新兴网络黑市销售零日漏洞

多年以来，黑客们都在从互联网灰色市场上购买零日漏洞。如今一个新市场希望将这种数字军火贸易规范化，并通过暗网的匿名保护快速扩张。

[[132228]]

上个月，暗网上出现了一个名为“真正交易”(“therealdeal”)的黑市，它的主要业务是向黑客兜售零日攻击手段。类似于丝绸之路(SilkRoad)及其大量拥趸，“真正交易”使用Tor匿名技术加密连接，交易则使用比特币，以隐藏买家、卖家、管理员的身份。目前市面上的其它网站只售卖基本的低级黑客工具以及泄露的财务信息，而“真正交易”的组建者则表示，希望吸引高端黑客在这里售卖零日漏洞、源代码，甚至提供黑客雇佣服务。这些商品都会很吃香，不过在一些情况下，它们都是独家售卖，并且是一次性销售。

来自该网站匿名管理员的一条信息中写道：

“欢迎，我们建立该网站的最初目的是组建一个代码市场，在这里，购买者可以获得稀有的信息和代码。并且，在过程中可以完全避免诈骗和骚扰，享受真正的代码、真正的信息和真正的产品。”

目前为止，该市场还没有提供很多可供销售的漏洞，然而现有的少数几个令人印象深刻，比如一个标价为用比特币支付的价值17000美元的漏洞利用工具。它宣称自己是一种入侵苹果iCloud账户的新策略：通过一个跳板账户发起恶意连接，可以访问任意其它账户。该商品在描述中写道，如果买家感兴趣，可以安排演示，通过该方法入侵买家指定的任意账户。

其它商品还有：入侵WordPress多站点配置文件的技术、针对安卓平台WebView股票浏览器的漏洞、针对Windows XP、Windows Vista、Windows 7平台上IE浏览器的攻击(价格为8000美元，比特币支付)。卖家写道：这是两个月前通过Fuzzing技术找到的零日漏洞，随时有可能被发现，除非报酬很高，否则不会随便说。卖家还表示，可以利用通常方法做演示，如果有意请私信，不要浪费时间。Fuzzing是一种通过发送随机垃圾流量来测试对方什么时候会崩溃的漏洞探测技术。

苹果、WordPress、谷歌、微软在该网站受到媒体曝光后还没有给予评论。

需要说明的是，上面列出的漏洞都没有被验证是否真实可行，研究人员也没有什么合法的方式来测试它们。价格为17000美元的iCloud漏洞看上去特别诱人，因为它的功能包括获取用户的全部敏感信息，包括Email和照片，价格也并不贵。举例来比较的话，该商品的卖家表示2012年的一个iOS漏洞可以卖到最高25000美元。2013年，纽约时报报道，这个标价为25000美元的漏洞被以50000美元的价格卖给了其它国家。

“真正交易”官方也给出了针对假货的应对措施，类似于丝绸之路，该网站的交易模式是第三方托管，交易中的比特币被放置在第三方，如果卖家不发货，买家可以获得退款。和大多数暗网市场不同，“真正交易”还提供一种名为多重签名的交易技术。这意味着托管着比特币的第三方域名同时被买家、卖家和网站管理员所控制，在买家确认收货时，至少需要三方中的两方签名同意，这给了网站方面一定的仲裁权。不过研究人员目前还不清楚网站方面如何进行仲裁。在很多情况下，“真正交易”网站的管理员可能会亲自测试有争议的漏洞，以确认买家是否被骗。

顾客经常担心市场本身会窃取他们的比特币，“真正交易”网站在解决这方面的疑虑方面做得也比现有网站要好。“真正交易”根据交易额大小收取3%或0.1个比特币的手续费，但并不需要用户将比特币存储在自身控制的比特币账户下。因此，它没办法像之前的Sheep Marketplace和Evolution这些交易网站一样卷钱跑路。之前发生的几个案例里，

网站跑路卷走了数百万比特币。网站FAQ中写道，我们没有比特币钱包，我们不想要你的比特币，并可以保证我们不会在未来的某一天带着你的比特币跑路。

像大多数暗网市场一样，“真正交易”网站的运营方身份是一个谜。网站的管理层并没有立即响应研究者的采访请求，创建人将自己描述成信息安全领域的专家，专注于销售零日漏洞。在接受暗网博客DeepDotWeb采访时，网站管理层在Q&A中表示，他们由四个人组成，每个人在信息安全领域都有很深的经验。

“我们对于传统的未加密互联网上的零日漏洞代码、数据库有很深的经验，但问题在于，这方面90%的卖家都是骗子。技术功底深厚的买家总是能够通过商品描述信息和卖家演示判别出骗子，但有些卖家非常聪明狡猾。因此我们决定开发一个相对来说可信的网站，在提供防骗功能的同时保持高度的匿名性。”

“真正交易”在将这种灰色经济带到互联网上方面并非首创。一个名为WabiSabiLabi的网站在2007年开始运行，目标是成为销售漏洞的eBay。但由于卖家很难在不完全向买家展示漏洞本身的情况下提供可信的演示，该网站迅速垮掉了。尽管提供了多签名保护和第三方托管服务，“真正交易”很有可能会面对同样的问题。

不像零日漏洞行业里的其它成员，“真正交易”并不会遇到道德或法律方面的障碍。比如法国的黑客公司Vupen声称自己只向北约成员国出售零日漏洞。近年来，零日漏洞销售已经称为地下市场的重要交易项目，政府的情报和执法机构往往是出价最高的买家。“真正交易”采取的Tor加密和卖家匿名策略可能会将政府方面的买家拒之门外，但这种匿名性相反地会吸引一些网络罪犯或受雇于独裁政权的黑客。

“真正交易”属于不合法网站，它还销售洗钱服务、被盗账户。买家可以自助选购大量的不合法商品，零日漏洞只属于该网站提供的LSD、安非他明、被盗账户项目中的特色商品。

暗网经济正在向发展成为真正的、非法的自由市场步步迈进，“真正交易”只是其中的一个代表。尽管丝绸之路也容忍卖家在网站上出售一些简单的黑客工具，它还是基本执行了“无受害人”策略的。

“真正交易”没有这一类规范。它只包含两条规则，其一，禁止儿童色情;其二，禁止”doxing”，也就是发布特定用户的个人信息。但只要这种零日漏洞的销售保持匿名的形式，个人信息迟早成为交易中的一环。

原文地址：http://www.aqniu.com/news/7372.html