新頭殼newtalk 2013.07.16 鄭凱榕/綜合報導
全球駭客爭相尋找「bugs」──電腦程式碼的秘密漏洞,世界各國政府花費數十萬美元想要了解和利用。
根據《紐約時報》16日報導,駭客出售電腦程式碼漏洞的技術細節,給那些想要闖入外國電腦系統的國家。這類服務的大買家包括美國國家安全局(National Security Agency,NSA)和伊朗的革命衛隊(Revolutionary Guards)等美國的對手。
駭客們稱為「零日漏洞」(zero days)的生意蒸蒸日上。這是一種微軟(Microsoft)的Windows之類軟體的編碼漏洞,能夠令買家自由地訪問一台電腦,或是獲取任何使用該電腦的公司、機構和個人的數據。
所謂「零日漏洞」,意指當它們被發現時,電腦系統的用戶能在駭客利用其缺陷之前來修復它們的時間只有「零日」。而「零日漏洞利用」,就是駭客或政府利用一個尚不為人知的漏洞發起攻擊。
一個零日漏洞或許非常簡單,例如駭客發現一個不需輸入密碼即可登錄的網路帳戶。或點擊「Backspace」鍵繞過系統,就是一次零日漏洞利用。防毒軟體開發商賽門鐵克(Symantec)表示,在零日漏洞被發現前,其平均攻擊時間可以持續將近一年(312天)。在這期間,漏洞可以被犯罪分子和政府利用或「武器化」,來對目標進行監視、剽竊或攻擊。
10年前,駭客會免費將漏洞告知微軟和谷歌(Google)等公司,時至今日,中國所謂的「紅客」也會定期通報政府漏洞訊息。
數年前,駭客開始將程式碼漏洞賣給科技公司,使其得以修復。上個月,微軟將其最高出價提高到15萬美元(約合新台幣447萬元)。
美國公民自由聯盟的索戈延表示,「與政府的手筆比起來,這些賞金相形見絀。」他還說,軍方「培育了這一市場,一手打造了『科學怪人』」。
各國政府競相出價打敗了企業,使得這個市場水漲船高。這些國家的目標是利用漏洞來獲取利益,即使只是暫時的。例如3年前的夏季,美國和以色列曾利用一種名為「震網」(Stuxnet)的蠕蟲病毒攻擊了伊朗的核濃縮計劃。
「各國政府開始說,『為了最好地保護我的國家,我需要找出其他國家的網路漏洞』」,美國白宮前網路安全協調員施密特(Howard Schmidt)說。「問題是,我們所有人的網路安全性都從根本上降低了。」
如今,電腦漏洞信息的市場掀起了一輪淘金熱。洩露機密文件的NSA前顧問史諾登(Edward J. Snowden)揭露了一項事實:美國就是程式碼漏洞的買主。不過它肯定不是唯一一家。
以色列、英國、俄羅斯、印度和巴西都名列最大買家名單。朝鮮和一些中東國家的情報部門亦參與競價市場之中。位於華盛頓的美國國際戰略研究中心(Center for Strategic and International Studies)稱,包括馬來西亞和新加坡在內的一些亞太國家也在購買。
(圖片來源:達志影像/路透社。)
留言列表