危险:监控技术公司正在推动对零日漏洞的利用

  • 曾经这事美国情报机构做得最狠,然而如今,它成为了一个超大的市场,已经蔓延全球

销售当今最具侵入性的监控系统的私人监控技术公司,通过购买被广泛使用的软件中的安全漏洞,并将其与自己的入侵产品捆绑在一起,为其客户提供对目标计算机和电话设备的前所未有的入侵能力。

随着 Wikileaks 对情报机构间谍行为的曝光,一段时间以来,很多人都知道了,政府通常会付出相当大的代价从安全研究人员那里购买被称为零日攻击的漏洞,用于监视和间谍活动

虽然重点是政府直接购买这些漏洞,但需要强调的是,私人监视技术公司在漏洞销售市场中的作用同等重要

延伸阅读:虽然这是美国情报部门引领的“潮流”,但如今这种监视手段早已不限于美国境内《零日漏洞和 CIA 间谍工具

最近几个月来,随着对特定监视技术出口的新控制在表面上达成一致,关于销售和使用零日攻击的辩论也越来越多。但是,尽管声称已经出台了新的出口管制措施来“规范”这类销售,但零日漏洞问题仍然无法控制

软件 bug 的出售早已构成了一个利润丰厚的市场,通常可以让计算机研究人员获得声望和金钱。当识别出这些漏洞时,传统的做法是将其出售给软件公司(为了及时修补漏洞),但事实并不是如此,很多人会见漏洞卖给出价最高的人,而资金丰厚的政府和情报机构显然是第一受益人

在 Gamma Group 宣传其 FinFly 漏洞利用的门户网站宣传册中你能看到,该公司向各国政府“提供大型的0日和1日漏洞利用库,可以访问各种流行的软件,如 Microsoft Office,Internet Explorer,Adobe Acrobat Reader 等等”,以更好地使用他们自己的监控技术。

通过使用 FinFly 漏洞利用门户,政府可以将复杂的入侵技术(如 FinSpy)作用到目标计算机上。利用门户通过提供更多的部署选择,为压迫性政府提供了更多的监视社会的权力。

更令人惊讶的是,FinFly Exploit Portal 还为用户提供了四种可行的攻击方式,可用于世界上所有最常见的软件产品,例如 Microsoft 的 Internet Explorer 和 Adobe 的程序等等。

Gamma 销售的漏洞利用了互联网浏览器、文件阅读器和其他应用程序中的漏洞来提供其产品 Finspy。利用用户对微软和苹果等提供商的信任,通过该漏洞提供的恶意软件可以把自己伪装为 iTunes 的更新出现,还可能是您可能感兴趣的 .pdf 文件,甚至是网页!

与 Gamma 类似,意大利监控公司 Hacking Team 也提供零日攻击。他们的“远程控制系统”显示出很多与 Gamma 产品系列相同的特性,包括对设备的入侵和信息的收集。

根据 Omega Research 提供的监控行业指数中的文件,骇客团队似乎提供了一个零日漏洞利用库,以帮助将遥控系统安装到个人设备上。

该骇客团队以前曾参与过针对摩洛哥活动家和埃塞俄比亚调查记者的间谍活动,并已在阿塞拜疆、埃及、埃塞俄比亚、哈萨克斯坦、马来西亚、尼日利亚、阿曼、沙特阿拉伯、苏丹、土耳其和乌兹别克斯坦等地使用过这种间谍技术。

监控公司不是唯一销售零日攻击的公司。 VUPEN security 是一家总部位于法国的公司,同样销售漏洞利用程序,这种程序使监控公司能够破解设备的安全功能,并提供对“VUPEN 安全研究人员在内部发现的未公开漏洞”的访问权限。

VUPEN 的工作能力与 Gamma 的漏洞利用门户类似:支付资金是为了获得访问提供漏洞的安全门户。

VUPEN 的数据库运行一个订阅服务,就像 LexisNexis 和 JSTOR 背后的付费墙一样。除了新闻和学术文章外,VUPEN 还为世界上一些最大的科技公司产品提供漏洞

营销手册第三页显示,VUPEN 允许访问其“威胁防护计划”,以便大型企业了解其系统中发现的任何漏洞。而在第二页,VUPEN 宣传其“执法机构的漏洞”,其中相同的漏洞被出售给执法和情报机构,用于抓人。两种不同的方法,完全是同一个目标:为 VUPEN 赚钱。

那么,VUPEN 究竟销售给谁呢?我们最近看到,美国已经购买了对 VUPEN 漏洞利用库的访问权限。

成为独家 VUPEN 俱乐部会员有一些要求:

  • 客户必须是情报机构或执法机构;
  • 必须签署保密协议;
  • 必须是北约、澳新或东盟的成员。

然而,该政策似乎没什么实际用途,因为公民实验室已经发现,VUPEN 漏洞被用来瞄准阿联酋的一位著名博主,至少仅此一例就完全不符合 VUPEN 自己的购买者要求。

VUPEN 上个月在迪拜参加了 ISS World Middle East,这是一个全球监控公司的贸易展,让他们有机会与来自中东的客户聚集在一起。 VUPEN 首席执行官还举办了一次关于“IT 入侵(计算机和移动设备)零日漏洞”的培训研讨会,教授执法机构如何使用他们的产品,以便他们可以入侵任何计算机和移动设备!

对于安全研究人员而言,漏洞利用是非常有价值的。它们具有完全合法的目的,应该鼓励与其发展有关的研究,特别是对脆弱性的研究。

然而,滥用的结果非常危险,而且滥用几乎无法避免。目前对漏洞出口的限制根本就是绣花枕头,无法解决根本性问题。了解当前的开发市场是关键。了解开发人员是谁、客户是谁、交易方式、以及使用方式,至关重要。

这些秘密行业需要被曝光 —— 缺乏透明度是任何商业领域的噩梦。

发表评论

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据