Zerodium漏洞平臺的交易顯示,市場已經(jīng)準備好迎接價值100萬美元甚至更高的零日漏洞利用代碼。
法國公司Vupen Security被稱為網(wǎng)絡軍火商,它的主要業(yè)務是挖掘漏洞獲取賞金,而不是進行修復漏洞。漏洞經(jīng)銷平臺Zerodium則脫胎于Vupen。本月初,Zerodium宣布,它同意為某蘋果iOS漏洞利用代碼支付100萬美金,該漏洞可以完全入侵該移動操作系統(tǒng)。然而漏洞的平均價格仍在數(shù)千至數(shù)萬美元水平上,過去只有極少數(shù)交易的價格超過10萬美金。100萬美元的賞金似乎對于該行業(yè)是一個突破性的量級增長。當然,在灰色的地下交易市場中,這樣的價格也并非沒有出現(xiàn)過,而為其支付巨額購買款的很可能是政府力量。高價格是由供求關系和時機需要而決定的。
雖然沒有實際證據(jù)表明Zerodium真的付出了100萬美元,但考慮到存在某些特定類型的買家,這個金額并不是完全不合情理。而且近年來,尋找和發(fā)現(xiàn)漏洞的難度逐漸加大也可能會導致賞金額度的攀升。
收購了原惠普公司漏洞研究團隊Zero-Day Initiative的趨勢公司全球威脅公關經(jīng)理克里斯托弗·巴德(Christopher Budd)稱:“由于安全性的提升,我們在過去幾年中看到的產(chǎn)品已經(jīng)很難找到漏洞。這影響了供求關系,也提升了研究人員的需求。”
事實上,主流軟件中出現(xiàn)并被修復的漏洞反而增加了漏洞的數(shù)量。比如,在2012年,谷歌提升了對Chrome瀏覽器漏洞的賞金額度,表明發(fā)現(xiàn)新安全漏洞的難度正在加大。“最終,隨著軟件變得更加強大,開發(fā)者對安全的了解進一步深入,黑客如果想要得到穩(wěn)定的控制權(quán)限,必須同時使用多個漏洞和多項技術。這將需要更高的技能和時間成本,也將提升尋找漏洞能力的價值。”
也有反對此觀點的聲音。有人認為,盡管在表面上100萬美元的賞金表明市場價格正在升高。針對iOS平臺這個特定環(huán)境而言,高價格可能更多地來源于需求,而不是供給。很有可能的是,買家非常需要入侵iOS設備,并且樂意買賬。
誰會樂意為移動端零日漏洞付出100萬美金呢?潛在的買家名單非常短。一些安全公司可能樂意付給研究人員這么多錢,購買漏洞的信息,以加強自家安全產(chǎn)品的防御措施。通常而言,對這類漏洞感興趣的都是安全防御公司,它們尋找稀有,但是非常高優(yōu)先級的漏洞。雖然可能沒有哪一家公司樂意付出100萬美金,一項支持數(shù)家安全企業(yè)的服務可能會為高優(yōu)先級漏洞支付可觀的價格。
盡管對如此大額的賞金而言,最可能的解釋是,一個或多個情報機構(gòu)需要破解特定手機的技術,并且愿意付錢。政府是最有可能的買家。
每次蘋果發(fā)布新的操作系統(tǒng)版本,比如iOS 9,就會同時修復舊的漏洞,這導致情報機構(gòu)爭相尋找新的漏洞。由于iOS 9的更新率在發(fā)布僅三天后就達到了五成,如果無法很快找到新的漏洞,情報機構(gòu)就真的要「摸黑」了。”
對于所有該漏洞的潛在買家而言,「摸黑」的風險至關重要。如果軟件存在漏洞,只要開發(fā)人員發(fā)布修復,漏洞買家手中的信息就等于無效化了。
比如,這個iOS漏洞的買家可能是蘋果公司,他們支付100萬美元,以在黑客利用漏洞之前消除危險。然而,只有微軟、臉書、谷歌這三家公司曾為了自家產(chǎn)品的漏洞付錢,沒有一家曾經(jīng)付過12萬美金以上的價格。
這則100萬美元買漏洞的消息引起了安全圈的震動。一些批評者希望蘋果能夠幫忙修復漏洞,另一些人則指出,無論是漏洞的存在還是交易本身都無法確證,他們認為這次事件屬于公關噱頭。還有一些人擔心此漏洞會讓政府更加容易地監(jiān)控公民。
然而,不論這次的買家究竟是誰,漏洞賞金額度正在提升是不爭的事實。
隨著信息技術滲透進日常生活的方方面面,利用漏洞滲透進核心軟件將成為秘密監(jiān)控的最好方式。因此防御安全機構(gòu)和情報機構(gòu)都能夠從零日漏洞中發(fā)現(xiàn)巨大的價值。
IT安全企業(yè)必須跟上競業(yè)同行的腳步,如果公司不購買最新的漏洞信息,就可能發(fā)現(xiàn)自己已經(jīng)落后于競爭對手。類似的因素也驅(qū)使國家購買漏洞。美國政府不再購買零日漏洞可能嗎?伊朗呢?朝鮮呢?這個市場主要由國家和政府推動,只要一方購買,其他國家也必須跟進,尤如軍備競賽。