商品买卖从有形发展到了无形。卖劳务,卖知识产权已经不足为奇了。现在连漏洞都有在卖了!你没听错!是漏洞。天啊。这货的都可以买卖了。这世界到底怎么了!?
“嘿,想买一些软件的漏洞吗?”这不是开玩笑。软件漏洞可是一笔大买卖!这不仅涉及了软件安全,甚至涉及了国家安全。
据悉,美国政府愿意出六位数的价钱来购买这些可利用的软件缺陷和操作系统,并有大量的公司和“漏洞经纪人”已经干起了这笔买卖。但谁又能保证这些漏洞不会落到恐怖分子或反国家分子手上?
答案显然是:没有人!
调查表明,Charlie Miller是最早做这笔买卖的人。Miller之前是国家安全局的一名雇员,现在咨询公司Accuvant上班。在2005年,他发现Linux系统中一个漏洞,并以8万美元的价格卖给了美国政府。
如今,许多软件制造商为了鼓励人们提交漏洞,都为发现漏洞的人提供奖金。就今年,截止到目前,谷歌已经为Chrome浏览器的漏洞支付了29万美元的奖金;一个小漏洞最少都可以换取1000美元的奖金。
还有不少的公司干着倒买倒卖的勾当。这些公司向网民买漏洞,然后又高价出售给软件制造商。
但干着更大买卖的公司是EndgameSystems, Netragard 和Vupen Security。为了获得更大的利润,他们专门收集破解电脑的犯罪和情报目标,然后提供给政府部门。当然他们也会把情报出售给一些大公司。
当发现谷歌的其中一个漏洞时,Vupen的CEO Chaouki Bekar表示,即使谷歌出价100万美元,我们也不卖给它。Bekar说:“我们不想给它任何信息来修补这个漏洞,或者阻止其他人对这个漏洞的攻击。我们打算把这个漏洞卖给我们的客户。”
“漏洞经纪人”在这个市场不断地寻找漏洞买主。一个自称为安全专家的业内人士,化名为The Grugq。据The Grugq透露,出价最高的通常为美国政府部门或欧洲政府部门,他能从交易额中获得15%的佣金。
和你想的一样,Windows、Microsoft Office、苹果的iOS这些流行系统中的漏洞最值钱了。在利益的驱动下,黑客们可都不吃不喝地在这些系统没日没夜地找漏洞。
买卖漏洞完全是合法的。没有相关的法律条款禁止这项买卖。但问题是买主是谁?如果是政府,我们无话可说。如果是反政府分子呢?这些可利用的漏洞被不法分子用来袭击无数家用和企业电脑。有什么影响就不用多说了。
在9月份病毒公告会议上,美国公民自由联盟的政策分析师Christpher Soghoian做了份关于这个漏洞市场的报告。在报告中,他说:“除非这个市场能自我调节,否则我们必须采取一定的管制措施。”
自我调解似乎是不可能的,受管制的市场却是有先例的。德国法律明确规定不仅买卖漏洞是违法的,而且免费提供漏洞也是违法的。
美国目前还没在这方面的立法。一些美国专家认为,这无异于木仓械管制,法律是有规定不能持有木仓械,但犯罪分子仍然有木仓。
这个问题必须引起重视!想等到遭到自家漏洞攻击的时候才想来个“急中生智”?别闹了。赶紧想法子吧!
