从黑市到自由市场 - 彭博社

bloomberg

2005-08-22

这位被称为“Bit”的俄罗斯黑客有一些有价值的东西要出售。他发现了微软公司（MSFT）的Internet Explorer网页浏览器中的一个缺陷，使其容易受到攻击——并找到了利用它的方法。在一个病毒编写者常去的地下聊天室里，Bit进行了宣传。“我在出售一个针对Internet Explorer的零日漏洞，”他在http://forum.web-hack.ru上于7月16日发布的广告中写道。价格？300美元。

Bit有很多地方可以兜售他的商品。Web-hack.ru只是一个庞大的计算机漏洞地下交易中的一个商店——恶意黑客喜欢利用的软件缺陷。安全分析师表示，有组织犯罪为帮助其闯入企业数据库和盗取个人身份的信息支付高额费用。这些数据非常丰富。像Bit一样，数百名黑客在Web-Hack.ru上交换关于如何破解从微软的Windows XP到数百万部手机使用的Symbian操作系统的技术的提示。

贿赂？

现在出现了一个新变化。一小部分计算机安全公司正在创建合法的黑客情报市场，并提供从一些恼人的黑客那里购买提示。这些市场颇具争议，因为它们奖励黑客发现计算机漏洞，并且在一些外部人士看来，像是保护敲诈的回报。但安全公司辩称，这种自由市场的方法将为他们提供关键信息，以便增强对客户的保护。

下周，安全公司 TippingPoint (COMS ) 将推出其漏洞市场，称为零日计划。术语“零日”指的是一些黑客在软件制造商尚未收到修复通知之前，利用软件缺陷的目标。作为该计划的一部分，TippingPoint 将为黑客提供相当于常旅客积分的奖励。重复贡献者可以积累积分，获得高达 20,000 美元的奖金。“如果信息来自于本来会在黑市上出售的人，那就太好了，”3Com Corp. (COMS ) 的首席技术官 Marc Willebeek-LeMair 说，该公司拥有 TippingPoint。“这就是未来的发展方向。”

这都是科技行业努力与黑客打交道的一部分。单靠技术防御无法阻止不断增加的计算机病毒、入侵和欺诈。因此，一些科技公司开始尝试与黑客社区建立关系。目标是获得被称为白帽子的负责任黑客的帮助，抵御恶意的黑帽子，并赢得那些处于中间的人。“了解键盘、鼠标和代码背后的人，对于减轻他们的攻击非常重要，”联邦调查局互联网犯罪投诉中心的负责人 Daniel J. Larkin 说。

黑客关系的重要性最近在思科系统公司 (CSCO ) 在拉斯维加斯的黑帽大会上得到了强调，这是一个年度安全专家和黑客的聚会。一位安全研究员 Michael Lynn 原计划就思科的互联网操作系统中的弱点进行演讲，以帮助思科客户保护自己。但思科和 Lynn 的雇主互联网安全系统公司 (ISSX ) 达成协议，阻止了这次演讲。Lynn 辞职后还是在 7 月 27 日进行了演讲。思科第二天对他提出了禁令，要求他提供“任何他披露、出售或提供出售的…任何思科代码或任何漏洞的人的姓名。”

这等同于向黑客宣战。“他们的手段太过强硬，现在黑客社区对他们感到愤怒，”著名的计算机天才凯文·D·米特尼克说，他因黑客行为入狱，现已成立自己的计算机安全咨询公司。安全专家表示，自从诉讼以来，一支程序员军队一直在努力破解思科的技术。思科表示正在重新考虑与黑客仅进行临时互动的政策。“我们正在内部讨论我们应该做些什么，超出我们已经在做的事情，”思科安全技术组的首席技术官罗伯特·格莱考夫说。林恩无法联系以发表评论。

微软可能处于另一个极端。由于其Windows垄断和欺凌竞争对手的历史，这家巨头一直是黑客的热门目标，并且长期以来对他们持蔑视态度。但现在该公司正在积极培养社区中的人。在思科与公众发生争执的同一拉斯维加斯会议上，微软在凯撒宫的豪华夜总会Pure举办了一场派对，并向450多名安全研究人员和独立黑客开放了酒吧。“一种选择是保持敌对关系。另一种选择是承认这些人对安全充满热情，”微软安全响应总监凯文·基恩说。“这场派对是一个诚实的尝试，旨在发展这个社区。”

魅力攻势

这只是微软魅力攻势的一部分。今年三月，位于华盛顿州雷德蒙德的公司举办了为期两天的蓝帽峰会（该活动的名称源于微软的蓝色标志）。会议让黑客与像Windows负责人詹姆斯·E·阿尔钦这样的高级管理人员交流。另一个峰会定于十月举行。

这个行业的策略似乎正在赢得一些目标的青睐。丹·卡明斯基（Dan Kaminsky），一位自称黑客的26岁年轻人，在西雅图的家中经营着自己的安全公司DoxPara Research，他表示，像微软这样的公司通常会避开他和他的黑客朋友。但在三月份，他受邀在蓝帽峰会上发言。现在，他对零日计划（Zero Day Initiative）产生了兴趣。他说，黑客社区充满了希望，期待ZDI能够捕捉到来自网络黑暗角落的一些最危险的代码。“解决安全问题的最佳方法是了解它是如何被编写的，”卡明斯基说。“你必须让开发者进入墙内。”

TippingPoint非常谨慎地开发其程序。为了防止可能利用市场的黑客，该公司要求所有参与者提供照片身份证并进行背景调查。它还将仅通过西联金融服务公司（FDC）或银行转账支付漏洞费用，而不接受在线转账，这样可以隐藏身份。

填补漏洞

该程序旨在看起来像一个常旅客计划。共有四个特权级别：铜、银、金和铂金。除了2万美元的奖金外，铂金级别的黑客每发现一个新漏洞还可以获得三倍的奖励积分。在ZDI的启动派对上，750人参加。“外面有大量未被利用的研究，”3Com的威尔比克-勒梅尔（Willebeek-LeMair）说。“通过围绕它建立一个程序，我们可以确保它以正确的方式使用。”

早期证据表明，这种市场可以带来成果。开创于2002年支付漏洞的维吉尼亚州Reston安全公司iDEFENSE表示，来自30个国家的200名黑客迄今已曝光了1,100个安全漏洞。根据卡内基梅隆大学政府支持的计算机应急响应小组（CERT）的数据，这大约每年350个，而去年发现的病毒总数为3,780个。iDefense表示，他们不会与任何已知造成伤害的黑客合作。

其中一位转变者是弗拉基米尔·杜布罗温。这个俄罗斯安全专家在通知科技公司后，在自己的网站上发布有关软件缺陷的信息。现在，作为iDEFENSE的漏洞换钱计划的成员，他也从他的工作中赚取现金，并将未修补的漏洞数据保密于黑客世界之外。“为了改变披露政策而获得金钱是任何选择中都不错的，”他说。

不过，支付赎金以获取线索让许多安全界人士感到不安。他们担心这种做法可能会催生更多渴望获利的黑帽黑客，并可能比科技公司修复漏洞的速度更快地暴露软件漏洞。最令人不安的是：参与的黑客可能会两面下注，一方面收集漏洞信息以供恶意使用，同时提供一些线索。“任何公司都应该担心，如果他们在给那些他们知道正在做坏事的人钱，”安全软件制造商McAfee Inc.的总裁基恩·霍奇斯说。（MFE）“我不相信在任何情况下这是正确的，任何这样做的公司都应该重新考虑。”

作者：布赖恩·格罗和史蒂夫·哈姆，杰伊·格林在西雅图，萨拉·拉西在加利福尼亚州圣马特奥。