在廣義的入侵技術領域中,攻擊者不斷被媒體、隱私保護主義者或偶爾法院系統口誅筆伐,然而一家公司卻可以置身事外,擺脫干系,它就是Vupen Security——被譽為惡意軟件中的“金童”,幫助政府機構打擊恐怖主義。從某種意義上來說,Vupen Security可能是這個行業最“成功”的軍火商。
Vupen發家史
總部設在法國地中海沿岸的蒙彼利埃,由頂級漏洞利用研究員兼董事長 Chaouki Bekrar創建的Vupen今年度過其十周年的生日。這家公司起初并非特意與執法部門和情報機構交易0-day漏洞。它更像是Netragard之類的傳統網絡設備供應商,測試客戶軟件中的的bug并提供純防御性的網絡工具。
隨著時間的推移,Bekrar的腦海中浮現出一個更棒的創意。為什么不銷售利用漏洞的攻擊系統?
愿意買單的客戶:政府機構,可以利用它來定位、監控以及抓捕恐怖分子和犯罪分子;其他的公司,如老牌網絡戰軍火商Gamma Group International,在上世紀90年代已經涉足這個市場,而Hacking Team在2003年就開始進軍,后來還有許多其他的公司紛紛效仿。問題是Vupen能否在競爭中脫引而出。Bekrar堅信他們可以做到。
Bekrar認為其他公司在這個領域失利的主要原因是過度依賴于第三方的黑客來尋找0-day漏洞。這類公司僅僅扮演了經紀人的角色。相比之下,Vupen內部漏洞研究團隊(VRT)獨自完成漏洞挖掘過程中的繁雜工作。這項技能成為了當今公司賴以生存的基礎,通過“吸引眼球”的方式來展示自身實力。
Pwn2Own比賽上大放異彩
早在2007年,一個名為Dragos Ruiu家伙提出舉辦年度黑客馬拉松的想法,旨在挑戰蘋果備受贊譽的“無洞可入”的神話。這項賽事被稱為Pwn2Own,由Hewlett Packard出資贊助并在溫哥華的CanSecWest舉辦。
在這項賽事中,黑客們確實找到了Safari和iOS中一些令人難以啟齒的脆弱點。自2008年以后,Pwn2Own擴大了攻擊范圍,不局限于蘋果公司。攻擊成功的黑客會因發現漏洞并提交給供應商用于修復而獲得現金獎勵。
2011年,Vupen橫沖出世,并開始打破常規。恰巧在成立的第一年,Vupen挖掘并利用了蘋果Mac操作系統中一個先前不知道的0-day漏洞。Pwn2Own官方站出來并準備好支票予以獎勵。可是Bekrar 及其公司卻說“沒門”-對于Vupen自己的客戶來說,漏洞本身的價值遠不止于此。
Vupen連續在2012年和2013年Pwn2Own上奪得第一名。
2013年,谷歌在ConsSecWest舉辦了自己的黑客大賽,讓所有的參賽者來攻擊它的Chrome OS。兩個團隊取得了成功并分別獲得了60,000美元的支票。但接下來發生的事情卻頗具傳奇色彩。
在Pwn2Own上,Vupen獨家剖析了Chrome,還在OS中也發現了更多的致命缺陷。但Vupen拒絕了谷歌的現金獎勵,同時回絕了提交相關技術或協助開發補丁的多次請求(小編:有洞就是任性啊!!!)。不管谷歌如何威逼利誘,Bekrar都拒絕妥協,堅持認為他和他的團隊所完成的事情能夠給Vupen客戶帶來更多的價值(當然也給Vupen帶來更多的價值)。
今年當Vupen再次問鼎時,他們突然變得大度起來,將所有的0-day漏洞共享給相關的公司,幫助他們修復問題。
Vupen防護菜單上的服務
Vupen仍通過威脅防護計劃(TPP)向客戶推銷防護解決方案。客戶主要包括政府機構和公司,并必須嚴格遵守與Vupen簽訂的保密協議。
TPP客戶在每年訂閱方式上可以通過支付6位數的美元來選擇基本、加強或綜合服務。但這只是入會費,僅僅獲得了從菜單中選購的資格。用于入侵蘋果、谷歌、安卓或流行軟件的任何一個0-day漏洞可能花費比每年訂閱費的多好幾倍的費用。
為什么公司會樂意買單哪?Vupen通常比其他人提前6-9個月披露0-day漏洞。索尼在2014年11月份遭受可能來自朝鮮的入侵,攻擊者控制了好萊塢工作室中所有設備和網絡鏈接長達一周時間,假如索尼向Vupen支付費用,結果又會如何?擁有檢測任何系統的漏洞的能力,Vupen更像是企業和政府客戶的一個保護傘。
攻擊至上
Vupen也向執法部分和政府機構推銷漏洞,同時提供由Vupen內部漏洞研究團隊發現的獨家漏洞利用代碼。和FinFisher、Hacking Team、以色列的NICE、俄羅斯的Oxygen software、迪拜的Stratign、瑞士的Talea出品的惡意軟件和其他工具一樣,Vupen提供的漏洞利用代碼能夠讓用戶控制目標設備、監聽鍵盤操作、截獲消息、查看所有下載、打開攝像頭和音頻,或甚至更改通信。
最大不同:鑒于已在Pwn2Own上展示多次,入侵iOS對Vupen來說輕而易舉,但對其他的惡意軟件制造者卻沒那么容易了。例如FinFisher在iOS系統上略顯笨拙,只能入侵越獄的iPhone和iPad。
和防護方案一樣,購買者可以通過每年的訂閱了解到可用的攻擊漏洞。此外,每年的訂閱只是一個開始。政府和執法部門機構要為每個漏洞利用支付額外的費用。NSA也是滿意的客戶之一。
Vupen的金剛不壞之身
公開提及“惡意軟件”,“入侵”、“DPI”或“中間人攻擊”等術語,大多數入侵產品的制造者都會尋求庇護。
為逃避輿論的譴責,Gamma Group International宣稱已把FinFisher剝離給德國(如今否認有任何聯系)。
在法國形勢尤為嚴峻,涉嫌向卡扎菲提供GLINT Eagle深度包檢測解決方案用于利比亞國內的審查和監控,Amesys一直在接受法院調查。法國深度包檢測巨頭Qosmos也受到同樣的審查,涉嫌和德國的Utimaco與意大利的Area SPA合作向敘利亞提供監控解決方案。然而,各方宣稱在交付敘利亞之前交易已經破裂。Qosmos隨后否認了解這個項目的監控意圖。Qosmos把ixEngine銷售到世界各地的用戶,包括Protei-俄羅斯最大兼容SORM的設備供應商,并指出所有協議規定ixEngine不得用于監控目的。有關深度包檢測用于網絡管理、針對性營銷與監控的詳情請查看這個公告。
在法國,技術公司和監控公司無不感受到政府在這個問題上施加的壓力。甚至在同行之間,如果被問及,法國的Aqsaqam也會矢口否認與深度包檢測或惡意軟件有任何聯系。
Vupen是如何避開了公眾的口誅筆伐哪?一方面,這個公司的業務十分開放;另一方面,Vupen只與北約、澳新美、東盟的成員國或合作伙伴的執法機構、政府以及國防部合作。Vupen不會銷售給歐盟限制措施所禁止的、美國或聯合國所禁運的國家。
總的來說,天空飄來五個字:Vupen夠機智!