精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

美國《時代》周刊7月21日(提前出版)一期發表題為《零世界大戰——黑客如何竊取你的秘密》的封面文章，作者是列夫·格羅斯曼。文章稱，互聯網是一個戰場，戰利品是你的信息，而漏洞則是武器。

漏洞成為網戰武器

網絡戰不是未來，而是已經存在，并且已經司空見慣。在這場戰爭中，隨處都是戰場，漏洞是武器，而黑客則是軍火商。

一個軟件漏洞的價值能以金錢來衡量，這有點讓人匪夷所思。漏洞即錯誤。通常，我們要花錢修復漏洞。而漏洞大有市場則是我們所處的科技時代更令人匪夷所思的結果。在這個科技時代，我們的整個世界——我們的商業活動、醫療記錄、社會生活和政府——正在一點一點地脫離現實世界，以數據形式進入由軟件構成的計算機內核。很多人出于善意或惡意對這些數據抱有興趣。其中一些人是間諜，還有一些人是罪犯。漏洞就是他們用以獲取數據的武器。

幾年前的一個例子能充分說明，是什么讓漏洞如此有用。當時，美國和以色列聯合研發了一種復雜的計算機病毒，其目的是侵入并破壞位于伊朗納坦茲市的某個進行鈾濃縮的核設施。這種名為“震網”(Stuxnet)的病毒或許是第一個真正的網絡武器。一名雙重間諜利用U盤將這種病毒植入核設施的計算機系統。該病毒在查看整個計算機系統后向主人傳回詳細的情報，隨后開始大規模侵入控制離心機的計算機，并最終導致大約20%的離心機陷入癱瘓。(由于美國和以色列政府在這個問題上仍然保持沉默，以上均為通過安全專家和媒體提供的事實推演所得。)

是什么讓“震網”病毒如此有效？一個詞：漏洞。要成功侵入目標系統，“震網”病毒至少利用了4個不同的系統漏洞，包括一個微軟視窗操作系統的漏洞。這些漏洞——更確切地說，利用這些漏洞所需的知識——本身就像伊朗人正在提煉的濃縮鈾，但是以軟件的形式存在：它們是昂貴且高度精密的武器，構成了極端復雜的武器系統的核心。當“震網”病毒從納坦茲市的核設施擴散并導致全球大約10萬臺計算機受到感染后，這些漏洞讓“震網”病毒具有更大的破壞力。

美國大肆濫用漏洞

早在“震網”病毒出現之前，為漏洞埋單的想法就已經出現。1995年，美國網景通信公司(Netscape)推出了“漏洞獎金”計劃，任何人只要找出該公司瀏覽器的漏洞都能獲得現金獎勵。2002年，美國信息防護公司(iDefense)開始購買各種漏洞。2005年，TippingPoint 公司也推出了類似的購買計劃。鑒于公開市場上的“零日漏洞”交易日趨活躍和混亂，這兩項計劃作為安全的“零日漏洞”處理廠(類似于放射性廢物庫)，提供了一種安全的選擇。(“零日”這個術語是指漏洞的新鮮程度。“零日漏洞”是指漏洞公開的時間為零天，因此還沒有人嘗試修復它。)如果你發現了一個漏洞，你能以公道的價格賣給iDefense或TippingPoint公司，而不是賣給出價最高但天知道會做出什么事情來的買家。iDefense和 TippingPoint公司會提醒客戶警惕這些漏洞，并與軟件開發商合作修復它們。這兩家公司還有一個共同點：在2005年和2006年連續兩年聘用實習生阿龍·波特努瓦。

波特努瓦是一個超級網絡攻擊專家。2006年，波特努瓦從美國東北大學輟學，開始全職在TippingPoint公司工作。2012年，他從該公司辭職，并創立了自己的Exodus公司。在這個不大的精英領域中，還有總部位于法國南部的Vupen公司、馬耳他的Revuln公司、美國的 Netragard公司和加拿大的Telus公司。(Netragard公司的信條是：“我們保護你們不受我們這種人的攻擊。”)Exodus公司總部位于奧斯汀的一棟辦公樓內，與會計師和地產經紀人為鄰。即使以新創立的科技公司為標準，這家公司的總部也過于簡樸：僅有一個室內裝飾——一面掛在墻上的海盜旗。

Exodus公司9名研究人員的日常工作就是攻擊目標軟件，尋找侵入系統的辦法。他們的目標包括瀏覽器、電郵客戶端、即時通訊客戶端、Flash、Java、工業控制系統，以及任何可以被攻擊者作為突破口的東西。

通常，Exodus公司的研究人員發現一個漏洞后，會起草一份專業報告和技術文件，說明這個漏洞是什么？在哪里？如何發現它？它在什么版本的軟件上運行？如何修復？等等。最重要的是，Exodus公司會告訴你如何激活并利用這個漏洞。購買Exodus公司的漏洞需要注冊成為會員，年費在20萬美元左右。

基于漏洞交易提供的漏洞正在被用于犯罪或不道德目的這個假設，對于該行業的評價可謂毀譽參半。總部位于華盛頓特區的Endgame公司多年以來向美國政府出售軟件漏洞，它被《福布斯》雜志稱為“黑客領域的黑水公司”。

Exodus公司的客戶基本可以分為兩類：攻擊型和防守型。防守型的包括安全公司和反病毒軟件開發商，他們希望獲取可以用于產品的信息，或為客戶提供有關系統威脅的最新信息。攻擊型的包括侵入測試者，他們利用Exodus公司的“零日漏洞”模擬攻擊自己或別人的網絡。

還有一些客戶可不是模擬而已。眾所周知，美國國家安全局和聯邦調查局喜歡在目標計算機上植入監視軟件，以收集情報；聯邦調查局甚至正在游說法院，以更容易地獲得采取這種行動的授權。如何在別人的計算機上植入軟件，而又不被別人發現？其中一個辦法就是利用漏洞。

根據《華盛頓郵報》對愛德華·斯諾登泄露的機密文件的分析，在美國國家安全局的預算中，有2510萬美元用于“額外秘密購買軟件漏洞”；還有 6.52億美元用于代號GENIE的秘密計劃——在外國計算機網絡上植入惡意代碼。截至2013年底，GENIE計劃預計已經控制全球大約8.5萬臺計算機。

根據斯諾登提供的機密文件，2011年美國對中國、俄羅斯、伊朗和朝鮮等國家發起了231次網絡攻擊。而這還只是2011年的數字。在2015年美國國防預算中，有50億美元用于網絡空間行動，而我們對這個領域卻知之甚少。

漏洞黑市令人擔憂

鑒于軟件漏洞的潛在攻擊性，你可能認為，美國政府希望像控制戰斗機和地雷交易一樣控制軟件漏洞交易。但事實上，監管者才著手進行控制。去年12 月，由美國和其他40個國家簽署的《瓦瑟納爾協定》進行了修訂，將“侵入軟件”納入受到限制的軍民兩用技術名單，但到目前為止，這項修訂尚未得到落實。美國政府一名高級官員說，目前，美國政府還不想真正控制這個市場。市場行為更多地依賴自愿和自律。賣給誰？不賣給誰？這讓波特努瓦和他的團隊有時不得不做出道德選擇。

盡管如此，濫用漏洞的可能性卻切實存在。零日漏洞可不管你侵入的是誰的計算機，或者為什么侵入？今年4月28日，卡巴斯基實驗室的研究人員透露，Adobe Flash軟件存在一種零日漏洞。如果能誘使目標計算機的使用者訪問一個特定的網站，就能利用這個漏洞在目標計算機上植入惡意代碼。經研究人員查實，這個特定的網站屬于敘利亞司法部。我們有理由推斷，敘利亞政府正在利用零日漏洞監視國內的異見人士。

如果一個不受任何國家控制的政治組織對公共設施發起攻擊，那將是一場真正的夢魘。例如，恐怖主義組織。美國聯邦調查局在紐約負責網絡和特殊行動的前特工瑪麗·加利根說：“如果你能確定其中一種零日漏洞，就能利用它們造成嚴重破壞。”她以控制工業系統的軟件“數據采集與監視控制系統” (SCADA)為例，該系統就是“震網”病毒攻擊的目標。她說：“我們能想到的一切工業系統——制造車間、電網、供水或電梯——都是由與互聯網連接的數據設備運行的。真正令人擔憂的是，這是保護力度最弱的環節。”

即使無足輕重的獨裁者和網絡犯罪分子不能從Exodus公司購買漏洞，他們也能從活躍的漏洞黑市上購買。有人認為這是一個嚴重的問題，有人則不以為然。蘭德公司在今年3月的報告中指出，漏洞黑市是“一些受金錢驅使、具有高度組織性和復雜性的組織的競技場”。

波特努瓦對黑市漏洞的質量嗤之以鼻。他說，黑市上的大部分漏洞都不具備“零日”新鮮度。通常，犯罪分子會選擇那些已經推出安全補丁的較老的漏洞下手，他們要做的就是在網絡上獵捕那些尚未更新軟件的目標。根據美國賽門鐵克(Symantec)公司《2014年互聯網安全威脅報告》，在該公司掃描的所有網站中，有1/8的網站存在一個未經修復的嚴重漏洞。

還有一種與黑市截然相反的市場，這個市場由最初編寫存在漏洞的軟件的程序員運行。越來越多的大型軟件公司意識到，購買自己產品的漏洞并趕在別人利用這些漏洞之前修復它們(有點類似于對出廠產品進行Beta測試)，其實是一種節省成本的辦法。2010年，谷歌公司推出獎勵發現Chrome瀏覽器漏洞的計劃，并幫助推動了這種趨勢。今年，谷歌公司用于這項計劃的支出累計達到330萬美元?，F在，獎勵發現漏洞的做法已經成為慣例，就連網絡商店平臺 Etsy也有類似的計劃。微軟公司給予發現視窗操作系統一個嚴重漏洞的獎金最高達到10萬美元。去年，臉譜公司為687個漏洞支付了150萬美元的獎金。

數據防護千瘡百孔

當然，我們夢想生活在一個沒有漏洞的世界：我們的軟件完美無瑕，安全性能絕佳。然而，現實卻與我們的夢想背道而馳。我們讓計算機為我們做得越多，對其安全性的需求就越迫切；但計算機需要做得越多，它們的軟件就必須越復雜，它們的漏洞也就越多。如此就形成了一種惡性循環。以你的筆記本電腦為例，其操作系統由數千萬行代碼組成，其安裝的應用軟件大多數僅完成3/4就匆匆上市。當你的筆記本電腦與數以百萬計的其他設備(包括平板電腦和手機)連接，形勢就會迅速失控。

修復漏洞有點像排干海洋，你永遠也不可能完成。盡管編碼水平和標準都在提高，但提高的速度還不夠快。目前，美國國家漏洞數據庫列出的漏洞有 63239個。去年，研究人員平均每天發現13個漏洞。今年3月，美國聯邦政府通報，去年共有3000家美國公司遭到黑客攻擊。保護我們數據的防護墻實際上千瘡百孔。與計算機安全領域的人士接觸越久，就越會意識到，根本就不存在保護數據的防護墻。

我們如此成功地創造了一個相互連通的“天堂”，在這里，信息可以自由流動，我們又如此迫不及待地想生活在這個“天堂”，以至于我們已經無法按照自己的意愿控制信息的流動。其結果是，一場新的戰爭。這場戰爭并不引人矚目，但持久、廣泛。它模糊了軍事與民事、個人與公共、政治與商業的界限。其受害者損失的是個人數據和知識產權，等他們發現自己遭受了攻擊，往往已為時過晚。美國政府一名高級官員說：“零日漏洞將一直存在。這不僅僅涉及保護措施——網絡空間的‘防護墻’、‘護城河’和‘鐵絲網’。你必須在一種假設下工作：有時，壞人會侵入。”