

　　這個(gè)問(wèn)題在去年明明白白地擺在了世人眼前。當時(shí)，加州森尼維爾市藍衣系統公司(Blue Coat Systems)的監視裝置被出售給了一家阿聯(lián)酋公司，但最后卻在敘利亞被用來(lái)監視不同政見(jiàn)者。“Vupen不知道他們的漏洞被如何利用，他們可能也不想知道，只要支票兌現就行。”

　　Vupen并不是唯一一家出售安全漏洞的公司，但與這家位于法國蒙彼利埃的小公司相比，其他買(mǎi)賣(mài)黑客技術(shù)的公司，包括Netragard和Endgame以及Northrop Grumman和Raytheon等規模更大的公司，則更加守口如瓶。貝克拉用“透明”來(lái)形容自己的公司，而索菲安則說(shuō)這家公司“無(wú)恥”。

　　“Vupen就是這個(gè)行業(yè)的Snooki(美國真人秀節目《澤西海岸》的明星，行為大膽出格——譯注)。”索菲安說(shuō)，“他們尋找宣傳自己的機會(huì )，但他們甚至沒(méi)有意識到，他們根本不入流。他們就是漏洞交易領(lǐng)域里的《澤西海岸》。”

　　即使如此，貝克拉也不愿公布收入數據，雖然他堅稱(chēng)公司實(shí)現了盈利。但有個(gè)人愿意公布這類(lèi)銷(xiāo)售數據。他是南非的一位黑客，人稱(chēng)“Grugq”，住在曼谷。一年多來(lái)，除了擔任安全研究員的薪水之外，Grugq還以高端漏洞經(jīng)紀人的身份賺“外快”，為其黑客朋友和其政府買(mǎi)家牽線(xiàn)搭橋。他表示，他收取15%的銷(xiāo)售傭金，今年很可能從這類(lèi)交易中掙到100多萬(wàn)美元。他說(shuō)：“我現在拒絕做2.5萬(wàn)美元以下的生意。”僅在去年12月，他就從政府買(mǎi)家手中賺了25萬(wàn)美元。“年終時(shí)的收入簡(jiǎn)直肥得流油。”

　　但Grugq認為，貝克拉的初創(chuàng )公司都是自己尋找安全漏洞，因此更加賺錢(qián)得多。“他真他X的聰明。”Grugq說(shuō)，“主動(dòng)權完全在他手里。他可以要求客戶(hù)按照他提出的價(jià)格購買(mǎi)，否則就賣(mài)給其他人。”

　　盡管貝克拉談到了“透明”，但關(guān)于他的個(gè)人經(jīng)歷和在創(chuàng )建Vupen之前的工作，甚至是自己的年齡，他都不愿意多說(shuō)。Vupen是他創(chuàng )建的第三家公司，專(zhuān)注于發(fā)現軟件中的安全漏洞。他之前創(chuàng )建的K-Otik和FrSIRT公司都曾公布他們發(fā)現的漏洞。即便是在2008年創(chuàng )建了Vupen(這個(gè)名字代表了“漏洞研究”和“滲透測試”)之后，貝克拉及其研究人員起初也是與軟件供應商合作，幫助他們修復漏洞。但從360資本合伙公司(360 Capital Partners)和甘特合伙公司(Gant & Partners)獲得150萬(wàn)美元風(fēng)險投資之后，貝克拉發(fā)現公司可以賺到遠遠更多的錢(qián)，方法就是不公開(kāi)公司發(fā)現的安全漏洞，而是以高價(jià)出售。

　　后來(lái)，貝克拉甚至公開(kāi)嘲笑那些產(chǎn)品被其黑掉的公司。2011年5月，Vupen發(fā)布了一段視頻，顯示該公司可以侵入運行Chrome的電腦，但沒(méi)有向谷歌提供進(jìn)一步的信息。當谷歌回應稱(chēng)Vupen利用的是Chrome的Flash插件而不是Chrome本身時(shí)，貝克拉在Twitter上指責谷歌試圖淡化其安全漏洞，并說(shuō)谷歌“太差勁”。作為回應，谷歌的安全人員指責貝克拉無(wú)視用戶(hù)隱私，并說(shuō)他是“挑戰道德的機會(huì )主義者”。

　　貝克拉對這種批評不屑一顧。“我們不會(huì )這么努力地去幫助數十億美元的軟件公司編寫(xiě)安全的代碼。”他說(shuō)，“如果我們想做志愿者，我們會(huì )去幫助無(wú)家可歸的人。”