知道创宇余弦——阳光下的“漏洞买卖”

每个漏洞就像是一个孩子,我发现了它,打造了它,赋予了它生命。看着它出生,璀璨地爆发,然后又归于沉寂,就好像我的生命和它产生了联系。真正的黑客才能体会这样的情感。

余弦凝视远方,满含父爱地说出这番话。脸上闪烁着汉尼拔式的,温柔又魔性的微笑。

这位技术大牛最主要的身份,是网络安全公司“知道创宇”的技术VP。也许是为了和自己三角函数的名字相称,他的办公室居然都是任性的三角形。身处一个黑客味道很强的安全公司,余弦总在策划着一鸣惊人的“大计”。这两天他思索的问题,就是如何以正确的姿势买卖被他称为“孩子”的漏洞。

 知道创宇余弦——阳光下的“漏洞买卖”

余弦(Cos)

漏洞集市

有巨大价值的漏洞,都会在黑市上被交易。如果你把一个Win10的致命漏洞提交给微软,可能拿到几万美金,如果你拿到漏洞黑市上交易,你可以得到几倍、几十倍、几百倍的利润。撇开道德因素,一个理智的黑客一定会在黑市中交易他手中的漏洞。

余弦对雷锋网(公众号:雷锋网)讲述了这个有点悲伤的现实。在他口中,漏洞的交易被形容为海里的巨大冰山,水面之下,是庞大而危险的黑市交易。在网络黑市(如已经覆灭的“丝绸之路”)里,漏洞和毒品、军火、色情产品摆在一起待价而沽,余弦统称它们为“人性的衍生品”。

于是,余弦要造一个“白市”。他认为,同样是漏洞的交易,交易者的出发点不同,性质就完全不一样。在今年8月知道创宇主办的KCon黑客大会上,他亲自上台宣布启动“漏洞社区”计划,这个社区最独特的地方就在于可以明目张胆地合法交易漏洞。

 知道创宇余弦——阳光下的“漏洞买卖”

漏洞集市的热门交易

这个排行榜显示了“漏洞社区”上线20天以来最热门的漏洞交易。每个漏洞的POC(Proof of Concept,漏洞验证程序)是交易的主体,一旦付费给漏洞提交者,你将得到这个漏洞的完整细节。从定价来看,漏洞以几“KB”的定价居多。按照余弦拟定的官方“汇率”,目前1KB约为5RMB。白帽子每提交一个漏洞详情,将有可能得到两方面的收入:

1、其他会员购买漏洞详情支付的费用


2、数目不等的来自社区的官方奖励

社区上滚动的数据显示,自从上线以来,已经达成了将近500笔交易。漏洞社区的直接负责人张祖优告诉记者,目前平台对会员注册管制比较严格,采取审核注册制,只有提供漏洞者才能获得邀请码成为会员,目前社区的会员已经有将近200人。

子弹和原子弹

你来想象这样一个有意思的场景,每一个漏洞都是一颗子弹,它们型号不同,大小不同,杀伤力也不同。

余弦双手一推,仿佛打开了一扇军火库的大门。

那么究竟是谁在卖,又是什么人在买?这些隐匿在冰冷ID背后的人,究竟是什么身份呢?余弦告诉记者,团队对交易者进行了一些初步调查,基本上是学生、黑客爱好者和安全从业者。

 知道创宇余弦——阳光下的“漏洞买卖”

2014年影响全球的“0Day漏洞”心脏出血影响的范围

目前在漏洞集市里交易的,都是已经通过各种途径被曝光的漏洞,业内称为1Day漏洞。集市所做的就是保证漏洞的规范性和正确性,让购买者可以直接使用。而具有巨大威力的0Day漏洞(未被公开曝光的漏洞),目前还不可以在集市内交易。

不过,余弦反复强调,千万不要小看1Day漏洞,很多漏洞虽然已经曝光了数年,都称得上是“N”Day漏洞,但是由于用户缺乏安全意识,没有更换设备或者安装官方的更新,黑产从业者仍然可以轻松地利用这样的漏洞赚钱。

黑色产业玩的是概率,一个漏洞,只要有相当一部分比例的用户没有修复,对他们来讲就是能赚钱的。与其期望发现一个0Day漏洞,黑产从业者会现实地选择研究怎样提高一个1Day漏洞的命中率。

形象地来讲,1Day漏洞就像子弹,而0Day漏洞就像原子弹。虽然原子弹的威力巨大,但是一般人无法获得。更多的犯罪是通过子弹来实现的。

对于用户购买漏洞的目的有哪些,余弦并不回避:1、安全研究;2、恶意测试。对于有人购买漏洞进行恶意行为,他有自己的理解:

首先,漏洞集市上买不到“大规模杀伤性武器”;


其次,这些“子弹”在网络上都已经以不同的形式被公布,只不过信息比较零散。一个真正想做坏事的人无论如何都能拿到这些“子弹”;


再次,集市最主要的功能是给正义的人提供优良的子弹,而正义的力量永远会比邪恶的强大。

知道创宇会掌握集市里销售的漏洞细节,这些子弹同样可以武装我们,这也是我们大设计的一部分,余弦补充道。

 知道创宇余弦——阳光下的“漏洞买卖”

余弦在KCon上发布漏洞社区

靠漏洞发家致富?

开业20天以来,目前漏洞集市里的“首富”已经坐拥70KB左右。约合350人民币。这个数字离“发家致富”显然还有距离。对于这个略显尴尬的现实,余弦给出他的解释:“漏洞对于会员的最大价值应该在他的研究工作中,每个人都在集市里换得他们需要的漏洞,这才是最大的价值所在。”

然而对于一个不能赚大钱的集市,似乎总缺少一些想象空间。余弦说,未来漏洞集市的计划是引入高威胁漏洞——包括0Day漏洞——的交易,不过,鉴于上文提到的原因,高威胁漏洞的交易将完全是另一套玩法。如果玩的是这些漏洞,那么纯粹靠卖漏洞发家致富也不是不可能。但是,谈到具体的玩法,这个“狡猾”的黑客并没有透露一言半语,只是放话:等到年底的时候再来,也许会有惊喜等着你。

为了让漏洞买卖的规则公正合理,余弦正在逼迫漏洞集市的头头们集体攻读《经济学常识》,整日讨论汇率和宏观调控。如果走进他的办公室,会有一种误入发改委的错觉。

余弦说,他会试验各种有趣的玩法,毕竟时间和金钱都还算充足。这个独特的“漏洞买卖”究竟如何发展,雷锋网也会继续关注。


有关余弦的个人介绍,请参考雷锋网文章『余弦:非典型黑客』。

雷锋网原创文章,未经授权禁止转载。详情见转载须知

 知道创宇余弦——阳光下的“漏洞买卖”

(完)