网络战争进行时

　　网络战争曾经只是科幻小说题材，如今已成现实。这是一场硝烟四起的战争：互联网是战场，程序漏洞是武器，骇客是军火商，个人、企业和国家在其中打得难辨敌我。

　　【昂贵错误】

　　大学辍学后，美国青年阿龙·波特努瓦投身一个新兴行业——发现并出售程序漏洞，为此成立了一家名为“智识外逃”的公司。

　　这家公司的９名员工几乎全是“超级骇客”，他们的日常工作就是攻击目标软件，寻找侵入系统的办法。他们的目标包括浏览器、电邮客户端、即时通讯客户端、Flash、Java、工业控制系统，以及任何可以被攻击者当作突破口的东西。

　　一旦发现某个漏洞，“智识外逃”公司的研究人员通常会起草一份专业报告和技术文件，说明这个漏洞是什么、在哪里、如何发现、在什么版本的软件上运行以及如何修复等信息。

　　最重要的是，“智识外逃”会告诉你如何激活并利用这个漏洞。购买他们的漏洞需要注册成为会员，年费在２０万美元左右。

　　“智识外逃”的客户基本分为两类：攻击型和防守型。安全公司和反病毒软件开发商属于防守型，他们获取产品相关信息、为客户提供有关系统威胁的最新信息。攻击型客户则包括侵入测试者，他们买下“零日漏洞”模拟攻击自己或他人网络。“零日漏洞”是一个专业术语，指漏洞的新鲜程度，即公开时间为零天、尚无人尝试修复的漏洞。

　　这是一个赚钱的营生，畅销软件或操作系统的漏洞一经发现，倒手买卖之后价值飙升，值数百至数万美元不等。微软和谷歌等技术企业每年都砸下数百万美元，重金悬赏名下程序漏洞。

　　在这个不大的精英领域中，还有总部位于法国南部的Vupen公司、马耳他的Revuln公司、美国的Netragard公司和加拿大的Telus公司。Netragard公司的口号是：“我们保护你们不受我们这种人的攻击。”

　　程序漏洞说白了就是编程中出现的错误和纰漏，却摇身一变成为价值不菲的商品，还催生出一个全新产业。这与我们所处的计算机时代不无关系。

　　随着计算机的高度应用，现实生活几乎全部数据化。商业活动、医疗记录、社会生活和政府行为变为一节节数据，录入由软件构成的计算机内核。这些数据令人垂涎，既有间谍也有罪犯，既有政府也有企业，程序漏洞则是猎取数据的武器。

　　号称“零世界大战”的网络战争就这么打响了。注意，这不是发生在遥远未来的科幻故事，而是业已存在、每天都在上演的剧目。

　　爱德华·斯诺登提供的机密文件显示，２０１１年美国对中国、俄罗斯、伊朗和朝鲜等国家发起了２３１次网络攻击。这还只是２０１１年的数字。美国方面的数据则显示，普通美国企业在２０１３年对近１.７万起网络袭击提起诉讼。

　　【致命武器】

　　千万不要小看程序漏洞的杀伤力，如果应用得当，没准能匹敌核武器呢。

　　几年前，美国和以色列联合研发了计算机病毒“震网”（Stuunet ），堪称第一件真正的网络武器。一名双重间谍携带写有这种病毒的Ｕ盘，来到伊朗纳坦兹市某处正进行铀浓缩的核设施。在这里，他把Ｕ盘插入计算机，把病毒植入系统。

　　查看整个计算机系统后，“震网”向其美国和以色列主人传回详细情报，随后开始大规模侵入控制离心机的计算机，最终导致大约两成离心机陷入瘫痪。

　　上述细节均由安全专家和媒体提供事实推演所得，美国和以色列政府至今对此事保持沉默。

　　“震网”威力巨大，全凭借系统漏洞得以施展。据分析，“震网”至少利用了４个不同的系统漏洞，包括一个微软视窗操作系统的漏洞，才得以侵入伊朗离心机的计算机系统。

　　这些漏洞，或者更确切地说，利用这些漏洞所需的知识，好比虚拟世界的浓缩铀，是昂贵且精密的武器，是极端复杂的武器系统核心。因为这些漏洞的存在，“震网”极具杀伤力，从纳坦兹市的核设施扩散开来，导致全球大约10万台计算机受感染。

　　或许正因为程序漏洞的危险性，导致其畅销市场。早在“震网”之前，为漏洞埋单的想法就已经出现。

　　１９９５年，美国网景通信公司（Netscape）推出“漏洞奖金”项目，为找出该公司浏览器漏洞的人提供现金奖励。２００２年，美国信息防护公司（iDefense）开始购买各种漏洞。２００５年，TippingPoint公司也推出了类似的购买计划。

　　这是一个交易活跃且混乱的市场，出价最高的买家往往令人生疑。相比之下，信息防护公司和TippingPoint更可靠。他们好似回收放射性废物的零日漏洞“处理厂”。从骇客或他处购得漏洞后，这两家公司提醒客户予以警惕，并与软件开发商合作修复。如今独自创业的阿龙·波特努瓦曾在这两家公司当过实习生。

　　还有的企业成为承包商，专门向政府出售程序漏洞。多年来，总部位于华盛顿特区的Endgame公司向美国政府出售漏洞，被《福布斯》杂志称为“骇客领域的黑水公司”。

　　美国政府一直活跃在这个市场上。《华盛顿邮报》分析斯诺登泄密文件发现，美国国家安全局预算中，有２５１０万美元用于“额外秘密购买软件漏洞”；还有６.５２亿美元用于代号GENIE的秘密计划，任务是在外国计算机网络上植入恶意代码。

　　截至２０１３年底，GENIE预计已经控制全球大约８.５万台计算机。２０１５年美国国防预算中，更有５０亿美元用于网络空间行动，但具体去向没有公开。

　　【自由市场】

　　现实世界中，战斗机和地雷等军火交易有着严格控制。网络军火——程序漏洞的买卖则是一片罕见监管的“自由市场”，卖给谁、不卖给谁，全凭骇客说了算。

　　一名高级官员告诉《时代》周刊，美国政府目前不想真正控制这个市场。直到去年１２月，美国和其他４０个国家才修订了《瓦瑟纳尔协定》，将“侵入软件”纳入受限制的军民两用技术名单。然而，这项修订至今尚未落实。

　　漏洞市场的行为更多依赖自愿和自律原则。波特努瓦及其团队时常面临道德选择。他们尽量不涉及政治，不与遭美国制裁的国家做生意。然而，无论“智识外逃”还是其同行Vupen等公司，都恪守沉默原则，不追问“零日漏洞”将侵入谁的计算机、为何侵入。

　　由此造成的漏洞滥用可想而知。卡巴斯基研究人员４月透露，Adobe Flash软件存在一种零日漏洞。一旦装有该软件的计算机使用者访问某个特定网站，该漏洞即将恶意代码植入其计算机。这个特定网站据称属于叙利亚司法部，研究人员由此推断叙政府借此监控异见人士。

　　真正的末日场景是零日漏洞落入恐怖组织之手，用于攻击公共设施。那将是一场真正的梦魇。以“数据采集与监视控制系统”（SCADA）为例，这个控制工业系统的软件系统就是“震网”病毒攻击的目标。

　　美国联邦调查局（ＦＢＩ）负责网络和特殊行动的前特工玛丽·加利根说，一旦发现其中漏洞，后果不堪设想。“我们能想到的一切工业系统，制造车间、电网、供水或电梯，都由与互联网连接的数据设备运行，”她说，“令人担忧的是，这是保护力度最弱的环节。”

　　更糟的是，哪怕不能在公开市场上获得漏洞，不法分子也能从活跃的漏洞黑市上购买。兰德公司在今年３月的报告指出，漏洞黑市已成为“竞技场”，参与者是“一些受金钱驱使、具高度组织性和复杂性的组织”。

　　波特努瓦则对黑市漏洞嗤之以鼻。他说，黑市上的大部分漏洞都不具备“零日”新鲜度。犯罪分子通常瞄准已推出安全补丁的老旧漏洞，找那些尚未更新软件的计算机下手。

　　还有一种漏洞市场由技术企业推动形成。他们购买自己产品的漏洞并赶在别人之前予以修复，类似于对出厂产品进行Beta测试。

　　当然，最理想的情况是使用完美无瑕、安全的软件。然而，这绝无可能。计算机应用越普遍，其软件就越复杂，漏洞也越多。以一台个人笔记本电脑为例，其操作系统由数千万行代码组成，安装的应用软件大多数仅完成四分之三就匆匆上市。如果再与手机、平板电脑等其他设备连接，形势将迅速失控。

　　人类打造了互联网，却难以控制其中的信息流动。这是一场新的战争，虽然并不引人瞩目却旷日持久。这场战争模糊了军事与民事、个人与公共、政治与商业的界限，受害者损失的是个人数据和知识产权。正如美国政府一名高级官员所言：“零日漏洞将一直存在，人们必须生活在这种假设之下：有时候，坏人会侵入。”（袁原）

　　相关链接：永远的漏洞

　　想要修复所有漏洞就好似妄想排干海洋。无论编码水平如何提高，都不可能永远消除程序漏洞。目前，美国国家漏洞数据库列出６３２３９个漏洞。去年，研究人员平均每天发现１３个漏洞。今年３月，美国联邦政府通报，去年共有３０００家美国企业遭到黑客攻击。

　　越来越多技术企业意识到，与其让自己的编程员查找漏洞，不如重金悬赏查找。

　　２０１０年，谷歌公司推出奖励发现Chrome浏览器漏洞的计划。今年，谷歌用于该计划的支出累计达到３３０万美元。

　　微软公司对视窗操作系统严重漏洞发现者的奖金最高达到１０万美元。

　　去年，脸谱公司为６８７个漏洞支付了１５０万美元的奖金。