本文轉(zhuǎn)載自微信公眾號“數(shù)世咨詢”（dwconcn）。

零日漏洞是間諜工具與網(wǎng)絡(luò)武器的原材料，由于國家資源的支撐，漏洞交易的利潤巨大，這也是中間人從來不公開談?wù)摰脑蛩凇?/p>

▶ 危險之旅

2013年，有關(guān)我開始了解零日漏洞的傳聞，一下子就傳開了。零日漏洞的交易者、漏洞交易者，包括寫漏洞利用代碼的人，都開始對我有了戒備。我被謝絕參加黑客論壇，甚至還有人一度在暗網(wǎng)上出錢雇人入侵我的郵件或手機(jī)。但我無意中了解的信息，是我繼續(xù)征程的動力。

世界的基礎(chǔ)設(shè)施競爭已轉(zhuǎn)到線上，數(shù)據(jù)也不例外。而訪問這些系統(tǒng)和數(shù)據(jù)最可靠的方法就是零日漏洞。零日漏洞已經(jīng)成為美國間諜活動和作戰(zhàn)計劃的關(guān)鍵組件。斯諾登事件已經(jīng)明確，美國是該領(lǐng)域最大的玩家，但我知道并不只有美國一家，高壓政權(quán)正在趕上，為了滿足需求，便很快的催生出這樣一個市場。漏洞到處都是，許多是我們自己制造出來的，而那些強(qiáng)大的力量(包括我們的政府)一直在為這種環(huán)境提供保證，因此許多人不想讓這些故事公之于眾。

在零日市場的早期，花了數(shù)年的時間才找到一個愿意講話的人。許多人從來不予回應(yīng)，有些人干脆直接掛斷電話。還有人對我說，不只是他不能和我講這個市場，他還警告了所有他認(rèn)識的人不能和我講這個市場上的事。他還告訴我，如果我繼續(xù)下去，我會把自己置于“危險”之中。

“你會到處碰壁的，妮可”--彼時國防部長Leon Panetta

“祝你好運(yùn)”--前國家安全局局長Michael Hayden

做這一行，把嘴管嚴(yán)是必須的。每一筆交易都需要謹(jǐn)慎，大多數(shù)都是保密協(xié)議。誰的保密性做的好，政府就越愿意和他交易，他就會越賺錢。反之則反之。一個居住在曼谷的南非人，叫格魯格，在推特上有超過1萬個粉絲。2012年，公開的與一個記者談?wù)撀┒唇灰?，還出現(xiàn)在《福布斯》雜志上。結(jié)果被列入“不受歡迎的人”，政府不再與他交易。沒有人愿意步他的后塵，所以我只能搜尋公開的的資料，并以此深入下去，直到我找到了一個零日中間人，才得以了解“不為人知”的零日市場的故事。

▶ 先驅(qū)者

每個市場都是由一次打賭開始的。我所知道的零日市場，開始于一次10美元的賭局，這筆錢是約翰·沃特斯為收購網(wǎng)絡(luò)安全公司iDefense所愿意付出的價格。那是在2002年的夏天，沃特斯是一名對網(wǎng)絡(luò)安全一無所知的德克薩斯人。他認(rèn)為，對于一家月燒錢百萬美元而且還不知道啥時能挽回?fù)p失的公司而言，10美元已經(jīng)是一個相當(dāng)不錯的出價了。當(dāng)時正處于互聯(lián)網(wǎng)泡沫破滅的時期，iDefense已經(jīng)數(shù)周沒有發(fā)出工資，納斯達(dá)克指數(shù)則達(dá)到了歷史最低點(diǎn)，5萬億美元的紙上財富在股市蒸發(fā)，在接下來的兩年中，一半的互聯(lián)網(wǎng)公司消失，即使是iDefense的員工也認(rèn)為公司沒有機(jī)會了。

iDefense是一家威脅情報公司，主要的客戶是大銀行和一些政府機(jī)構(gòu)。通常情況下，威脅情報意味著軟件中的漏洞，攻擊者利用這些漏洞入侵受害者的網(wǎng)絡(luò)并最終盜走他們的數(shù)據(jù)。但問題是iDefense提供的情報并非獨(dú)有，許多原始的信息免費(fèi)收集于像BugTraq這類的黑客論壇。而且就在沃特斯走進(jìn)iDefense總部的那一天，iDefense很可能會失去BugTraq的訪問機(jī)會。因為就在當(dāng)天，網(wǎng)安巨頭賽門鐵克以7500萬美元的價格收購了BugTraq的運(yùn)營方SecurityFocus。如果賽門鐵克關(guān)閉外界對BugTrag的訪問，iDefense就完蛋了。

大衛(wèi)·恩德勒，曾在國家安全局任職，桑尼爾·詹姆斯則剛從大學(xué)畢業(yè)了兩年。這兩位iDefense實驗室的年輕黑客給沃特斯提供了一個“孤注一擲”的方案。他們認(rèn)為，當(dāng)今世界存在一個尚未開發(fā)的市場，找漏洞。多年來，對于漏洞發(fā)現(xiàn)者而言，是沒有800電話可打的。不管是發(fā)現(xiàn)了何種產(chǎn)品或系統(tǒng)的漏洞或代碼錯誤，對方是不會給予回應(yīng)的，更多的情況下是律師找過來，要求他們停止對當(dāng)事企業(yè)產(chǎn)品的“刺探”。即使當(dāng)企業(yè)修復(fù)了產(chǎn)品問題，這些補(bǔ)丁也往往包含著令人驚詫的錯誤。

代碼每天都會產(chǎn)生漏洞，黑帽子利用這些漏洞來攫取利益，進(jìn)行間諜活動，造成數(shù)字災(zāi)難。白帽子則失去了向廠商提交漏洞的動機(jī)。廠商則更傾向于用解決人的辦法來解決他們產(chǎn)品的問題(用法律程序來威脅漏洞發(fā)生者)。而那些運(yùn)行著有漏洞的軟件的機(jī)構(gòu)，則對攻擊者敞開了大門。因此，兩位年輕的黑客想為漏洞發(fā)現(xiàn)者提供一種免費(fèi)的高質(zhì)量的保證，而不是經(jīng)常發(fā)生的那樣，被懲罰。恩德勒和詹姆斯把他們的想法告訴了沃特斯。

付報酬購買黑客提交的漏洞，然后iDefense會把這些漏洞給到相應(yīng)的科技公司用于開發(fā)補(bǔ)丁，而且在補(bǔ)丁出來之前，iDefense還可以提供暫時的安全解決方案。沃特斯同意了。于是在2003年，iDefense成為業(yè)界第一家向黑客敞開大門且愿意付錢購買漏洞的公司。

▶ 市場開始形成

起初，詹姆斯和恩德勒并未意識到自己在做什么。這個市場還不存在，至少就他們所知，也沒有競爭對手。兩人給出了一張有點(diǎn)奇怪的價格表，一種漏洞75美元，另一種500美元。在最初的一年半時間里，共收到了上千個漏洞，其中一半的漏洞非常差。他們考慮過拒絕，但還是認(rèn)為需要建立信任，這樣才能吸引更多的黑客帶來更好的漏洞。

事情做成了。來自土耳其、新西蘭、阿根廷的黑客，甚至包括美國一名13歲的小黑客，開始不斷提交漏洞給iDefense，這些漏洞有防病毒軟件的，也有口令截獲從用戶與他們的瀏覽器盜取數(shù)據(jù)等。實際上，當(dāng)該項目2003年引起關(guān)注的時候，沃特斯開始接到許多電話，大多數(shù)來自于科技大公司，對他發(fā)泄怒火，指責(zé)iDefense邀請并付錢給黑客查找他們產(chǎn)品的漏洞。但到了2003年底和2004年的時候，又有一些電話打過來，這些人聲稱為政府承包商工作，愿意為漏洞付出更高的價格(iDefense當(dāng)時最高的漏洞報酬是1萬美元，而他們愿意出15萬美元)，只要iDefense不再將該漏洞告訴別人。利用這些漏洞可以開發(fā)出間諜工具和網(wǎng)絡(luò)武器，用以對抗美國的敵對方，而且沒有人會知道這些漏洞的存在。事實上，他們能出的價格遠(yuǎn)遠(yuǎn)超出沃特斯的想象。

沃特斯拒絕了，對方轉(zhuǎn)而用諸如“為了你的國家”之類的愛國主義說辭。雖然沃特斯是一個愛國主義者，但他畢竟也是一個商人。“這會讓我們完蛋，如果和政府合謀在客戶的核心技術(shù)上留下漏洞，這就是在坑客戶。”

承包商最終明白了沃特斯的堅決，但沃特斯已經(jīng)感覺到了風(fēng)向的變化。黑客開始要求六位數(shù)的報酬，而這個數(shù)字在半年前只是千元左右。于是黑客們開始尋求其他的選擇，類似于Digital Armaments這樣的神秘的團(tuán)隊開始在網(wǎng)上出現(xiàn)，為甲骨文、微軟和VMWare的產(chǎn)品零日漏洞提供高達(dá)五位數(shù)的酬金。很快，沃特斯判斷出他們創(chuàng)造出的潛在市場價值，最終在2005年7月，他以4000萬美元的價格出售了他以10美元買到的iDefense。

“這會是一筆大生意，”零日市場的最早的一位中間商對我說。這已經(jīng)是2015年的秋季，經(jīng)過我兩年的努力，這位零日交易人最終同意了跟我面對面交談。

▶ 薩比恩的故事

那年10月，我飛到華盛頓杜勒期機(jī)場去見一個人，在這里我不得不稱他為“杰米·薩比恩”。薩比恩已經(jīng)脫離零日市場數(shù)年的時間，但出于他的這段經(jīng)歷，到現(xiàn)在那些政府機(jī)構(gòu)還是他目前生意的客戶。只有在我不能使用他真實姓名的條件下，他才同意和我談話。薩比恩就是第一個給沃特斯開出15萬美元的人，而那個漏洞iDefense才付給黑客不到1000美元。“你無法想象這是多大的利潤，”時至今日的十幾年后，說起這事，他還是搖了搖頭。

在開始做零日業(yè)務(wù)之前，薩比恩在軍方，職責(zé)是保護(hù)軍方遍布在全世界的計算機(jī)網(wǎng)絡(luò)。我們安排在紐約州博爾斯頓的一家墨西哥餐館見面，這家餐館離他的幾個前客戶只有幾英里。

九十年代后期，薩比恩入職了一家政府承包商，首次代表美國情報機(jī)關(guān)涉足零日交易。那個時期，零日交易還沒有成為機(jī)密，也就是說如果與我這樣的人談話不會違反任何法律。但他仍然堅持不能透露他的名字。

薩比恩告訴我，通過保護(hù)軍方的網(wǎng)絡(luò)得以讓他深度熟悉技術(shù)方面的漏洞。在軍隊，安全通信往往意味著生存與死亡的天壤之別，但對于大型科技企業(yè)而言，似乎對此沒有意識。“大家非常清楚設(shè)計系統(tǒng)時要完成的功能，而不是安全。他們并不考慮系統(tǒng)可能如何被利用操縱。”

離開軍方后，如何利用計算機(jī)系統(tǒng)就成了薩比恩的主業(yè)。受雇于一家華盛頓周邊的政府承包商，薩比恩管理著一個25人的團(tuán)隊，為美國政府開發(fā)入侵工具。薩比恩意識到，如果沒有部署黑客工具的方法，這些工具就沒有作用。能夠可靠的訪問目標(biāo)計算機(jī)系統(tǒng)才最為關(guān)鍵。

“也許你是一名全世界水平最高的珠寶大盜，但除非你知道如何繞過警鈴系統(tǒng)，否則你哪兒也進(jìn)不去。訪問為王。”

薩比恩的團(tuán)隊私下交易數(shù)字訪問，搜索漏洞并為客戶編寫漏洞利用代碼。這些大筆的收入80%來自于五角大樓和情況機(jī)構(gòu)，其余的則來自執(zhí)法機(jī)構(gòu)。目標(biāo)就是幫助這些機(jī)構(gòu)找到秘密進(jìn)入敵對方系統(tǒng)的方法，敵對方會是民族國家、恐怖分子、販毒集團(tuán)，或者低級別的罪犯。

有些項目是靠運(yùn)氣的，如果他們發(fā)現(xiàn)了一個通用性很廣的產(chǎn)品漏洞，例如Windows，他們就會開發(fā)一個漏洞利用程序，然后盡可能賣給更多的機(jī)構(gòu)。但大部分工作是有針對性的：如情報機(jī)構(gòu)希望監(jiān)視俄羅斯設(shè)在在基輔的大使館，再比如巴基斯坦在賈拉拉巴德的領(lǐng)事館。薩比恩的團(tuán)隊必須實施偵察，辨識目標(biāo)計算機(jī)及其運(yùn)行的操作系統(tǒng)環(huán)境，找到進(jìn)入內(nèi)部的方法。

只要是人編寫的代碼，人來設(shè)計、建立和配置機(jī)構(gòu)，就一定會有進(jìn)入的方法。但找到漏洞只是成功的一半，另一半則是制作和打磨漏洞利用程序，這樣才能為政府機(jī)構(gòu)提供一個可靠、干凈入口。

薩比恩的客戶并不滿足于僅僅能夠訪問，他們想要的是不被發(fā)現(xiàn)的潛入，一個種植隱形后門的方法，甚至在入侵被發(fā)現(xiàn)后還能繼續(xù)潛入的方法，并且要把敵人的數(shù)據(jù)拖回他們的命令控制服務(wù)器，還不能觸發(fā)警報。

“他們想要的是整個“殺傷鏈”，進(jìn)入、傳送命令、滲漏數(shù)據(jù)、隱藏等能力。類似于特種部隊和海豹六隊，他們有狙擊手、掃雷手、撤離人員，甚至是破門員。”零日漏洞利用程序、木馬，提供可靠性、不可見性和持久性。這是一連串的環(huán)節(jié)。很難同時擁有這三種特性，但一旦具備，“搞定!”

我請他談?wù)劸唧w的漏洞利用程序，他帶有如同初戀般的情緒回憶起他的最愛。那是一個音頻存儲卡的零日。這個存儲卡在計算機(jī)的固件中運(yùn)行，因此幾乎無法發(fā)現(xiàn)和刪除，唯一的辦法就是把計算機(jī)扔掉。“這是最好的漏洞利用。”

進(jìn)入一臺計算機(jī)之后，間諜首先要做的事情就是監(jiān)聽其他的間諜。如果發(fā)現(xiàn)已經(jīng)有人在利用這臺計算機(jī)給命令服務(wù)器發(fā)送信息，就要把它刪除，不管對方在做什么。在同一臺計算機(jī)上發(fā)現(xiàn)有其他間諜的情況是常見的，尤其是在高級別的外交官、軍火商或是恐怖分子的網(wǎng)絡(luò)中。曾經(jīng)有一個惠普打印機(jī)的零日，被“全世界的政府機(jī)構(gòu)”利用，這個漏洞可以捕獲任何通過打印機(jī)的文件，從而建立起一個“灘頭堡”，而且這個灘頭堡IT管理員很難想去懷疑。

起初尋求零日武器庫的政府機(jī)構(gòu)并不多。國家安全局曾吹噓在情報社區(qū)，自己擁有最大和最有能力的網(wǎng)軍，而且那時情報機(jī)構(gòu)并不尋求外界的幫助。但在九十年代中期，隨著互聯(lián)網(wǎng)在大眾層面的普及，越來越多的情報機(jī)構(gòu)害怕落后于互聯(lián)網(wǎng)應(yīng)用的發(fā)展。在九十年代后期，中央情報局的一個特別工作組判定自身對這一趨勢非常缺乏準(zhǔn)備，其他情報機(jī)構(gòu)也有相同的認(rèn)識，甚至認(rèn)為自己更加落后。于是，購買零日漏洞的需求很快的增長起來。

幾乎在同一時期，美國在非洲的大使館，如肯尼亞、坦桑尼亞的炸彈事件，促使了需求的爆發(fā)。九十年代，國會一直在削減軍費(fèi)開支的同時，卻堅持批準(zhǔn)模糊的“網(wǎng)絡(luò)安全”預(yù)算，不管這些預(yù)算是為了攻擊還是防御。政策制定者認(rèn)為，借用前美國戰(zhàn)略指揮官司詹姆斯·伊利斯的話，網(wǎng)絡(luò)沖突“就像里奧格蘭德河，一英里寬一英寸深”。在各個情報機(jī)構(gòu)內(nèi)部，則人人都認(rèn)為最好的零日漏洞利用則意味著最好的情報，也就意味著更多的預(yù)算投入。

薩比恩，正是在這個需求即將爆發(fā)的時期進(jìn)入到零日交易市場。

他的團(tuán)隊研發(fā)的零日漏洞利用程序不足以滿足大量的需求，而不同的情報機(jī)構(gòu)要的是進(jìn)入相同系統(tǒng)的方法，于是薩比恩把同一個漏洞利用賣給了多個機(jī)構(gòu)。在1998年大使館爆炸事件和2001年的911事件之后，從國防部到情報機(jī)構(gòu)再到政府承包商，在接下來的5年時間里，年年保持50%對數(shù)字化間諜活動的需求增長。

找到漏洞并開發(fā)漏洞利用程序需要時間，因此薩比恩認(rèn)為把漏洞挖掘外包會是最有效的節(jié)省時間和提升工作效率的辦法。他們還是會寫漏洞利用程序，但為什么不利用大量的外部黑客資源來給他們提供“原材料”呢?

“我們知道無法找到全部的漏洞，但我們也知道它的門檻很低，任何人都能以2000美元的價格買一個戴爾的漏洞。”

九十年代后期，薩比恩的團(tuán)隊開始尋求外部的黑客資源，美國的地下零日市場誕生了。正如前文所述，這個市場也孕育了iDefense和其他的類似提供商。

薩比恩的故事就像一本間諜小說，充滿了暗藏殺機(jī)的會面、裝滿現(xiàn)金的口袋和隱蔽的中間人等情節(jié)，只是這并非文學(xué)作品或想象中的畫面，這是真實發(fā)生的。

▶ 爆發(fā)

在九十年代，政府機(jī)構(gòu)花費(fèi)大約1百萬美元的價格購買10個一組的漏洞利用，薩比恩團(tuán)隊用去一半的錢來購買漏洞，然后自己再開發(fā)出漏洞利用程序。一個類似于windows通用系統(tǒng)的漏洞的價格是5萬美元，但如果是一個關(guān)鍵敵對方的很少有人用的系統(tǒng)，漏洞的價格會達(dá)到10萬美元。更甚者，如果能讓政府間諜深入敵人的系統(tǒng)，同時不被發(fā)現(xiàn)并潛伏很長一段時間，價格可以輕松達(dá)到15萬美元。

為薩比恩提供漏洞的黑客主要在東歐。蘇聯(lián)解體之后，有了大量有技術(shù)但沒工作的人。在歐洲，一些15、16歲的年輕黑客經(jīng)常把他們找到的漏洞賣給政府機(jī)構(gòu)或是代理人。薩比恩告訴我，一些最有才華的黑客在以色列，以色列8200部隊的退伍軍人，其中最棒的黑客之一，是一個僅16歲的以色列男孩。

零日交易是一個秘密且繁瑣的業(yè)務(wù)。薩比恩團(tuán)隊不可能直接打電話給黑客，讓他們用電子郵件把漏洞發(fā)過來，然后再把支票寄過去。漏洞和利用程序必須仔細(xì)地在各種系統(tǒng)上進(jìn)行測試。有時黑客會在視頻上操作演示，但大多數(shù)交易都是面對面的，通常會在黑客集會的旅館房間中進(jìn)行。

薩比恩的業(yè)務(wù)越來越依賴中間人。數(shù)年來，把一個裝著幾十萬現(xiàn)金的旅行袋，扔到零日中間人面前的場景經(jīng)常出現(xiàn)，以購買來自波蘭或整個東歐黑客提供的漏洞。

依賴信任和緘默法則是貫穿整個零日交易鏈條的關(guān)鍵。政府必須信息承包商能交付有效的漏洞，承包商必須信任中間人和黑客不會擅自暴露漏洞，或是將漏洞再次轉(zhuǎn)賣給敵對方。黑客必須信任承包商會付錢給他們，而不是拿到漏洞演示之后自己開發(fā)將漏洞據(jù)為已有。那個時候還沒有比特幣，一些支付會通過西聯(lián)匯款，但大部分還是通過現(xiàn)金。

如果你涉足過這個市場就會知道，這種交易的效率有多低。這也是為什么，薩比恩在2003年注意到iDefense在公開購買漏洞并給沃特斯打去電話的原因。

對于沃特斯這種致力于推動漏洞市場公開化的商人而言，承包商的做法是愚蠢的，甚至是危險的。“沒有人想公開談?wù)撍麄冋谧龅氖虑椋?rdquo;沃特斯回憶。“整個過程都被一層神秘的氣氛包裹著。但是市場越不透明，效率就越低。市場越公開，就會越成熟，買主的主動權(quán)就更多。不去打開潘多拉魔盒，價格就會一直上漲。”

到了2004年末，來自政府和前臺公司(掩蓋真實身份的幌子公司)大量需求不斷地促升漏洞利用的價格，給iDefense帶來了很大的競爭壓力。但隨著市場的擴(kuò)大，真正給沃特斯帶來麻煩的反而不是市場層面的影響，而是不斷增長的全面網(wǎng)絡(luò)戰(zhàn)的可能性。“就象在地下市場擁有核彈，可以在不受控制的情況下在全世界出售。”

冷戰(zhàn)的確定性反而促進(jìn)了處于蠻荒時代的數(shù)字世界，沒人能確定敵人會在哪里以及可時出現(xiàn)。美國的情報機(jī)構(gòu)越來越依賴網(wǎng)絡(luò)間諜，以盡可能多的收集敵對方的數(shù)據(jù)。而且不只是監(jiān)聽，他們還尋求能夠破壞基礎(chǔ)設(shè)施，摧毀電網(wǎng)的代碼。渴求這些工具的華盛頓承包每年都以兩倍的速度增長。

最大的承包商，如洛克希德·馬丁、雷神、諾斯羅普·格魯曼、波音等，來不及雇傭更多的網(wǎng)絡(luò)安全專家，于是他們從情報機(jī)構(gòu)的內(nèi)部挖人，以及收購小一些的承包商，如薩比恩的團(tuán)隊。情報機(jī)構(gòu)則開始從法國的一家零日代理商Vupen獲取漏洞利用。這家代理商就是現(xiàn)在的Zerodium。他們在華盛頓周邊建立辦事處，并在線上明碼標(biāo)價，提供高達(dá)100萬美元(現(xiàn)在已經(jīng)到了250萬美元)的懸賞收購遠(yuǎn)程入侵iPhone的漏洞。

該公司網(wǎng)站上曾有的標(biāo)語：“我們付出重金，而不是漏洞賞金。”前國家情報局的人員也開始成立自己的業(yè)務(wù)，如Immunity Inc，為國外政府提供諜報技術(shù)的培訓(xùn)。一些承包商，像CberPoint，把他們的業(yè)務(wù)擴(kuò)展到海外，駐扎在阿聯(lián)酋首都阿布扎比，阿聯(lián)酋政府曾重賞過國家安全局的黑客，因為他們幫助阿聯(lián)酋成功入侵了敵對方。巨大的需求不斷促升著漏洞的價格，不久之后，又一家零日交易商Crowdfense，出價比Zerodium竟要高出100萬美元。最終這些工具，都會被美國利用。

到了2015年，薩比恩同意與我見面的時候，零日市場已經(jīng)真正的形成。“在九十年代，開發(fā)漏洞利用并交易只是個很小的圈子?，F(xiàn)在則非常的商業(yè)化了，”他揮動手指畫了個很大的圈子，以象征華盛頓大街的承包商。“我們已經(jīng)被包圍了，有超過100家的承包商在經(jīng)營這個業(yè)務(wù)。”

美國的政府機(jī)構(gòu)形成的市場并非薩比恩退出的原因，而是海外的需求給他帶來不安。“每個人都有自己的敵人，即使是你從未想到的國家，也在積攢漏洞以防不時之需。大多數(shù)國家只是為了保護(hù)自己，但很快這些國家就會意識到，他們不得不把手伸出來去觸動別人。”

“這樣下去，你肯定會遇到事情的，結(jié)局肯定不妙。”說完這句話，薩比恩起身離去。

注：本文摘譯自《他們是如何告訴我世界結(jié)束的》一書，作者妮可·佩爾羅斯。小標(biāo)題為譯者所寫。