愤世嫉俗的人们说:这是个比恶的世界,而不是比善。我们不支持这种过于极端的观点,但某些时候,这话似乎也有些道理。当最富有的人惯用压榨剥削、欺骗和霸权而成为“1%”时,剩下的“99%”正在面临时刻袭来的危险。
上周我们编译的报道:一家名为 Zerodium 的所谓漏洞收购公司公开披露了一个 Tor 浏览器零日漏洞,这是一个明显的公关噱头。
您可能早有了解,零日漏洞是已被发现的、但尚未向负责修补的开发人员透露的安全漏洞。零日漏洞的利用程序对网络安全具有巨大威胁,因此零日漏洞不但是骇客的最爱,掌握多少零日漏洞也成为评价骇客技术水平的一个重要参数。
Zerodium 透露的零日是 Tor 浏览器的旧版本(7.x)。Zerodium 将他们的漏洞描述为能绕过 Tor / NoScript“最高”安全级别的保护,允许恶意代码在浏览器上运行。
该漏洞利用程序需要与恶意 JavaScript 结合使用,泄露用户的身份,以便“有效”。在给 ZDNet 的声明中 Zerodium 首席执行官 Chaouki Bekrar 表示,“这个 Tor 浏览器漏洞被 Zerodium 公司在几个月前做为零日漏洞收购,并与政府客户共享。”对于那些依赖 Tor 浏览器的人来说,这当然是一个非常令人不安的启示!
使用 Tor 的人是为了抵抗压迫性政权对隐私的侵犯,这一信息说明人们已经有相当长一段时间处于危险之中了。
好吧,现在我们应该承认这点了,这确实就是如今整个世界的状态:一个阴暗的组织先花大把的资金吸引安全研究人员,然后将他们发现的漏洞卖给政府客户,赚回更多的钱 — — 就是那些用于对抗他们的公民的地方。一切因为钱。
零日漏洞及其利用代码不仅对犯罪骇客而言具有极高的利用价值,一些国家间谍和网军部队也非常重视这些信息。据路透社的报告,美国情报部门是零日漏洞黑市的最大买家。
而中国,在自己“制造”零日漏洞。详见 access now 组织的报告:中国囤积漏洞的战略威胁全球网络安全。
2017 年11月 Recorded Future 发布了中国国家漏洞数据库出版速度研究(缩写CNNVD)。最初他们得出的结论是,中国实际上比美国更快地评估和报告漏洞。然而,当重新审视调查结果时才发现,大多数数据都被修改了,以隐藏更长的处理时间,在此期间中国政府可以评估漏洞是否对情报行动有用。
这种处理手段很可能是中国国家安全部(MSS)的命令。该部门需要更长的时间来评估这些漏洞,主要看如何利用它们,然后才会公开。通过此过程,他们会延迟发布公共通知、修补和补救指导,从而大幅增加公众所面临的危险。
中国国家机构对脆弱性的战略性使用方案并不是原创,现在这种卑劣的方法在全球都有强烈的推动力,各国政府都在制定披露政策、制定具体规则来管理国家对这种高度敏感信息的处理,如美国的 Vulnerability Equity Process(VEP)。
我们报道过这个消息:今年3月,由于来自中国的安全研究人员此前占据了黑客领域的主导地位,因此今年中国没有派出团队参加 Pwn2Own 国际黑客大赛 — — 当局要控制技术高手在自己的权力范围内。5月,第一次在美国境外举行的 DEFCON 是与百度安防合作在中国北京举行的,此事则进一步暴露了政府对控制安全漏洞信息流动的明显渴望。
2018年7月,美国国会听证会上透露,中国政府在中国公司向用户(包括外国政府)披露漏洞之前,已经知道了微处理器中如今臭名昭着的 Meltdown 和 Spectre 漏洞。这一举措对中国当局来说有明显的战略优势,同时,它极有可能危及全球数字生态系统的安全。
当漏洞未被修补时,它们会构成严重的安全威胁,这种威胁影响深远且具有潜在的经济破坏性。漏洞披露的及时和准确是防止这种破坏发生的最有效方法。然而,包括中国在内的越来越多的国家则采取了相反的方法。中国拥有一个相当大的黑客社区,其技术实力绝不容忽视。
全球范围内,政府和情报机构对零日漏洞的需求量非常大,从而推动了一个巨大的交易市场的出现,就如 Zerodium 这样的公司,就是该市场的交易中间人,这些公司已经赚得盆满钵满。
Zerodium 毫不掩饰他们卑劣的经营,该网站上就直接写着,他们的客户“主要是政府组织……以及来自国防、技术和金融部门的大公司”。Zerodium 甚至为他们的高价支出而感到自豪,他们在自己的网站上说:“我们支付大笔的奖金,真金白银不是虚的”。
但必须知道!这个模式与像 HackerOne 或 Bugcrowd 那些传统的 bug 赏金流程有根本性的不同!后者会直接向开发人员报告漏洞,以便立即修补它们。传统程序通常也会向提交漏洞的安全研究人员支付(相比下少很多的)费用。而前者,直接卖给了必然将这些漏洞武器化压制本国人民的的政府当局,赚来大把的金钱。
那么对于此案例来说,Tor 的用户究竟前后总共多长时间处于危险之中?做个拼图并不难:
2017 年 9 月 13 日,Zerodium 的网站宣布了限时优惠:2017 年 9 月 13 日至 2017 年 11 月30日期间,他们将为 Tor Browser 漏洞发现者支付总计 1,000,000 美元。是的,你没有看错:一百万美元。
为了能看得更清楚一点,我们来做个悲惨的比较。在 Tor Project HackerOne 页面上,Tor Browser 的开发人员表示为发现高危严重性漏洞的研究人员提供 4,000 美元的资金,自 2017 年7月20日他们的漏洞赏金计划启动以来,他们只支付出了 7,100 美元……他们根本无法与政府客户的财务能力相竞争。
而 Zerodium 的声明还指出,如果能发现一个功能更强的漏洞可以获得更高的奖金,需要是可以绕过阻止 JavaScript 的 Tor / NoScript “最高”安全级别的那种。这就是正是发生的事。
一名安全研究人员发现了这样一个漏洞,并将其出售给了 Zerodium。虽然 Zerodium 当时没有透露他们对 Tor 浏览器漏洞支付的结果,但 Bekrar 上周向 ZDNet 表示,在限时优惠报价期间和之后,他们获得了许多符合他们要求的 Tor 漏洞。这意味着政府实体在 2017 年 9 月 13 日限时优惠开始后的任何时间都可以使用这个 Tor 浏览器漏洞。
Bekrar 声明不受漏洞影响的 Tor Browser 8.0 于 2018 年9月5日发布 — — 也就是在 Zerodium 于 2018 年9月10日向公众发布 Tor 浏览器零日漏洞之前的仅仅 5 天!这意味着可能差不多有一年的时间里,Tor Browser 用户试图保护自己免受压迫性政权危害的目的都失败了!却全然不知道自己正在危险之中。
如果出售 Tor 浏览器漏洞的安全研究人员将其提交给 Tor 浏览器开发者,他们可能会获得更少的经济回报,但会为世界做出善事。但事实上……他们选择了金钱,而不是道德。
当然,一些政府间谍机构可能会自己发现 Tor 浏览器漏洞,并且在 Zerodium 开始暗中兜售它之前就已经知道了。与 Tor 浏览器捆绑在一起的 NoScript 扩展开发人员 Giorgio Maone 告诉 ZDNet,该漏洞是在 2017 年5月11日发布的 NoScript 5.0.4 中引入的。如果间谍机构或其他任何人在 Zerodium 收购之前发现了这个漏洞的话,用户可能在那时开始就已经陷入危险了。
合理合法的 bug 赏金程序应该以这样的方式运行:当安全研究人员发现漏洞时,他们会立即报告给开发人员,并尽快修补。但随着 Zerodium 等组织的“蓬勃发展”,安全研究人员正在被大笔的资金诱惑,将他们的漏洞利用出售给拥有“精英客户群”的漏洞收购公司。这些组织购买的安全漏洞通常是故意不提交给相应的开发人员,以防止它们被修补。由于漏洞未得到修补,政府买家可以在他们认为合适的情况下秘密获取并利用其发起针对目标的攻击 — — 政府的“目标”是谁?调查记者、影响力很高的公民活动家、反对派组织、公民社会组织、地缘政治对手……一切有可能威胁到政权稳固的人和群体。
Zerodium 并不是唯一一家迎合政府的漏洞收购公司。众所周知,像 Northrop Grumman,General Dynamics 和 Raytheon 这样的主要国防承包商也向政府实体出售致命的漏洞。可能还有其他公司我们尚未了解到的。由于这些强大的公司秘密出售零日攻击,隐私对于生活在压迫政权下的人来说是一场越来越艰苦的战斗。
零日漏洞交易有三种市场:犯罪黑客交易侵入系统、盗取密码和信用卡号的漏洞利用代码和漏洞信息的黑市;充斥着漏洞悬赏活动的“白市”,研究人员和黑客在这里把漏洞信息提供给供应商,可获得相应的赏金,同时漏洞也得以修复 — — 在这个市场活动的还有安全公司,他们购买零日漏洞利用来进行渗透测试,以确定客户系统是否易受攻击;而最致命的是“灰市”,这里面很多研究人员和公司都是军用网络的承包商,他们将零日漏洞利用代码和漏洞信息卖给军方、情报机构和政府执法机构,后者可通过这些信息实施监控和对电子设备的攻击行为。
零日漏洞的价格可以达到很高 — — 5000美元到几十万美元不等 — — 这依赖于多个因素:在很多 Windows 操作系统版本中都存在的漏洞要比在软件的一个版本中存在的更有价值。然而,因苹果系统比其它手机系统更难攻破,锁定苹果 iOS 系统的漏洞会更值钱。那些绕过嵌入式安全技术(例如植入到浏览器的沙盒技术,可阻止恶意软件通过浏览器入侵进而感染整个操作系统)的漏洞利用,仍能将锁定标准浏览器漏洞的利用代码带到系统中去。
自 2010 年著名的 Stuxnet 攻击事件后,关于美国政府使用零日漏洞攻击的争议就一直持续不断,而随后 Edward Snowden 披露的政府骇客行为更让这场争议愈演愈烈。白宫曾宣布过了一项政策,指出国安局将公开其发现的部分软件零日漏洞,确保其获得修复,但是,那些有所谓的“明显国家安全或执法需要”的例外,将仍被保密并很可能被利用。于是,白宫的承诺完全和没说一样 — — 当权者可以把一切他们希望的目标说成“威胁国家安全”或“具有执法需求”。
这早已不是新鲜事。脆弱性获取公司和政府实体通常引用所谓的涉恐、或儿童色情等理由来证明其侵犯人权的监控和审查行为是“正当的” — — 即我们一直在警告的“六骑士”审查监控借口:洗钱、毒品、恐怖主义、儿童色情、假新闻和“仇恨言论”。被拿拿来扣住异议和反对派的大帽子还不止这些,随着大规模监视的加强和其技术的全球性铺展,当权者的借口还会继续增多。唯一的目的就是打压一切权力不喜欢的人。
监视行为可以非常隐秘和邪恶。Wikileaks 曾发布过 CIA 广泛使用的黑客工具的细节 — — 针对Windows,Android,iOS,OSX和 Linux 计算机系统以及联网路由器的恶意软件。部分软件是内部开发的,并且据说英国的军情五处曾协助三星电视制造间谍软件攻击。
根据日期为 2014 年 6 月的文件,代号为“Weeping Angel”的三星 F8000 系列智能电视受到损害。文件描述了假关机模式,旨在欺骗用户相信他们的屏幕已被关闭。
文件表明,受感染的电视机被隐藏录制音频,一旦电视机完全切换回来,将通过互联网传送数据到 CIA 的计算机服务器。
截至2016年,中情局已经建立了 24 个 Android 的“零日”武库。其中一些据说是由中央情报局自己开发的,其他一些据称是从英国的 GCHQ 机构以及 NSA 和未命名的第三方获得的。
由三星、HTC 和索尼等公司制造的设备因此受到了损害,漏洞允许中央情报局在“应用被加密之前”进入 Whatsapp,Signal,Telegram 等聊天服务。
中央情报局中一个专门单位的工作是瞄准 iPhone 和 iPad,允许该机构看到目标对象的地理位置、激活他们的设备的摄像头和麦克风,并阅读文字通信。该部门还利用 GCHQ,NSA 和 FBI 获得的进一步 iOS 零日漏洞。
谷歌、微软等大型美国企业同美国政府有着密切的联系,他们也为美国情报部门工作,因此许多员工、尤其是在网络安全部门工作的企业员工,也有一定的安全涉密级别。正因为这些美国企业同政府过往甚密,因此无法保护用户免受情报机构的侵袭。仅说谷歌,谷歌的内部“安全团队”由一些美国前军事和执法官员组成。例如,谷歌全球调查主管 Joseph Vincent,其 LinkedIn 上的简历包括在美国移民和海关执法机构的国土安全调查部门担任高级代理人;谷歌的安全负责人是联邦调查局人质救援队的前成员,也是前海豹突击队员。在这里看到我们此前对谷歌与军事情报界紧密联系之证据的介绍;在这里看到一份更详细的报告,关于谷歌从来都是情报部门的监视计划项目。这篇报告来自 INSURGE INTELLIGENCE:一个由众筹资助的独立调查性新闻项目,揭露了美国情报界如何资助、培育谷歌,作为全球 #信息战 的工具。
最后顺便说说谷歌,因为目前一直高热不下的人权丑闻也同样符合本文的主题:即 金钱高于道德的灾难。此前我们已经在单独的文章中分析了相关问题,是基于用户利益角度的分析,在这里读到。以下是基于地缘政治角度的简要分析 — — 这一逻辑同样适用于对零日漏洞争夺战的理解。
我们曾多次使用过“高堡奇人”的比喻,它已经在互联网和相关数字技术领域实现,即 美国 — 中国的“均分天下”(等同于《高堡奇人》小说中的“德国 — 日本”)。这就是为什么美国国会议员在国际权利组织的压力之下表示了对谷歌中国审查版搜索引擎项目的“严厉谴责”。两方面原因:1、是国际压力;2、是该项目有可能相当于将谷歌的能力 — 也就是美国情报机构的实力“切割”出一块可观的部分给北京,即 在“高堡奇人”的竞争局面中将球踢入对方的球门。显然,后者才是重点。
但是,谷歌能成功进入中国 — — 即使将中国用户的数据交给北京作为“代价”,对美国情报机构来说也是有好处的,那将意味着美国情报机构能够更深入地了解在中国“谁或哪些组织是对北京政权冲击力最大的、中国人普遍关心的问题都有哪些、中国社会的最典型特征都是些什么”等等,这些信息将具有高度的情报价值。北京很明白这点,这才是真正的原因关于为什么中国的 GFW 一直在屏蔽硅谷巨头,并同时打造本土的几乎功能一样的克隆版数字应用和数字技术。而不仅仅是简单的舆论控制目的。
这也是为什么“不论怎样只要能进入中国就是成功”这个奇怪的逻辑在硅谷一直以来非常流行、并且被主流媒体引用和被权力默许(在这里看到一个案例)。显然,其中已经不仅只有钱的问题,还有无价的情报和地缘政治较量的优势。
对于中国用户来说 — 尤其是崇拜美国的中国用户 — 是否接受谷歌这一问题很复杂吗?一点也不!但请注意一个圈套:即 “你愿意被北京监控还是被华盛顿监控”的二岐化思维,这是曾经很多中国用户选择谷歌的坚定理由:“宁可把数据交给美国”。
然而,它是绝对错误的,是被“高堡奇人”深度绑架的思路 — — 这个星球上不止有中国和美国两个国家,摆脱噩梦、重新拿回自由独立之人权的方法是尽快从“高堡奇人”的幻境中醒过来;任何一种集中化监控审查都是对人权的严重侵犯,不论实施者是谁;现在完全有办法可以摆脱“中国-美国”的陷阱思路,为什么不?
而且,在谷歌中国审查版搜索引擎的案例中,对中国用户来说尤其应该具有坚定的立场,因为已经有足够的信息披露该项目将协助中国当局对中国人的更加严格的监视。
正如我们在两个月前的文章中所分析的那样,“搜索引擎”不是终极目的它只是敲门砖,谷歌瞄准的是中国这个全球数一数二的巨大数据市场,并且更重要的是,这个市场没有隐私保护法案、庞大的用户群中绝大多数人不具备足够的隐私安全意识,也没有反抗精神、没有反抗所必需的技术能力和经验,简直是一块顶天立地的肥肉,送给老大哥。
我们在推荐自由开源软件作为数字极权的替代品的时候,收到了来自中国高级知识分子的神奇回复,对方说:“你提到的那些东西我完全不知道,又怎么能信任呢?”苦笑。谷歌母公司 Alphabet 去年全年的销售额高达 1109 亿美元,谷歌的在线广告是 Alphabet 最赚钱的业务。这还是在受到特朗普税改和欧盟反垄断起诉(27 亿欧元罚款)的影响之下的收入。相比下大多数独立的开源自由软件只是大树下的蚂蚁,它们拥有的只有道德感、对互联网民主化的信念和广大技术人士的热情奉献,在这种情况下我们该如何打造能压过数字极权的知名度以令其被中国用户“信任”?
如果您还觉得不够:最新消息,为中国大型“集中营”提供监控摄像头的中国科技巨头海康威视(Hikvision)得到了美国朋友的大力帮助。公关巨头博雅公关公司(Burson-Marsteller)在帮助海康威视的美国子公司完成“战略规划和指导”等任务。游说公司 Sidley Austin 任命前14届国会议员 Rick Boucher (D-Va.) 帮助海康威视公司反击美国对他们的监控摄像头的禁止(关于海康威视,请见这篇文章《是谁在为中国政府的监视社会系统提供技术支持?》)
目前美国公司与中国老大哥海康威视的合作看起来是一项“明智的商业决策”。向美国司法部提交的一份文件显示,美国公司每月收到 25,000美元的酬劳支付,从高级管理人员每小时650美元、到实习生每小时85美元……现任博雅公关公司的首席执行官 Don Baer 是前克林顿政府的通讯主管。
最令人无语的是,中国人在等着美国公司来拯救自己,而美国公司在等着北京的钱。
这种事自古以来都不新奇。1937年6月,IBM 创始人托马斯·沃森(Thomas Watson Jr.)接受了阿道夫·希特勒(Adolf Hitler)为外国合伙人颁发的奖章。纳粹使用 IBM 制造的机器帮助统计犹太人 —— 直到第二次世界大战开始,美国技术人员都在为纳粹提供机器维修服务。
我们相信 IBM 没有爱上希特勒、不恨犹太人,谷歌也并不是喜欢中国政府、不“恨”中国人,他们只是喜欢钱。就如那些将零日漏洞卖给压迫性政府的公司,仅仅是因为政府当局和其情报部门是出价最高的人。如果按照物质主义的逻辑来说,这样做会被认为“无可厚非”。然而,更严重的问题是,追求正义的人们没有那么多钱和当权者竞争,
- 就如 Tor 的四千美元和 Zerodium 的一百万美元的天壤之别……
- 就如帮助独裁政府工作的人自称只为“养家糊口”;
- 就如威权国家公务员考试的挤破门槛被解释成只图一个“铁饭碗”
但是,我们还能用什么来捍卫良善之心?◾️
感谢帮助 iYouPort!
PayPal 捐赠渠道已开通 https://paypal.me/iyouport
