以前，雷鋒網(wǎng)宅客頻道（微信ID：letshome）編輯寫過一篇《什么樣的漏洞買得起北京二環(huán)一套房？》，給出了好幾條因洞致富的途徑，最近，我重新審視這個(gè)問題，引發(fā)了一個(gè)新疑問，什么樣的漏洞會(huì)要你一條命？

一條新聞很快回答了我。 

本文作者：李勤，雷鋒網(wǎng)網(wǎng)絡(luò)安全專欄作者，微信：qinqin0511

“飛馬”出動(dòng)的蝴蝶效應(yīng)

10 月 2 日，沙特記者卡舒吉走進(jìn)了土耳其伊斯坦布爾的領(lǐng)事館，辦理結(jié)婚相關(guān)手續(xù)，然后再也沒出來。這是一場異常恐怖的死亡之旅，“活活被肢解”“手被砍下帶回去復(fù)命”等聳人聽聞的描述頻頻出現(xiàn)。

美國有線電視新聞網(wǎng)（CNN）12 月報(bào)道披露，卡舒吉遇害前與友人奧馬爾?阿卜杜勒阿齊茲在社交 App 上策劃了一個(gè)名為“網(wǎng)絡(luò)蜜蜂”的青年“網(wǎng)軍”行動(dòng)，并通過制作視頻、設(shè)立網(wǎng)站的方式，專門記錄沙特人權(quán)迫害的事件，他們還討論了將 SIM 卡從國外寄回沙特、“網(wǎng)軍”的資金來源等問題。

沒想到，這些討論被沙特政府知曉了。

友人死亡后，阿卜杜勒阿齊茲十分悲痛，他發(fā)現(xiàn)，自己的手機(jī)被監(jiān)聽也許是這場悲劇發(fā)生的催命符。他把手機(jī)送到多倫多大學(xué)公民實(shí)驗(yàn)室進(jìn)行檢測，研究員告訴阿卜杜勒阿齊茲，他的手機(jī)被軍用間諜軟件入侵了。

研究員稱，一家名叫 NSO Group 的以色列公司發(fā)明了這個(gè)軟件，并應(yīng)沙特政府的要求進(jìn)行部署。

圖片來源：freebuf

當(dāng)然，NSO 是打死不會(huì)認(rèn)的。它發(fā)出了“否認(rèn)”三連：

1.你們沒有證據(jù)可以說明是我們的技術(shù)被用來侵入了阿卜杜勒阿齊茲的手機(jī)。

2.我們的技術(shù)是幫助政府和執(zhí)法機(jī)構(gòu)打擊恐怖主義和犯罪，完全由以色列政府審查和批準(zhǔn)（潛臺(tái)詞：他們要用來干什么我怎么知道，我只負(fù)責(zé)賣）。

3.NSO 提供的產(chǎn)品由政府客戶經(jīng)營，NSO 的人沒有參與。

雖然抵死不認(rèn)，但誰不知道 NSO 這家公司的黑歷史呢？

兩年前，由三個(gè) 0day 組成的高危漏洞“三叉戟”震驚了蘋果手機(jī)用戶，很多人以為蘋果手機(jī)是絕對安全的，直到三叉戟戳破了幻想：利用這個(gè)漏洞，黑客只要發(fā)送惡意鏈接誘騙用戶點(diǎn)擊，蘋果手機(jī)就會(huì)被黑客接管，從而竊取短信、郵件、通話記錄、電話錄音、存儲(chǔ)的密碼等大量隱私數(shù)據(jù)，監(jiān)聽并竊取社交軟件的聊天信息，甚至開啟麥克風(fēng)偷偷錄音并發(fā)送給攻擊者，而蘋果用戶完全無法察覺。

這個(gè)利用了“三叉戟”的“飛馬”間諜軟件就是 NSO 搞出來的。當(dāng)時(shí)，人們發(fā)現(xiàn)，沙特政府購買了“飛馬”之后攻擊了某著名人權(quán)人士。

這次還是一樣的套路，甚至可能還是同一匹“飛馬”。

我與360 曾帶領(lǐng)團(tuán)隊(duì)獲得“世界破解大師”稱號(hào)的頂尖黑客 MJ0011核實(shí)，利用這種間諜軟件，只要給用戶的蘋果手機(jī)發(fā)送一條信息，就能控制其手機(jī)，甚至不需要用戶點(diǎn)擊鏈接。在沙特記者被害的案例里，這個(gè)曾經(jīng)是0day 的漏洞流轉(zhuǎn)各地，成了N-day，雖然漏洞早已被修復(fù)，只要用戶的手機(jī)沒有升級成最新版本，那么依然會(huì)中招。

網(wǎng)絡(luò)大殺器與網(wǎng)絡(luò)戰(zhàn)

蝴蝶煽動(dòng)了它的翅膀，一場大風(fēng)暴來襲，與阿卜杜勒阿齊茲通訊的卡舒吉喪命。

如果你對“這樣的漏洞可以要人一命”唏噓不已，再揭開一層幕布，看上去與漏洞“偶然”關(guān)聯(lián)的卡舒吉之死可能只是漏洞被利用成網(wǎng)絡(luò)大殺器以及國家級網(wǎng)絡(luò)戰(zhàn)的縮影而已。

與 MJ 的交流更讓我確信了這個(gè)觀點(diǎn)。

我們先來看看 NSO 的背景。

Omri Lavie和Shalev Hulio是 NSO 的創(chuàng)始人，2005年7月到2007年10月，Lavia 曾是以色列政府“雇員”。Hulio曾于1999年8月到2004年11月在以色列國防軍（搜救部隊(duì)）擔(dān)任連級指揮官，NSO公司的某些員工還在以色列國防軍里負(fù)責(zé)信號(hào)情報(bào)和代碼破譯的部門Unit 8200工作過。

《紐約時(shí)報(bào)》曾報(bào)道，NSO 明碼標(biāo)價(jià)：監(jiān)視10個(gè)iPhone或安卓用戶，NSO 分別向政府機(jī)構(gòu)收取65萬美元；5名黑莓用戶收取50萬美元；5名塞班用戶收取30萬美元—安裝費(fèi)另算。你可以監(jiān)視更多目標(biāo)，外加100個(gè)目標(biāo)將收取80萬美元，外加50個(gè)目標(biāo)50萬美元，外加20個(gè)目標(biāo)25萬美元，外加10個(gè)15萬美元。年系統(tǒng)維護(hù)費(fèi)用為之后每年總價(jià)的17%。

你可以理解為，NSO 是個(gè)向政府等機(jī)構(gòu)出售網(wǎng)絡(luò)武器的供應(yīng)商，但這種供應(yīng)商在龐大的網(wǎng)絡(luò)武器供應(yīng)鏈條里，扮演的可能只是小角色。

MJ 告訴我，美國、俄羅斯、英國等本身網(wǎng)絡(luò)實(shí)力很強(qiáng)的國家都有自己的“安全組織”，比如美國有 NSA。出于安全和保密的顧慮，他們一般自研網(wǎng)絡(luò)軍火，“一些小國家自己造不了，就需要向軍火商買”。

烏克蘭和俄羅斯就是一個(gè)實(shí)例。最近，一起利用Adobe Flash 0day漏洞的國家級網(wǎng)絡(luò)攻擊行動(dòng)曝光。360 安全團(tuán)隊(duì)發(fā)現(xiàn)，此次攻擊相關(guān)樣本很可能來源于烏克蘭，攻擊目標(biāo)則指向俄羅斯聯(lián)邦總統(tǒng)事務(wù)管理局所屬的醫(yī)療機(jī)構(gòu)。

有意思的是，烏克蘭此次使用的網(wǎng)絡(luò)武器疑似購自網(wǎng)絡(luò)武器公司Hacking Team，這是一家與NSO類似的公司，它因依托政府后臺(tái)，大力研發(fā)、銷售監(jiān)控軟件而備受爭議。2016年，Hacking Team 因被黑客入侵，秘密被人發(fā)現(xiàn)———它常向一些網(wǎng)絡(luò)武器研發(fā)能力不是很強(qiáng)的國家，比如中東國家，歐洲小國、韓國售賣網(wǎng)絡(luò)武器。

網(wǎng)絡(luò)軍事實(shí)力相差懸殊，處于弱勢的國家借這種網(wǎng)絡(luò)武器供應(yīng)商平衡戰(zhàn)局，漏洞及由此衍生的網(wǎng)絡(luò)武器蒙上了不一樣的政治色彩。

尤其，如果你注意到，11 月 25 日，烏俄兩國突發(fā)了“刻赤海峽”事件，烏克蘭的數(shù)艘海軍軍艦在向刻赤海峽航行期間，與俄羅斯海軍發(fā)生了激烈沖突?！斑@次俄烏危機(jī)前，烏克蘭就在準(zhǔn)備這個(gè)武器，沒過幾天，他們就開始實(shí)施了攻擊，可以說，APT攻擊行動(dòng)和真實(shí)的政治和軍事事件一直關(guān)聯(lián)發(fā)生?！盡J提醒道。

卡舒吉之死中，也暗藏政治較量的漩渦。

《參考消息》10日報(bào)道，美國一位匿名的情報(bào)官員稱，以色列當(dāng)局批準(zhǔn)向沙特情報(bào)機(jī)關(guān)出售電話黑客間諜軟件，以令沙特情報(bào)機(jī)關(guān)能夠黑入反對政府的人士的手機(jī)。以色列之所以這么做，是為了在與伊朗爭斗的過程中，與阿拉伯世界的最大國家——沙特建立更穩(wěn)固的聯(lián)盟關(guān)系。

原來我還天真地以為“什么樣的漏洞可以要你一條命”是一個(gè)“問題”，實(shí)際上，在這種大背景下，它從來不是一個(gè)問題，而只是一個(gè)“可能注定會(huì)發(fā)生”的直接產(chǎn)物。

卡舒吉之死讓這一層關(guān)聯(lián)擺在了臺(tái)前，以前只有專業(yè)人士才熟知的APT、漏洞、網(wǎng)絡(luò)戰(zhàn)被更多普通人感知到：希拉里郵件泄密、轟轟烈烈的Wannacry 勒索病毒事件，以及烏克蘭電廠兩度受到黑客攻擊，幾百萬人無法取暖，在寒冬中瑟瑟發(fā)抖，親身體驗(yàn)了網(wǎng)絡(luò)戰(zhàn)的可怕。

較量

如果你關(guān)注國際廠商的漏洞“PWN”比賽，會(huì)發(fā)現(xiàn)這兩年來中國參賽者越來越少，這些戰(zhàn)隊(duì)轉(zhuǎn)換了 PWN 的陣地，大家對漏洞力量的認(rèn)知達(dá)到了空前的高度。

既然漏洞及其所代表的網(wǎng)絡(luò)武器威力這么大，為何沒有什么規(guī)定可以平衡一下國際間的各種力量？

其實(shí)是有的。

2013年12月，《關(guān)于常規(guī)武器和兩用物品及技術(shù)出口控制的瓦森納安排》（簡稱《瓦森納協(xié)定》）附加條款的修訂，將一些特殊的入侵軟件列入其兩用物項(xiàng)清單中。2015年5月20日，美國商務(wù)部下屬的工業(yè)與安全局（BIS）提出實(shí)施規(guī)則草案《2013年<瓦森納協(xié)議>全會(huì)決議的執(zhí)行：入侵和檢測物項(xiàng)》，草案界定入侵軟件包括“計(jì)算機(jī)和具有網(wǎng)絡(luò)功能的設(shè)備使用入侵軟件而識(shí)別漏洞的網(wǎng)絡(luò)滲透測試產(chǎn)品在內(nèi)”，擬將入侵軟件納入美國《出口管理?xiàng)l例（EAR）》的管控范圍。

MJ認(rèn)為，盡管如此，《瓦森納協(xié)定》只是成員國之間的“游戲”。

“如果賣家要將漏洞利用等有雙重用途的技術(shù)賣到非成員國，需要申請軍火執(zhí)照，這是很難的。很多大家知道的公司把漏洞賣給政客，處在比較灰色的地帶，最后都沒有申請這個(gè)執(zhí)照。而且很多漏洞交易都違反了《瓦森納協(xié)定》，包括意大利的 Hacking  Team，他們將漏洞武器賣到中東等非成員國家，但向 Hacking  Team 賣漏洞的很多人來自美國等瓦森納成員國家，明明違反了這個(gè)協(xié)定，卻沒有被追究責(zé)任，這個(gè)協(xié)定有點(diǎn)像君子協(xié)定，沒有特別大的約束意義。它并不是法律協(xié)定，要求成員國在各自的國家通過各自的法律實(shí)現(xiàn)，但這種實(shí)現(xiàn)就有很多不確定性。其實(shí)是美國為了限制非盟國發(fā)展這些武器技術(shù)所做的協(xié)定，而且可以交給意大利 Hacking  Team再輾轉(zhuǎn)賣到中東，但賣給中國就不行，是一個(gè)比較雙標(biāo)的協(xié)定?！?/strong>

宅客頻道了解到，目前除了這個(gè)規(guī)定外，沒有其他關(guān)于漏洞交易等專門成文的規(guī)定，但是從近幾年我國政策層的動(dòng)向看，我國很重視網(wǎng)絡(luò)空間相關(guān)數(shù)據(jù)和信息的管控與治理，比如今年我國出臺(tái)了關(guān)鍵數(shù)據(jù)出境管控的規(guī)定，未來可能有望看到有針對漏洞的相關(guān)法律法規(guī)。

與漏洞密切相關(guān)的“帽子”們則有三種選擇：

1.直接公開，壞人能用，好人也能修復(fù)，但大家都暴露在風(fēng)險(xiǎn)之下；

2.向廠商報(bào)告，修復(fù)這個(gè)漏洞，廠商可能會(huì)回報(bào)一些賞金，雖然金額肯定和黑市價(jià)格差別很大，但漏洞提交人可獲得致謝或入選名人堂的榮譽(yù)；

3.賣給漏洞買賣商，甚至親自做漏洞武器。

我們已經(jīng)見過形形色色的選擇，還有因?yàn)橐恍Σ僮骷?xì)節(jié)的不同認(rèn)定而引發(fā)的提交人與廠商之間的糾紛，但這都是另外的故事了。

后記

坊間傳聞， MJ 之前在眾著名戰(zhàn)隊(duì)中殺出重圍，帶隊(duì)獲得“世界破解大師”至高榮譽(yù)，但今年則轉(zhuǎn)換戰(zhàn)場，參加國內(nèi)比賽。

我曾以為，對 MJ 而言，這是一個(gè)讓人失落的問題。沒想到，MJ 相當(dāng)坦然：“我們?nèi)粘５墓ぷ鞑⒉皇菫榱舜虮荣?，而是為了更好地保護(hù)用戶，和黑帽子競爭發(fā)現(xiàn)更多漏洞，這是我們的目標(biāo)。打比賽只是一個(gè)副產(chǎn)物，或者讓公眾知道你有這種能力，確實(shí)通過一些比賽，可以讓用戶知道哪個(gè)手機(jī)更安全、哪個(gè)瀏覽器更安全，它的意義在于能夠向公眾展示你在實(shí)際生活中可能會(huì)遇到這樣的攻擊，有什么樣的威脅，這是有意義的，但能不能出去打或者在哪里打，不是特別重要的事情?！?/p>

通過這次溝通，我對漏洞，以及對手持重器的“黑客”又有了新的理解。什么樣的漏洞可以要你一命？時(shí)局變幻，人如螻蟻，什么樣的漏洞都可能要你一命，任何人都可能成為下一個(gè)卡舒吉，但雷鋒網(wǎng)宅客頻道也曾報(bào)道，更多“安全人”做出了選擇，阻止“漏洞”奪走成千上萬人的隱私、財(cái)產(chǎn)和生命。

我們還將繼續(xù)報(bào)道。

參考信息：

1.《“黑客帝國”里的MJ0011》，南方都市報(bào)

2. 《間諜公司NSO明碼標(biāo)價(jià) 可讓政府監(jiān)控智能手機(jī)用戶》，E安全

3. 《NSO到底是個(gè)什么樣的公司？揭秘三叉戟0day的締造者》，F(xiàn)reeBuf

4. 《美稱以色列曾售沙特間諜軟件 用于監(jiān)控卡舒吉手機(jī)》，參考消息

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。