地下黑市0day市场价格清单遭曝光

机密黑客技术，或者俗称为“零日漏洞”，早已作为一种产品在黑市当中交易流通。这类技术往往包含着企业当中某些软件的安全漏洞信息或者窥探敏感隐私信息的途径。而对那些专门从中获利的中间商而言，零日漏洞只是一种稀松平常的可交易商品，他们甚至会为这类黑客技术编写一套完整的价格清单。

[[156644]]

就在本周三，零日漏洞中间商、初创企业Zerodium公司居然破天荒地公布了这样一份不同类型数字化入侵技术与软件目标的价格清单。这份清单是该公司从某个黑客组织手中所买到，并随后通过订阅服务的方式将其转售给客户——其中还包括多个政府机构。这份清单列出了面向数十种不同应用程序及操作系统的具体黑客攻击方法，每一项都提供极为详细的实现方式。其详尽程度在黑客技术交易黑市当中都是极为罕见的。“零日漏洞业务的首要原则就是绝对不要公开讨论价格，”Zerodium公司CEO Chaouki Bekrar在一条写给《连线杂志》的消息当中指出。“所以我想，我们应该公布自己买到的这份价格清单。”

“零日漏洞业务的首要原则就是绝对不要公开讨论价格。”

一次黑客攻击活动有可能以远程方式彻底侵入受害者的计算机设备并掌控其Safari或者IE浏览器，而完成这项任务的黑客能够获得5万美元的收益。谷歌Chrome浏览器的攻击难度更高一些，Zerodium公司给出的对应价位为8万美元。以远程方式突破Android或者Windows Phone设备的价格更高，买家需要为此支付10万美元。而iOS攻击则难度最大，高达50万美元的开价也成为此次曝光的清单当中最昂贵的选项。

下面来看由Zerodium公司提供的完整清单图表：

Zerodium公司给出的不同零日漏洞黑客技术完整价格清单。

Zerodium公司明确警告称，任由由Zerodium公司买下并转售的零日漏洞必须接受其监控;企业黑客不得将其转售给其他买家或者将其提交给相关软件供应商——因为后者可能会发布补丁以保护用户并导致攻击手段失效。该公司还规定，其只会付费购买那些“原创的、独家的且此前未被报告过的零日漏洞信息。”

换言之，Zerodium公司会严格保证始终向保密客户提供新鲜出炉的黑客技术。该公司还表示能够为包括“政府机构在内的各类买家提供指定且有针对性的网络安全服务，”并利用这些信息帮助企业客户提前对潜在攻击进行防御。Zerodium公司创始人Bekrar指出，Zerodium的客户们会以每年至少50万美元的价格购买订阅服务，旨在获取对这些安全漏洞的访问权限。虽然不会透露任何特定客户的名称，但Bekrar所效力的上一家初创企业法国Vupen公司曾公开表示，其曾经为包括北约内部以及“北约盟友”国家的多个政府机关提供零日漏洞信息。新闻调查网站Muckrock于2013年曾通过信息自由申请了解到，Vuper公司的客户甚至包括美国国安局。

公开零日漏洞价格清单对黑客技术市场上的交易活动有何影响目前尚不明确。而且这实际上有可能鼓励更多技术人员将自己发现的黑客入侵方案在地下交易平台上销售;独立安全研究人员长期以来一直抱怨缺少充足的零日漏洞资源交易渠道，这使得他们很难拿到一个相对“公平”的价码，前美国国安局黑客Charlie Miller在2007年发表的一篇论文当中指出。Bekrar于今年7月建立的Zerodium公司则显然成了这群独立安全研究人员眼中的最佳摆摊地点。“有了Zerodium，安全研究人员终于能够依靠自己的辛勤工作与发现换取回报了，”他写道。

公开交易秘密入侵技术同时也使得Bekrar成为隐私保护社区与软件开发商的炮轰目标，他们认为Zerodium这样的组织使得依靠安全漏洞牟利变得更加轻松。谷歌公司的安全人员Justin Schuh甚至一度将他称为“挑战伦理道德的机会主义者”。美国公民自由联盟首席技术人员Chris Soghoian也将Bekrar建立的Vupen称为“现代背景下的死亡商人”，出售的则是“网络战争中的子弹。”

即使只是单纯为了进行营销，这份价格清单也有可能透露出一些与特定软件安全漏洞相关的有价值信息。

在Soghoian看来，Bekrar之所以决定公布这份零日漏洞价格清单，其目的绝不是为了增加零日信息交易市场的透明度，而完全属于精明的营销手段。“Chaouki的Vupen以及如今的Zerodium都在滥用如今的自由宣传权利。他希望能够通过这种免费发布的方式吸引客户，”Soghoian表示。而其它规模更大且成熟度更高的防御项目承包商则用不着采用这种方式来销售零日信息，Soghoian补充称。“Raytheon与ManTech这样的企业压根不会考虑在网络上发布什么价格清单……美国国安局很清楚这些厂商开出的具体价码。”

Bekrar并没有对《连线杂志》所提出的他为何选择公布这份价格清单做出回应。不过即使只是单纯为了进行营销，这份价格清单也有可能透露出一些与特定软件安全漏洞相关的有价值信息。(截至目前，我亲眼见到的其它零日漏洞价目表就只有2012年某次黑客社区聚会上流出的一份非官方版本。)根据Zerodium公司的这份清单，面向Drupal与WordPress通用Web发布软件的黑客技术要价约为5000美元。而更令人惊讶的是，一直受到匿名人士高度关注的TorBrowser的相关漏洞仅要价30000美元。

而就在这份清单曝光的几天之后，Tor方面宣称美国联邦调查局已经向卡内基梅隆大学支付了100万美元，要求想办法攻克负责实现Tor匿名保护机制且基于服务器的“隐藏服务”功能。不过Bekrar在一封写给《连线杂志》的邮件当中强调称，Zerodium所提到的Tor入侵技术仅作用于TorBrowser当中源自火狐浏览器的安全漏洞，而非Tor网络本身存在缺陷。Bekrar指出，这“可能会威胁到合法Tor用户的安全与隐私。”

作为攻击活动中开价最高的目标平台，“身家”高达50万美元的iPhone与iPad攻击手段仍然不完整——具体来讲，Zerodium实际上是为上个月公开的某项存在缺陷的黑客技术开出了一半酬金。关于这一点，Bekrar如今强调称，作为“限时挑战任务”，该公司公开承诺将为能够在今年11月之前证明自身成功突破iOS设备并通过其Safari或者Chrome浏览器访问恶意网页的黑客支付100万美元。

然而即使价码缩水一半，iOS的入侵身份仍然达到了Zerodium这份价格表上第二高项目的五倍。苹果公司的用户可能会对这种状况感到沮丧，毕竟向来以安全著称的卓越移动平台仍然存在着被攻陷的可能——不过换个角度来讲，至少入侵苹果设备会带来极为高昂的成本，这可以看成是件好事。