位於義大利米蘭的數位軍火商Hacking Team在2015年7月遭駭,外洩超過400GB的內部資料、客戶名單以及程式碼等,其中,外洩的程式碼中則包括Adobe和微軟的零時差漏洞。( 圖片來源/Hacking Team)

在2015年7月,位於義大利米蘭的數位監控公司Hacking Team遭到駭客入侵,外洩400GB的內部電子郵件、客戶資訊以及程式碼,其中,外洩的程式碼則包含該公司長期蒐集包括微軟、Adobe或是其他系統的零時差漏洞。若以現代化的語言來說,Hacking Team這間公司就是數位世界的軍火商,而這些漏洞就是數位世界中的武器。

這些數位軍火的威力強大,在程式碼外洩不到一周的時間,就有資安公司研究發現,包括Adobe和微軟的零時差漏洞,隨著外洩的檔案,已經開始四處流竄,更立即有攻擊工具包將這樣的零時差漏洞納入,這也迫使Adobe和微軟必須立即緊急修補發現的零時差漏洞。

雖然之後的半年,外界沒有再傳出有來自Hacking Team外洩的零時差漏洞所帶來的危害,但可以確定的是,Hacking Team原本就是跟世界各國政府打交道,提供隱密的遠端數位監控工具,甚至有能力可以做到即便使用者更換電腦換硬碟後,還是可以達到持續監控的效果。

這些網路上流傳的漏洞資料,就是這些國家型駭客發動APT攻擊最好利用的工具。這也顯示,即便這起數位軍火外洩事件已經在網路上安靜一段時間,但其帶來的後座力,仍讓人不可小覷。

漏洞拍賣檯面化,誰掌握漏洞誰就掌握攻擊主動權

除了Hacking Team外洩的零時差漏洞可以作為APT攻擊使用的工具,在2015年11月下旬,有資安新創公司Zerodium公開收購零時差漏洞價目表,其中,光是Apple行動平臺iOS的漏洞,常態性的獎金就高達50萬美元,更遑論先前專案方式提出的漏洞獎勵時,如果資安專家可以設計出iOS 9的越獄或攻擊程式,則可以獲得高達100萬美元的獎金。

以往,漏洞交易時有所聞,除了黑市的價格不明的暗盤交易外,各大原廠都有提供的Bug Bounty(找漏洞獎勵計畫),則是鼓勵資安研究員向原廠通報找到的漏洞後,給予的獎金鼓勵。

另外一個行之有年的找漏洞計畫,則是由資安廠商TippingPoint在2005年發起的ZDI(零時差漏洞計畫),由該公司作為一個漏洞接收平臺,確認漏洞細節後再回報給原廠,並提供獎金給舉報的資安研究員。但不論哪一種找漏洞計畫,獎金大多500美元~5萬美元不等,相較Zerodium提出的50萬美元或是100萬美元的獎金,根本是小巫見大巫。

從Hacking Team外洩的零時差漏洞,到Zerodium天價懸賞特定平臺的零時差漏洞,在在都證明了,只要是越多人使用平臺的零時差漏洞,越有價值,而這些設法買到零時差漏洞的業者,到底想利用這些漏洞做什麼事情,即便無法確認會不會有不法行為,但可以肯定的是,只要手中有零時差漏洞,就等於掌握主動發動攻擊的權力。

各類IT應用趨勢分析,請參考:「展望2016:關鍵趨勢翻轉IT」


Advertisement

更多 iThome相關內容