漏洞成为网战武器

网络战不是未来，而是已经存在，并且已经司空见惯。在这场战争中，随处都是战场，漏洞是武器，而黑客则是军火商。

一个软件漏洞的价值能以金钱来衡量，这有点让人匪夷所思。漏洞即错误。通常，我们要花钱修复漏洞。而漏洞大有市场则是我们所处的科技时代更令人匪夷所思的结果。在这个科技时代，我们的整个世界——我们的商业活动、医疗记录、社会生活和政府——正在一点一点地脱离现实世界，以数据形式进入由软件构成的计算机内核。很多人出于善意或恶意对这些数据抱有兴趣。其中一些人是间谍，还有一些人是罪犯。漏洞就是他们用以获取数据的武器。

几年前的一个例子能充分说明，是什么让漏洞如此有用。当时，美国和以色列联合研发了一种复杂的计算机病毒，其目的是侵入并破坏位于伊朗纳坦兹市的某个进行铀浓缩的核设施。这种名为“震网”(Stuxnet)的病毒或许是第一个真正的网络武器。一名双重间谍利用U盘将这种病毒植入核设施的计算机系统。该病毒在查看整个计算机系统后向主人传回详细的情报，随后开始大规模侵入控制离心机的计算机，并最终导致大约20%的离心机陷入瘫痪。(由于美国和以色列政府在这个问题上仍然保持沉默，以上均为通过安全专家和媒体提供的事实推演所得。)

是什么让“震网”病毒如此有效?一个词：漏洞。要成功侵入目标系统，“震网”病毒至少利用了4个不同的系统漏洞，包括一个微软视窗操作系统的漏洞。这些漏洞——更确切地说，利用这些漏洞所需的知识——本身就像伊朗人正在提炼的浓缩铀，但是以软件的形式存在：它们是昂贵且高度精密的武器，构成了极端复杂的武器系统的核心。当“震网”病毒从纳坦兹市的核设施扩散并导致全球大约10万台计算机受到感染后，这些漏洞让“震网”病毒具有更大的破坏力。

美国大肆滥用漏洞

早在“震网”病毒出现之前，为漏洞埋单的想法就已经出现。1995年，美国网景通信公司(Netscape)推出了“漏洞奖金”计划，任何人只要找出该公司浏览器的漏洞都能获得现金奖励。2002年，美国信息防护公司(iDefense)开始购买各种漏洞。2005年，TippingPoint公司也推出了类似的购买计划。鉴于公开市场上的“零日漏洞”交易日趋活跃和混乱，这两项计划作为安全的“零日漏洞”处理厂(类似于放射性废物库)，提供了一种安全的选择。(“零日”这个术语是指漏洞的新鲜程度。“零日漏洞”是指漏洞公开的时间为零天，因此还没有人尝试修复它。)如果你发现了一个漏洞，你能以公道的价格卖给iDefense或TippingPoint公司，而不是卖给出价最高但天知道会做出什么事情来的买家。iDefense和TippingPoint公司会提醒客户警惕这些漏洞，并与软件开发商合作修复它们。这两家公司还有一个共同点：在2005年和2006年连续两年聘用实习生阿龙·波特努瓦。

波特努瓦是一个超级网络攻击专家。2006年，波特努瓦从美国东北大学辍学，开始全职在TippingPoint公司工作。2012年，他从该公司辞职，并创立了自己的Exodus公司。在这个不大的精英领域中，还有总部位于法国南部的Vupen公司、马耳他的Revuln公司、美国的Netragard公司和加拿大的Telus公司。(Netragard公司的信条是：“我们保护你们不受我们这种人的攻击。”)Exodus公司总部位于奥斯汀的一栋办公楼内，与会计师和地产经纪人为邻。即使以新创立的科技公司为标准，这家公司的总部也过于简朴：仅有一个室内装饰——一面挂在墙上的海盗旗。

Exodus公司9名研究人员的日常工作就是攻击目标软件，寻找侵入系统的办法。他们的目标包括浏览器、电邮客户端、即时通讯客户端、Flash、Java、工业控制系统，以及任何可以被攻击者作为突破口的东西。

通常，Exodus公司的研究人员发现一个漏洞后，会起草一份专业报告和技术文件，说明这个漏洞是什么?在哪里?如何发现它?它在什么版本的软件上运行?如何修复?等等。最重要的是，Exodus公司会告诉你如何激活并利用这个漏洞。购买Exodus公司的漏洞需要注册成为会员，年费在20万美元左右。

(责任编辑：安博涛)