Marester是一位法国24岁的小伙子,去年,他开始为自己要创建的信息安全公司寻找种子基金.他最大的擅长就是技术和安全,自然的,他想到了利用自 己的技术特长来为自己积累初始资金.于是,他在网上开了一个论坛,他在论坛说明中称:他掌握了关于Linux、HP-UX、微软Windows和 Apache的零日漏洞.他写道:“如果你对此感兴趣,请通过Email给我发信.”之后,他在论坛中宣布,他掌握了有关SAP、火狐、微软Office 2003和2007及IE浏览器的零日漏洞.
零日漏洞已经不是一个新话题,它是指被发现后可以立即被恶意利用的安全漏洞,如果企业或个人对此漏洞缺少防范意识或缺乏相关技术手段,就可能遭受巨大损失.如果你的配置没有大的问题,零日漏洞也许只会造成你的网站或网络短暂的瘫痪;但大的零日漏洞却可以使别有用心的人完全控制你的整个网络.
这种有关安全漏洞的交易远比我们大多数人所想象到的要“繁荣”得多.在安全漏洞交易市场里,有信息安全机构和企业、有企业间谍、有网络罪犯,甚至还有政府和情报部门的身影.当然,在大多数国家和地区,出卖安全漏洞和相关代码被视为非法,Marester的唯一不同之处在于,他只针对某个或某些机构的产品安全需要提供服务.
很多提供此项漏洞信息的人都不承认自己的服务有什么违法问题.Steve Rigano的观点很有代表性,他是一位在HP法国公司工作的人,他宣称,他能让黑客操作处在世界任何角落的任何一台电脑上的任何一款软件.业余时间,他很喜欢钻研信息安全方面的技术,并发现了一些软件漏洞.他说他有权出卖自己发现和拥有的东西,他的这些发现纯属业余所获,与HP没半点儿关系.此前,HP 的一位发言人承认,他们已经在HP法国分支机构里发现了从事漏洞买卖的行为,他们正和FBI展开联合调查.而Steve Rigano对此事的反应是:他敢和任何企业或机构对簿公堂.
据海外媒体报道,HP正在调查的,是一个网络昵称为t0t0的人,此人在2007年5月卖出有关SAP的零日漏洞,HP的网络跟踪到了这个交易.随后,媒体记者跟踪到此人可能是位于法国巴黎的一所大学的老师,此人曾经跟俄罗斯的黑客组织Phrack有联系.
在安全漏洞的交易市场上,软件漏洞的标价从几千美元直到数十万美元不等.最“吃香”的要属对微软软件的远程攻击,这也是叫价最高的,其他大品牌的产品漏洞,如苹果操作系统、思科路由器软件、Oracle数据库代码、Email程序等,都有各自的标价.
有一家叫WabiSabiLabi的瑞士拍卖网站在去年开通了安全漏洞交易平台,并声称在漏洞卖出之前,WabiSabiLabi会保证交易信息的质量.这样的业务自然是在打擦边球,事实也证明其业务远没有那么遵纪守法,其战略总监Roberto Preatoni因为出卖巴西电信的安全漏洞信息,于去年11月在意大利被捕.
近日海外媒体又曝光了两家信息安全企业的所做所为.这两家企业是VeriSign旗下的iDefense和TippingPoint. iDefense花8000美元在黑市找了6个人来发掘微软Exchange Server、Outlook等Mail客户端的最新版本中的安全漏洞,并花了4000美元做入侵开发.之后,这家公司以非常高的价格把这些信息和代码卖给了相关政府部门和机构,以此洗清自己在其中的干系;iDefense还宣称,他们已经第一时间将相关漏洞信息内容知会了微软,以使其尽快为公众用户提供补丁下载.
除了竞争对手、网络黑客、信息安全机构的需求外,政府和情报部门是推动安全漏洞交易市场保持“繁荣”的最主要力量.Steve Rigano向媒体批露,他的大部分客户来自美国、俄罗斯等政府和情报部门.美国政府购买这些信息是为下一步的网络战争储备弹药,美国认为,一些国家政府和企业把美国企业看作是一个巨大的科技创新和研发的实验室,他们购买漏洞信息,潜入美国企业的数据库,拷贝企业保密信息和其他技术创新信息;美国一位前情报部门人员称,有些国家甚至专门成立机构研究网络黑客和网络窃密技术,而美国必须跟上这个步伐.