多年以來(lái)，黑客們都在從互聯(lián)網(wǎng)灰色市場(chǎng)上購(gòu)買零日漏洞。如今一個(gè)新市場(chǎng)希望將這種數(shù)字軍火貿(mào)易規(guī)范化，并通過(guò)暗網(wǎng)的匿名保護(hù)快速擴(kuò)張。

[[132228]]

上個(gè)月，暗網(wǎng)上出現(xiàn)了一個(gè)名為“真正交易”(“therealdeal”)的黑市，它的主要業(yè)務(wù)是向黑客兜售零日攻擊手段。類似于絲綢之路(SilkRoad)及其大量擁躉，“真正交易”使用Tor匿名技術(shù)加密連接，交易則使用比特幣，以隱藏買家、賣家、管理員的身份。目前市面上的其它網(wǎng)站只售賣基本的低級(jí)黑客工具以及泄露的財(cái)務(wù)信息，而“真正交易”的組建者則表示，希望吸引高端黑客在這里售賣零日漏洞、源代碼，甚至提供黑客雇傭服務(wù)。這些商品都會(huì)很吃香，不過(guò)在一些情況下，它們都是獨(dú)家售賣，并且是一次性銷售。

來(lái)自該網(wǎng)站匿名管理員的一條信息中寫道：

“歡迎，我們建立該網(wǎng)站的最初目的是組建一個(gè)代碼市場(chǎng)，在這里，購(gòu)買者可以獲得稀有的信息和代碼。并且，在過(guò)程中可以完全避免詐騙和騷擾，享受真正的代碼、真正的信息和真正的產(chǎn)品。”

目前為止，該市場(chǎng)還沒(méi)有提供很多可供銷售的漏洞，然而現(xiàn)有的少數(shù)幾個(gè)令人印象深刻，比如一個(gè)標(biāo)價(jià)為用比特幣支付的價(jià)值17000美元的漏洞利用工具。它宣稱自己是一種入侵蘋果iCloud賬戶的新策略：通過(guò)一個(gè)跳板賬戶發(fā)起惡意連接，可以訪問(wèn)任意其它賬戶。該商品在描述中寫道，如果買家感興趣，可以安排演示，通過(guò)該方法入侵買家指定的任意賬戶。

其它商品還有：入侵WordPress多站點(diǎn)配置文件的技術(shù)、針對(duì)安卓平臺(tái)WebView股票瀏覽器的漏洞、針對(duì)Windows XP、Windows Vista、Windows 7平臺(tái)上IE瀏覽器的攻擊(價(jià)格為8000美元，比特幣支付)。賣家寫道：這是兩個(gè)月前通過(guò)Fuzzing技術(shù)找到的零日漏洞，隨時(shí)有可能被發(fā)現(xiàn)，除非報(bào)酬很高，否則不會(huì)隨便說(shuō)。賣家還表示，可以利用通常方法做演示，如果有意請(qǐng)私信，不要浪費(fèi)時(shí)間。Fuzzing是一種通過(guò)發(fā)送隨機(jī)垃圾流量來(lái)測(cè)試對(duì)方什么時(shí)候會(huì)崩潰的漏洞探測(cè)技術(shù)。

蘋果、WordPress、谷歌、微軟在該網(wǎng)站受到媒體曝光后還沒(méi)有給予評(píng)論。

需要說(shuō)明的是，上面列出的漏洞都沒(méi)有被驗(yàn)證是否真實(shí)可行，研究人員也沒(méi)有什么合法的方式來(lái)測(cè)試它們。價(jià)格為17000美元的iCloud漏洞看上去特別誘人，因?yàn)樗墓δ馨ǐ@取用戶的全部敏感信息，包括Email和照片，價(jià)格也并不貴。舉例來(lái)比較的話，該商品的賣家表示2012年的一個(gè)iOS漏洞可以賣到最高25000美元。2013年，紐約時(shí)報(bào)報(bào)道，這個(gè)標(biāo)價(jià)為25000美元的漏洞被以50000美元的價(jià)格賣給了其它國(guó)家。

“真正交易”官方也給出了針對(duì)假貨的應(yīng)對(duì)措施，類似于絲綢之路，該網(wǎng)站的交易模式是第三方托管，交易中的比特幣被放置在第三方，如果賣家不發(fā)貨，買家可以獲得退款。和大多數(shù)暗網(wǎng)市場(chǎng)不同，“真正交易”還提供一種名為多重簽名的交易技術(shù)。這意味著托管著比特幣的第三方域名同時(shí)被買家、賣家和網(wǎng)站管理員所控制，在買家確認(rèn)收貨時(shí)，至少需要三方中的兩方簽名同意，這給了網(wǎng)站方面一定的仲裁權(quán)。不過(guò)研究人員目前還不清楚網(wǎng)站方面如何進(jìn)行仲裁。在很多情況下，“真正交易”網(wǎng)站的管理員可能會(huì)親自測(cè)試有爭(zhēng)議的漏洞，以確認(rèn)買家是否被騙。

顧客經(jīng)常擔(dān)心市場(chǎng)本身會(huì)竊取他們的比特幣，“真正交易”網(wǎng)站在解決這方面的疑慮方面做得也比現(xiàn)有網(wǎng)站要好。“真正交易”根據(jù)交易額大小收取3%或0.1個(gè)比特幣的手續(xù)費(fèi)，但并不需要用戶將比特幣存儲(chǔ)在自身控制的比特幣賬戶下。因此，它沒(méi)辦法像之前的Sheep Marketplace和Evolution這些交易網(wǎng)站一樣卷錢跑路。之前發(fā)生的幾個(gè)案例里，

網(wǎng)站跑路卷走了數(shù)百萬(wàn)比特幣。網(wǎng)站FAQ中寫道，我們沒(méi)有比特幣錢包，我們不想要你的比特幣，并可以保證我們不會(huì)在未來(lái)的某一天帶著你的比特幣跑路。

像大多數(shù)暗網(wǎng)市場(chǎng)一樣，“真正交易”網(wǎng)站的運(yùn)營(yíng)方身份是一個(gè)謎。網(wǎng)站的管理層并沒(méi)有立即響應(yīng)研究者的采訪請(qǐng)求，創(chuàng)建人將自己描述成信息安全領(lǐng)域的專家，專注于銷售零日漏洞。在接受暗網(wǎng)博客DeepDotWeb采訪時(shí)，網(wǎng)站管理層在Q&A中表示，他們由四個(gè)人組成，每個(gè)人在信息安全領(lǐng)域都有很深的經(jīng)驗(yàn)。

“我們對(duì)于傳統(tǒng)的未加密互聯(lián)網(wǎng)上的零日漏洞代碼、數(shù)據(jù)庫(kù)有很深的經(jīng)驗(yàn)，但問(wèn)題在于，這方面90%的賣家都是騙子。技術(shù)功底深厚的買家總是能夠通過(guò)商品描述信息和賣家演示判別出騙子，但有些賣家非常聰明狡猾。因此我們決定開發(fā)一個(gè)相對(duì)來(lái)說(shuō)可信的網(wǎng)站，在提供防騙功能的同時(shí)保持高度的匿名性。”

“真正交易”在將這種灰色經(jīng)濟(jì)帶到互聯(lián)網(wǎng)上方面并非首創(chuàng)。一個(gè)名為WabiSabiLabi的網(wǎng)站在2007年開始運(yùn)行，目標(biāo)是成為銷售漏洞的eBay。但由于賣家很難在不完全向買家展示漏洞本身的情況下提供可信的演示，該網(wǎng)站迅速垮掉了。盡管提供了多簽名保護(hù)和第三方托管服務(wù)，“真正交易”很有可能會(huì)面對(duì)同樣的問(wèn)題。

不像零日漏洞行業(yè)里的其它成員，“真正交易”并不會(huì)遇到道德或法律方面的障礙。比如法國(guó)的黑客公司Vupen聲稱自己只向北約成員國(guó)出售零日漏洞。近年來(lái)，零日漏洞銷售已經(jīng)稱為地下市場(chǎng)的重要交易項(xiàng)目，政府的情報(bào)和執(zhí)法機(jī)構(gòu)往往是出價(jià)最高的買家。“真正交易”采取的Tor加密和賣家匿名策略可能會(huì)將政府方面的買家拒之門外，但這種匿名性相反地會(huì)吸引一些網(wǎng)絡(luò)罪犯或受雇于獨(dú)裁政權(quán)的黑客。

“真正交易”屬于不合法網(wǎng)站，它還銷售洗錢服務(wù)、被盜賬戶。買家可以自助選購(gòu)大量的不合法商品，零日漏洞只屬于該網(wǎng)站提供的LSD、安非他明、被盜賬戶項(xiàng)目中的特色商品。

暗網(wǎng)經(jīng)濟(jì)正在向發(fā)展成為真正的、非法的自由市場(chǎng)步步邁進(jìn)，“真正交易”只是其中的一個(gè)代表。盡管絲綢之路也容忍賣家在網(wǎng)站上出售一些簡(jiǎn)單的黑客工具，它還是基本執(zhí)行了“無(wú)受害人”策略的。

“真正交易”沒(méi)有這一類規(guī)范。它只包含兩條規(guī)則，其一，禁止兒童色情;其二，禁止”doxing”，也就是發(fā)布特定用戶的個(gè)人信息。但只要這種零日漏洞的銷售保持匿名的形式，個(gè)人信息遲早成為交易中的一環(huán)。

原文地址：http://www.aqniu.com/news/7372.html