網絡戰旺黑客市場 政府成大買家

morris_2007

【明報專訊】互聯網成為多國政府的新戰場，帶旺「黑客僱傭兵」市場。《紐約時報》報道，政府已取代科網企業，成為黑客販賣網絡系統「零日」漏洞的最大買家，每個漏洞的酬金動輒數十萬港元。業內人士披露，美國國家安全局以及以色列、英國、俄羅斯、印度與巴西政府，以至於伊朗和朝鮮（北韓）等國均為此大灑金錢，由於政府積極參與，令相關市場難受規管。


揭「零日」漏洞兜售

「零日」（zero days）漏洞是形容電腦系統或軟件程式的保安漏洞未被研製機構或用家發現的狀態，若黑客搶先發現這些問題，可令相關電腦系統受到入侵，直至相關機構堵塞這些漏洞。換言之，「零日」就像竊賊找到保安漏洞，入屋爆竊而不會觸動警鐘。


以往黑客發現這些漏洞，通常會免費提供給科網公司，換取對方在網站鳴謝，從而揚名黑客界。數年前開始，科網公司開始向尋找到「零日」漏洞的黑客提供報酬，隨着政府或罪犯近年爭相利用這些漏洞入侵目標網絡，「零日」漏洞奇貨可居。


有黑客開設公司，專門找尋水利設施、油氣管道、發電站等系統的弱點，向有意入侵外國競爭對手的政府兜售。美國國安局（NSA）前高層有份經營的網絡漏洞研究公司Endgame，則被指專門向美國政府銷售用以尋找網絡漏洞的工具，除可應用於打擊網絡間諜，也可用於網絡攻擊。


以色列伊朗是大客

《紐時》稱，NSA的對頭伊朗革命衛隊也是「黑客僱傭兵」的客戶。白宮前網絡安全官員施米特（Howard Schmidt）稱：「很多政府都這樣說：『為更有效地保衛國家，需找到其他國家的網絡弱點。』但問題是我們都變得不安全。」


黑客防毒軟件公司Symantec稱，「零日」漏洞被堵塞前，相關電腦系統平均會受到312天攻擊，才能堵塞漏洞。業界指出，只要漏洞未被堵塞，部分黑客每月還會收到「專利費」。


《紐時》稱，目前市場有數十個中介連繫黑客和買家，換取15%回佣。對外低調彷彿是他們的行規，一個twitter帳戶名稱為Grugq的中介原本財源滾滾，惟他去年接受《福布斯》訪問，客戶擔心被其泄露身分，令其生意大受打擊。但在行內，中介卻明目張膽運作，網絡安全機會負責人里奧斯（Billy Rios）稱，曾收到中介的一封電郵，表明：「急需徵求視窗7應用於Mac機的程式漏洞，收費不是問題。」


業界指無動力規管

科網漏洞研究公司Netragard稱，近3年發掘程式漏洞的業務擴張1倍，客戶主要來自美國，每個漏洞可賣得27萬至125萬港元。
法國Vupen公司亦稱，總收入每年倍增，客戶每年要付78萬美元的「網站訂閱費」，瀏覽什麼程式漏洞可供購買。但該公司強調，不會與聯合國、美國或歐盟制裁的國家交易。


業界指出，由於政府機構是最大買家，令國際社會缺乏推動力去收緊黑客的規管。施米德稱，網絡世界「與魔鬼共舞是普遍現象」，若限制自己的合作對象，可能會被淘汰，因為永遠有人願為網絡漏洞付錢。

http://news.sina.com.hk/news/20130715/-13-3017152/1.html

morris_2007

美侵伊朗網絡 催生黑客僱傭兵

【明報專訊】《紐時》指出，美國政府是黑客僱傭市場的「開拓者」，美國在2010年與以色列聯手，利用視窗等系統漏洞，向伊朗納坦茲（Natanz）的核設施發動Stuxnet蠕蟲攻擊，癱瘓當地濃縮鈾設施，讓全球見識到程式漏洞應用於網絡戰的威力。兩國之後再被指聯手開發惡意程式Duqu及Flame，進一步掀起多國政府的興趣。

NSA前僱員米勒（Charlie Miller）稱，曾有美國政府機構為尋找Linux作業系統一個漏洞，向他開出1萬美元報酬，他向另一政府機構開出8萬美元的報酬，對方一口答應。儘管當局後來認為這漏洞作用不大，也向他付了5萬美元，反映「捉蟲」有價。

相比之下，科網公司的出手沒有這麼闊綽。約10年前，Mozilla基金會首推「捉蟲懸紅」，提供報酬鼓勵黑客為Firefox瀏覽器尋找漏洞，以免黑客在黑市兜售相關漏洞圖利。此後，很多科網巨企都有類似懸紅，例如Google於2010年曾懸賞2.4萬港元，獎勵在Chrome瀏覽器找到漏洞的黑客。

至上月，Google為常用產品而設的「捉蟲懸紅」，已增至15.6萬港元。facebook自2011年推出懸紅計劃以來，付了780萬港元獎金。

蘋果每個漏洞售390萬

facebook認為，懸紅可鼓勵「有道德的黑客」揭穿其他黑客利用漏洞圖利的陰謀。原本抗拒懸紅的微軟，上月亦宣布將向尋找到漏洞的黑客，提供最多約117萬港元的獎金。儘管蘋果沒有類似懸紅計劃，但它的iOS作業系統每個漏洞可售390萬港元。

http://news.sina.com.hk/news/20130715/-13-3017151/1.html

做黑客分分鐘可以搵大錢