“飞马”出动的蝴蝶效应
10月2日,沙特记者卡舒吉走进了土耳其伊斯坦布尔的领事馆,办理结婚相关手续,然后再也没出来。这是一场异常恐怖的死亡之旅,“活活被肢解”“手被砍下带回去复命”等耸人听闻的描述频频出现。
美国有线电视新闻网(CNN)12月报道披露,卡舒吉遇害前与友人奥马尔·阿卜杜勒阿齐兹在社交App上策划了一个名为“网络蜜蜂”的青年“网军”行动,并通过制作视频、设立网站的方式,专门记录沙特人权迫害的事件,他们还讨论了将SIM卡从国外寄回沙特、“网军”的资金来源等问题。
没想到,这些讨论被沙特政府知晓了。
友人死亡后,阿卜杜勒阿齐兹十分悲痛,他发现,自己的手机被监听也许是这场悲剧发生的催命符。他把手机送到多伦多大学公民实验室进行检测,研究员告诉阿卜杜勒阿齐兹,他的手机被军用间谍软件入侵了。
研究员称,一家名叫NSO Group的以色列公司发明了这个软件,并应沙特政府的要求进行部署。
当然,NSO是打死不会认的。它发出了“否认”三连:
1、你们没有证据可以说明是我们的技术被用来侵入了阿卜杜勒阿齐兹的手机。
2、我们的技术是帮助政府和执法机构打击恐怖主义和犯罪,完全由以色列政府审查和批准(潜台词:他们要用来干什么我怎么知道,我只负责卖)。
3、NSO提供的产品由政府客户经营,NSO的人没有参与。
虽然抵死不认,但谁不知道NSO这家公司的黑历史呢?
两年前,由三个0day组成的高危漏洞“三叉戟”震惊了苹果手机用户,很多人以为苹果手机是绝对安全的,直到三叉戟戳破了幻想:利用这个漏洞,黑客只要发送恶意链接诱骗用户点击,苹果手机就会被黑客接管,从而窃取短信、邮件、通话记录、电话录音、存储的密码等大量隐私数据,监听并窃取社交软件的聊天信息,甚至开启麦克风偷偷录音并发送给攻击者,而苹果用户完全无法察觉。
这个利用了“三叉戟”的“飞马”间谍软件就是NSO搞出来的。当时,人们发现,沙特政府购买了“飞马”之后攻击了某著名人权人士。
这次还是一样的套路,甚至可能还是同一匹“飞马”。
我与360曾带领团队获得“世界破解大师”称号的顶尖黑客MJ0011核实,利用这种间谍软件,只要给用户的苹果手机发送一条信息,就能控制其手机,甚至不需要用户点击链接。
在沙特记者被害的案例里,这个曾经是0day的漏洞流转各地,成了N-day,虽然漏洞早已被修复,只要用户的手机没有升级成最新版本,那么依然会中招。
网络大杀器与网络战
蝴蝶煽动了它的翅膀,一场大风暴来袭,与阿卜杜勒阿齐兹通讯的卡舒吉丧命。
如果你对“这样的漏洞可以要人一命”唏嘘不已,再揭开一层幕布,看上去与漏洞“偶然”关联的卡舒吉之死可能只是漏洞被利用成网络大杀器以及国家级网络战的缩影而已。
与MJ的交流更让我确信了这个观点。
我们先来看看NSO的背景。
Omri Lavie和Shalev Hulio是NSO的创始人。2005年7月到2007年10月,Lavia曾是以色列政府“雇员”。Hulio曾于1999年8月到2004年11月在以色列国防军(搜救部队)担任连级指挥官,NSO公司的某些员工还在以色列国防军里负责信号情报和代码破译的部门Unit8200工作过。
《纽约时报》曾报道,NSO明码标价:监视10个iPhone或安卓用户,NSO分别向政府机构收取65万美元;5名黑莓用户收取50万美元;5名塞班用户收取30万美元—安装费另算。你可以监视更多目标,外加100个目标将收取80万美元,外加50个目标50万美元,外加20个目标25万美元,外加10个15万美元。年系统维护费用为之后每年总价的17%。
你可以理解为,NSO是个向政府等机构出售网络武器的供应商,但这种供应商在庞大的网络武器供应链条里,扮演的可能只是小角色。
MJ告诉我,美国、俄罗斯、英国等本身网络实力很强的国家都有自己的“安全组织”,比如美国有NSA。出于安全和保密的顾虑,他们一般自研网络军火,“一些小国家自己造不了,就需要向军火商买”。
乌克兰和俄罗斯就是一个实例。最近,一起利用AdobeFlash0day漏洞的国家级网络攻击行动曝光。360安全团队发现,此次攻击相关样本很可能来源于乌克兰,攻击目标则指向俄罗斯联邦总统事务管理局所属的医疗机构。
有意思的是,乌克兰此次使用的网络武器疑似购自网络武器公司Hacking Team,这是一家与NSO类似的公司,它因依托政府后台,大力研发、销售监控软件而备受争议。
2016年,Hacking Team因被黑客入侵,秘密被人发现———它常向一些网络武器研发能力不是很强的国家,比如中东国家,欧洲小国、韩国售卖网络武器。
网络军事实力相差悬殊,处于弱势的国家借这种网络武器供应商平衡战局,漏洞及由此衍生的网络武器蒙上了不一样的政治色彩。
尤其,如果你注意到,11月25日,乌俄两国突发了“刻赤海峡”事件,乌克兰的数艘海军军舰在向刻赤海峡航行期间,与俄罗斯海军发生了激烈冲突。“这次俄乌危机前,乌克兰就在准备这个武器,没过几天,他们就开始实施了攻击,可以说,APT攻击行动和真实的政治和军事事件一直关联发生。”MJ提醒道。
卡舒吉之死中,也暗藏政治较量的漩涡。
《参考消息》10日报道,美国一位匿名的情报官员称,以色列当局批准向沙特情报机关出售电话黑客间谍软件,以令沙特情报机关能够黑入反对政府的人士的手机。
以色列之所以这么做,是为了在与伊朗争斗的过程中,与阿拉伯世界的最大国家——沙特建立更稳固的联盟关系。
原来我还天真地以为“什么样的漏洞可以要你一条命”是一个“问题”,实际上,在这种大背景下,它从来不是一个问题,而只是一个“可能注定会发生”的直接产物。
卡舒吉之死让这一层关联摆在了台前,以前只有专业人士才熟知的APT、漏洞、网络战被更多普通人感知到:希拉里邮件泄密、轰轰烈烈的Wannacry勒索病毒事件,以及乌克兰电厂两度受到黑客攻击,几百万人无法取暖,在寒冬中瑟瑟发抖,亲身体验了网络战的可怕。
较量
如果你关注国际厂商的漏洞“PWN”比赛,会发现这两年来中国参赛者越来越少,这些战队转换了PWN的阵地,大家对漏洞力量的认知达到了空前的高度。
既然漏洞及其所代表的网络武器威力这么大,为何没有什么规定可以平衡一下国际间的各种力量?
其实是有的。
2013年12月,《关于常规武器和两用物品及技术出口控制的瓦森纳安排》(简称《瓦森纳协定》)附加条款的修订,将一些特殊的入侵软件列入其两用物项清单中。
2015年5月20日,美国商务部下属的工业与安全局(BIS)提出实施规则草案《2013年<瓦森纳协议>全会决议的执行:入侵和检测物项》,草案界定入侵软件包括“计算机和具有网络功能的设备使用入侵软件而识别漏洞的网络渗透测试产品在内”,拟将入侵软件纳入美国《出口管理条例(EAR)》的管控范围。
MJ认为,尽管如此,《瓦森纳协定》只是成员国之间的“游戏”。
“如果卖家要将漏洞利用等有双重用途的技术卖到非成员国,需要申请军火执照,这是很难的。很多大家知道的公司把漏洞卖给政客,处在比较灰色的地带,最后都没有申请这个执照。而且很多漏洞交易都违反了《瓦森纳协定》,包括意大利的Hacking Team,他们将漏洞武器卖到中东等非成员国家,但向Hacking Team卖漏洞的很多人来自美国等瓦森纳成员国家,明明违反了这个协定,却没有被追究责任,这个协定有点像君子协定,没有特别大的约束意义。它并不是法律协定,要求成员国在各自的国家通过各自的法律实现,但这种实现就有很多不确定性。其实是美国为了限制非盟国发展这些武器技术所做的协定,而且可以交给意大利Hacking Team再辗转卖到中东,但卖给中国就不行,是一个比较双标的协定。”
目前除了这个规定外,没有其他关于漏洞交易等专门成文的规定,但是从近几年我国政策层的动向看,我国很重视网络空间相关数据和信息的管控与治理,比如今年我国出台了关键数据出境管控的规定,未来可能有望看到有针对漏洞的相关法律法规。
与漏洞密切相关的“帽子”们则有三种选择:
1、直接公开,坏人能用,好人也能修复,但大家都暴露在风险之下;
2、向厂商报告,修复这个漏洞,厂商可能会回报一些赏金,虽然金额肯定和黑市价格差别很大,但漏洞提交人可获得致谢或入选名人堂的荣誉;
3、卖给漏洞买卖商,甚至亲自做漏洞武器。
我们已经见过形形色色的选择,还有因为一些对操作细节的不同认定而引发的提交人与厂商之间的纠纷,但这都是另外的故事了。
后记
坊间传闻,MJ之前在众著名战队中杀出重围,带队获得“世界破解大师”至高荣誉,但今年则转换战场,参加国内比赛。
我曾以为,对MJ而言,这是一个让人失落的问题。
没想到,MJ相当坦然:“我们日常的工作并不是为了打比赛,而是为了更好地保护用户,和黑帽子竞争发现更多漏洞,这是我们的目标。打比赛只是一个副产物,或者让公众知道你有这种能力,确实通过一些比赛,可以让用户知道哪个手机更安全、哪个浏览器更安全,它的意义在于能够向公众展示你在实际生活中可能会遇到这样的攻击,有什么样的威胁,这是有意义的,但能不能出去打或者在哪里打,不是特别重要的事情。”
通过这次沟通,我对漏洞,以及对手持重器的“黑客”又有了新的理解。什么样的漏洞可以要你一命?时局变幻,人如蝼蚁,什么样的漏洞都可能要你一命,任何人都可能成为下一个卡舒吉,但更多“安全人”做出了选择,阻止“漏洞”夺走成千上万人的隐私、财产和生命。
我们还将继续报道。
参考信息:
1.《“黑客帝国”里的MJ0011》,南方都市报
2.《间谍公司NSO明码标价可让政府监控智能手机用户》,E安全
3.《NSO到底是个什么样的公司?揭秘三叉戟0day的缔造者》,FreeBuf
4.《美称以色列曾售沙特间谍软件用于监控卡舒吉手机》,参考消息
|