什麼樣的漏洞可以要你一條命

以前，雷鋒網宅客頻道（微信ID：letshome）編輯寫過一篇《什麼樣的漏洞買得起北京二環一套房？》，給出了好幾條因洞致富的途徑，最近，我重新審視這個問題，引發了一個新疑問，什麼樣的漏洞會要你一條命？

一條新聞很快回答了我。

本文作者：李勤，雷鋒網網路安全專欄作者，微信：qinqin0511

10 月 2 日，沙特記者卡舒吉走進了土耳其伊斯坦布爾的領事館，辦理結婚相關手續，然後再也沒出來。這是一場異常恐怖的死亡之旅，「活活被肢解」「手被砍下帶回去復命」等聳人聽聞的描述頻頻出現。

美國有線電視新聞網（CNN）12 月報道披露，卡舒吉遇害前與友人奧馬爾?阿卜杜勒阿齊茲在社交 App 上策划了一個名為「網路蜜蜂」的青年「網軍」行動，並通過製作視頻、設立網站的方式，專門記錄沙特人權迫害的事件，他們還討論了將 SIM 卡從國外寄回沙特、「網軍」的資金來源等問題。

沒想到，這些討論被沙特政府知曉了。

友人死亡後，阿卜杜勒阿齊茲十分悲痛，他發現，自己的手機被監聽也許是這場悲劇發生的催命符。他把手機送到多倫多大學公民實驗室進行檢測，研究員告訴阿卜杜勒阿齊茲，他的手機被軍用間諜軟體入侵了。

研究員稱，一家名叫 NSO Group 的以色列公司發明了這個軟體，並應沙特政府的要求進行部署。

圖片來源：freebuf

當然，NSO 是打死不會認的。它發出了「否認」三連：

1.你們沒有證據可以說明是我們的技術被用來侵入了阿卜杜勒阿齊茲的手機。

2.我們的技術是幫助政府和執法機構打擊恐怖主義和犯罪，完全由以色列政府審查和批准（潛台詞：他們要用來幹什麼我怎麼知道，我只負責賣）。

3.NSO 提供的產品由政府客戶經營，NSO 的人沒有參與。

雖然抵死不認，但誰不知道 NSO 這家公司的黑歷史呢？

兩年前，由三個 0day 組成的高危漏洞「三叉戟」震驚了蘋果手機用戶，很多人以為蘋果手機是絕對安全的，直到三叉戟戳破了幻想：利用這個漏洞，黑客只要發送惡意鏈接誘騙用戶點擊，蘋果手機就會被黑客接管，從而竊取簡訊、郵件、通話記錄、電話錄音、存儲的密碼等大量隱私數據，監聽並竊取社交軟體的聊天信息，甚至開啟麥克風偷偷錄音並發送給攻擊者，而蘋果用戶完全無法察覺。

這個利用了「三叉戟」的「飛馬」間諜軟體就是 NSO 搞出來的。當時，人們發現，沙特政府購買了「飛馬」之後攻擊了某著名人權人士。

這次還是一樣的套路，甚至可能還是同一匹「飛馬」。

我與360 曾帶領團隊獲得「世界破解大師」稱號的頂尖黑客 MJ0011核實，利用這種間諜軟體，只要給用戶的蘋果手機發送一條信息，就能控制其手機，甚至不需要用戶點擊鏈接。在沙特記者被害的案例里，這個曾經是0day 的漏洞流轉各地，成了N-day，雖然漏洞早已被修復，只要用戶的手機沒有升級成最新版本，那麼依然會中招。

蝴蝶煽動了它的翅膀，一場大風暴來襲，與阿卜杜勒阿齊茲通訊的卡舒吉喪命。

如果你對「這樣的漏洞可以要人一命」唏噓不已，再揭開一層幕布，看上去與漏洞「偶然」關聯的卡舒吉之死可能只是漏洞被利用成網路大殺器以及國家級網路戰的縮影而已。

與 MJ 的交流更讓我確信了這個觀點。

我們先來看看 NSO 的背景。

Omri Lavie和Shalev Hulio是 NSO 的創始人，2005年7月到2007年10月，Lavia 曾是以色列政府「僱員」。Hulio曾於1999年8月到2004年11月在以色列國防軍（搜救部隊）擔任連級指揮官，NSO公司的某些員工還在以色列國防軍里負責信號情報和代碼破譯的部門Unit 8200工作過。

《紐約時報》曾報道，NSO 明碼標價：監視10個iPhone或安卓用戶，NSO 分別向政府機構收取65萬美元；5名黑莓用戶收取50萬美元；5名塞班用戶收取30萬美元—安裝費另算。你可以監視更多目標，外加100個目標將收取80萬美元，外加50個目標50萬美元，外加20個目標25萬美元，外加10個15萬美元。年系統維護費用為之後每年總價的17%。

你可以理解為，NSO 是個向政府等機構出售網路武器的供應商，但這種供應商在龐大的網路武器供應鏈條里，扮演的可能只是小角色。

MJ 告訴我，美國、俄羅斯、英國等本身網路實力很強的國家都有自己的「安全組織」，比如美國有 NSA。出於安全和保密的顧慮，他們一般自研網路軍火，「一些小國家自己造不了，就需要向軍火商買」。

烏克蘭和俄羅斯就是一個實例。最近，一起利用Adobe Flash 0day漏洞的國家級網路攻擊行動曝光。360 安全團隊發現，此次攻擊相關樣本很可能來源於烏克蘭，攻擊目標則指向俄羅斯聯邦總統事務管理局所屬的醫療機構。

有意思的是，烏克蘭此次使用的網路武器疑似購自網路武器公司Hacking Team，這是一家與NSO類似的公司，它因依託政府後台，大力研發、銷售監控軟體而備受爭議。2016年，Hacking Team 因被黑客入侵，秘密被人發現———它常向一些網路武器研發能力不是很強的國家，比如中東國家，歐洲小國、韓國售賣網路武器。

網路軍事實力相差懸殊，處於弱勢的國家借這種網路武器供應商平衡戰局，漏洞及由此衍生的網路武器蒙上了不一樣的政治色彩。

尤其，如果你注意到，11 月 25 日，烏俄兩國突發了「刻赤海峽」事件，烏克蘭的數艘海軍軍艦在向刻赤海峽航行期間，與俄羅斯海軍發生了激烈衝突。「這次俄烏危機前，烏克蘭就在準備這個武器，沒過幾天，他們就開始實施了攻擊，可以說，APT攻擊行動和真實的政治和軍事事件一直關聯發生。」MJ提醒道。

卡舒吉之死中，也暗藏政治較量的漩渦。

《參考消息》10日報道，美國一位匿名的情報官員稱，以色列當局批准向沙特情報機關出售電話黑客間諜軟體，以令沙特情報機關能夠黑入反對政府的人士的手機。以色列之所以這麼做，是為了在與伊朗爭鬥的過程中，與阿拉伯世界的最大國家——沙特建立更穩固的聯盟關係。

原來我還天真地以為「什麼樣的漏洞可以要你一條命」是一個「問題」，實際上，在這種大背景下，它從來不是一個問題，而只是一個「可能註定會發生」的直接產物。

卡舒吉之死讓這一層關聯擺在了台前，以前只有專業人士才熟知的APT、漏洞、網路戰被更多普通人感知到：希拉里郵件泄密、轟轟烈烈的Wannacry 勒索病毒事件，以及烏克蘭電廠兩度受到黑客攻擊，幾百萬人無法取暖，在寒冬中瑟瑟發抖，親身體驗了網路戰的可怕。

如果你關注國際廠商的漏洞「PWN」比賽，會發現這兩年來中國參賽者越來越少，這些戰隊轉換了 PWN 的陣地，大家對漏洞力量的認知達到了空前的高度。

既然漏洞及其所代表的網路武器威力這麼大，為何沒有什麼規定可以平衡一下國際間的各種力量？

其實是有的。

2013年12月，《關於常規武器和兩用物品及技術出口控制的瓦森納安排》（簡稱《瓦森納協定》）附加條款的修訂，將一些特殊的入侵軟體列入其兩用物項清單中。2015年5月20日，美國商務部下屬的工業與安全局（BIS）提出實施規則草案《2013年全會決議的執行：入侵和檢測物項》，草案界定入侵軟體包括「計算機和具有網路功能的設備使用入侵軟體而識別漏洞的網路滲透測試產品在內」，擬將入侵軟體納入美國《出口管理條例（EAR）》的管控範圍。

MJ認為，儘管如此，《瓦森納協定》只是成員國之間的「遊戲」。

「如果賣家要將漏洞利用等有雙重用途的技術賣到非成員國，需要申請軍火執照，這是很難的。很多大家知道的公司把漏洞賣給政客，處在比較灰色的地帶，最後都沒有申請這個執照。而且很多漏洞交易都違反了《瓦森納協定》，包括義大利的 Hacking Team，他們將漏洞武器賣到中東等非成員國家，但向 Hacking Team 賣漏洞的很多人來自美國等瓦森納成員國家，明明違反了這個協定，卻沒有被追究責任，這個協定有點像君子協定，沒有特別大的約束意義。它並不是法律協定，要求成員國在各自的國家通過各自的法律實現，但這種實現就有很多不確定性。其實是美國為了限制非盟國發展這些武器技術所做的協定，而且可以交給義大利 Hacking Team再輾轉賣到中東，但賣給中國就不行，是一個比較雙標的協定。」

宅客頻道了解到，目前除了這個規定外，沒有其他關於漏洞交易等專門成文的規定，但是從近幾年我國政策層的動向看，我國很重視網路空間相關數據和信息的管控與治理，比如今年我國出台了關鍵數據出境管控的規定，未來可能有望看到有針對漏洞的相關法律法規。

與漏洞密切相關的「帽子」們則有三種選擇：

1.直接公開，壞人能用，好人也能修復，但大家都暴露在風險之下；

2.向廠商報告，修復這個漏洞，廠商可能會回報一些賞金，雖然金額肯定和黑市價格差別很大，但漏洞提交人可獲得致謝或入選名人堂的榮譽；

3.賣給漏洞買賣商，甚至親自做漏洞武器。

我們已經見過形形色色的選擇，還有因為一些對操作細節的不同認定而引發的提交人與廠商之間的糾紛，但這都是另外的故事了。

坊間傳聞， MJ 之前在眾著名戰隊中殺出重圍，帶隊獲得「世界破解大師」至高榮譽，但今年則轉換戰場，參加國內比賽。

我曾以為，對 MJ 而言，這是一個讓人失落的問題。沒想到，MJ 相當坦然：「我們日常的工作並不是為了打比賽，而是為了更好地保護用戶，和黑帽子競爭發現更多漏洞，這是我們的目標。打比賽只是一個副產物，或者讓公眾知道你有這種能力，確實通過一些比賽，可以讓用戶知道哪個手機更安全、哪個瀏覽器更安全，它的意義在於能夠向公眾展示你在實際生活中可能會遇到這樣的攻擊，有什麼樣的威脅，這是有意義的，但能不能出去打或者在哪裡打，不是特別重要的事情。」

通過這次溝通，我對漏洞，以及對手持重器的「黑客」又有了新的理解。什麼樣的漏洞可以要你一命？時局變幻，人如螻蟻，什麼樣的漏洞都可能要你一命，任何人都可能成為下一個卡舒吉，但雷鋒網宅客頻道也曾報道，更多「安全人」做出了選擇，阻止「漏洞」奪走成千上萬人的隱私、財產和生命。

我們還將繼續報道。

參考信息：

1.《「黑客帝國」里的MJ0011》，南方都市報

2. 《間諜公司NSO明碼標價 可讓政府監控智能手機用戶》，E安全

3. 《NSO到底是個什麼樣的公司？揭秘三叉戟0day的締造者》，FreeBuf

4. 《美稱以色列曾售沙特間諜軟體 用於監控卡舒吉手機》，參考消息

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！