路透社报告称美国政府是“0day”漏洞最大的买家

2013-05-14 139689人围观 ,发现 22 个不明物体 资讯

在利用0day漏洞去展开网络攻击,中国不是唯一的“恶魔”。根据路透社的报告,在一个蓬勃发展的由黑客和安全公司开发和销售入侵工具的灰色市场,美国政府是“0day”漏洞最大的买家。

一些安全专家质疑五角大楼的报告。在报告里,对由美国发起的网络间谍行为只字未提。但是,美国每年都会花费数十亿美金来“打造网络防御工事和发展越来越复杂的网络战武器”。国家安全局将军Keith Alexander在国会听证会上说,“美国正在建立十数个进攻团队,如果必要,这些团队会对其他国家的网络系统展开攻击。”路透社补充到,“美国国家安全局和国防部在获取商业系统漏洞的工作上投入了巨大的成本,不断尝试利用这些漏洞的方式。”

一名不愿透露姓名与美政府签订防护合同的人员称:“我的工作就是拿着一个存有25个0day漏洞的USB key,时刻准备着干活。”路透社称,“私营公司雇佣了专业技术人员和开发人员来发现漏洞,开发利用漏洞的代码,之后拿到市场上去卖。这些0day漏洞起价5万美金。影响漏洞价格的因素包括漏洞所利用的商业系统的装机量以及漏洞能在多长时间内不被公开。”

厂商在一些秘密的场合向执法和情报部门提供了各种各样的间谍工具。Vupen是一家向政府提供0day工具的著名公司。最近,该公司派遣12名致力于某项攻击技术的研究人员参加了“Advanced Heap Manipulation in Windows 8”会议。美国政府也有数名人员参会,至于这项技术是否被用来入侵其它国家政府系统就不得而知了。

ReVuln是一家新加入的玩家。他们关注于对工业控制系统漏洞的发现和利用。

“当我们问他们一旦发起攻击会造成大量的破坏甚至人员伤亡的时候,”路透社称,“他们说,这事别问我们,问那些导致漏洞存在的生产厂商。我们不卖武器,我们卖的是信息”。

 
路透社对美国政府这种对漏洞选择利用而不是公开它们的行为发出警告,称可能导致“不可预料的后果”。美国政府这么做很可能会“搬起石头砸自己的脚”。路透社举了个例子。Duqu是美国政府专门针对伊朗开发的恶意程序。Duqu之后被网络犯罪分子拷贝,开发了漏洞利用包(Blackhole和Cool)。根据F-Secure的报告,尽管微软已经发布了补丁,黑客仍旧入侵了美国1.6%的计算机,在美国之外,这个比例可能更高。

路透社提到了一份大型承包商的(漏洞)产品目录。里面包含把iPhone变成窃听设备的软件,以及可以通过安装到打印机等设备上并通过无线传送到临近计算机系统里的恶意软件。

一些批评家称,美国在“震网”事件之后再没有资格指责别人了。McAee称美国是全球僵尸网络的老窝。PressTV报道,德国电信透露对其网络的攻击主要来自美国。

路透社的报告–“U.S. cyberwar strategy stokes fear of blowback”很有意思,值得一读。

Source

这些评论亮了

  • anlfi (5级) 回复
    @落叶纷飞 
    思路 猥琐你妹 都这种程度了还跟我谈思路强大
    好吧你思路好入侵城域网路由 或者 关闭一个城市的电力系统
    你思路强大知道怎么去入侵容易从哪个方向入手ok
    但是你妹要花多久时间 不能exp的跳过 能exp 挂马定向 猜解 认证bypass 代理 各种robot病毒 过AV
    给你1个月够不够
    尼玛看似很多 很多东西貌似技术很NB 还涉及尼玛蛋疼社工学 数学

    但是人家一个远程溢出直接就搞定最多30s
    带着无人机去攻击无线网络直接接入内部系统
    加上各种win 预留漏洞 linux exp 不谈了
    物理隔离的都可以用U盘各种介质慢慢搞
    比如上次那个漏洞就算是人家计算机锁定查U盘也能直接执行
    真要玩起来 意识流都是渣渣 没有相应的技术再好的思维都是浮云
    虽然一直搞什么国产软件 但是人家自动化分析也不是浮云
    至于你写的怎么样安全性如何 人家只要得到一份 完全有技术去利用找到各种0day
    然后你看看国内有多少有能力挖内核级的漏洞的
    当然你可以像万涛那神马一样去入侵 先ping看地址走到机房榔头往上拍那我真没话说
    )6( 亮了
发表评论

已有 22 条评论

取消
Loading...
css.php