路透社报告称美国政府是“0day”漏洞最大的买家

在利用0day漏洞去展开网络攻击,中国不是唯一的“恶魔”。根据路透社的报告,在一个蓬勃发展的由黑客和安全公司开发和销售入侵工具的灰色市场,美国政府是“0day”漏洞最大的买家。

一些安全专家质疑五角大楼的报告。在报告里,对由美国发起的网络间谍行为只字未提。但是,美国每年都会花费数十亿美金来“打造网络防御工事和发展越来越复杂的网络战武器”。国家安全局将军Keith Alexander在国会听证会上说,“美国正在建立十数个进攻团队,如果必要,这些团队会对其他国家的网络系统展开攻击。”路透社补充到,“美国国家安全局和国防部在获取商业系统漏洞的工作上投入了巨大的成本,不断尝试利用这些漏洞的方式。”

一名不愿透露姓名与美政府签订防护合同的人员称:“我的工作就是拿着一个存有25个0day漏洞的USB key,时刻准备着干活。”路透社称,“私营公司雇佣了专业技术人员和开发人员来发现漏洞,开发利用漏洞的代码,之后拿到市场上去卖。这些0day漏洞起价5万美金。影响漏洞价格的因素包括漏洞所利用的商业系统的装机量以及漏洞能在多长时间内不被公开。”

厂商在一些秘密的场合向执法和情报部门提供了各种各样的间谍工具。Vupen是一家向政府提供0day工具的著名公司。最近,该公司派遣12名致力于某项攻击技术的研究人员参加了“Advanced Heap Manipulation in Windows 8”会议。美国政府也有数名人员参会,至于这项技术是否被用来入侵其它国家政府系统就不得而知了。

ReVuln是一家新加入的玩家。他们关注于对工业控制系统漏洞的发现和利用。

“当我们问他们一旦发起攻击会造成大量的破坏甚至人员伤亡的时候,”路透社称,“他们说,这事别问我们,问那些导致漏洞存在的生产厂商。我们不卖武器,我们卖的是信息”。

路透社对美国政府这种对漏洞选择利用而不是公开它们的行为发出警告,称可能导致“不可预料的后果”。美国政府这么做很可能会“搬起石头砸自己的脚”。路透社举了个例子。Duqu是美国政府专门针对伊朗开发的恶意程序。Duqu之后被网络犯罪分子拷贝,开发了漏洞利用包(Blackhole和Cool)。根据F-Secure的报告,尽管微软已经发布了补丁,黑客仍旧入侵了美国1.6%的计算机,在美国之外,这个比例可能更高。

路透社提到了一份大型承包商的(漏洞)产品目录。里面包含把iPhone变成窃听设备的软件,以及可以通过安装到打印机等设备上并通过无线传送到临近计算机系统里的恶意软件。

一些批评家称,美国在“震网”事件之后再没有资格指责别人了。McAee称美国是全球僵尸网络的老窝。PressTV报道,德国电信透露对其网络的攻击主要来自美国。

路透社的报告–“U.S. cyberwar strategy stokes fear of blowback”很有意思,值得一读。

Source

[原文地址]

相关讨论:

宋兵乙 2013-05-14 1楼

US就是个贱人

x0sec (2级) 君立华域安全工程师 2013-05-14 2楼

有意思。。。

V 2013-05-14 3楼

那么多0day,比我都富有

王献冰 2013-05-14 4楼

漏洞挺多哦,比我多一个

anlfi (1级) ??????????????????????????... 2013-05-14 5楼

好吧我想多了,美国大兵只要带着一个微型终端 连接0dayDB卫星

连入有无数美国集中收购的0day+工具+病毒 数据库

入侵哪里都是直接远程溢出的

天朝黑阔都浮云了

果然技术资源才是关键

人家普通人就只要会用工具就能砸死你

落叶纷飞 (1级) 00day.cn,打站尸,脚本猪,WEB安全攻城尸 2013-05-14

@anlfi 天朝鹰犬的硬技术可能没米国大兵强悍,但是猥琐流和思路流对比米国大兵还是有过之而无不及

anlfi (1级) ??????????????????????????... 2013-05-14

@落叶纷飞

思路 猥琐你妹 都这种程度了还跟我谈思路强大

好吧你思路好入侵城域网路由 或者 关闭一个城市的电力系统

你思路强大知道怎么去入侵容易从哪个方向入手ok

但是你妹要花多久时间 不能exp的跳过 能exp 挂马定向 猜解 认证bypass 代理 各种robot病毒 过AV

给你1个月够不够

尼玛看似很多 很多东西貌似技术很NB 还涉及尼玛蛋疼社工学 数学

但是人家一个远程溢出直接就搞定最多30s

带着无人机去攻击无线网络直接接入内部系统

加上各种win 预留漏洞 linux exp 不谈了

物理隔离的都可以用U盘各种介质慢慢搞

比如上次那个漏洞就算是人家计算机锁定查U盘也能直接执行

真要玩起来 意识流都是渣渣 没有相应的技术再好的思维都是浮云

虽然一直搞什么国产软件 但是人家自动化分析也不是浮云

至于你写的怎么样安全性如何 人家只要得到一份 完全有技术去利用找到各种0day

然后你看看国内有多少有能力挖内核级的漏洞的

当然你可以像万涛那神马一样去入侵 先ping看地址走到机房榔头往上拍那我真没话说

anlfi (1级) ??????????????????????????... 2013-05-14

@落叶纷飞 至于你相信天朝鹰犬猥琐流和思路流是强项

那还请去相信 只有相信才能创造奇迹

毕竟殊途同归嘛 只要都能做到相同的目标 至于是什么都无所谓了

资源技术 也许资源有 技术到未必了 当初连U盘都无法自己生产╮(╯▽╰)╭

kkk 2013-05-14 6楼

天朝鹰犬的猥琐流也就搞搞本国人的Gmail罢了。但凡有点点追求的人,谁会去做恶政的鹰犬,除非哪些彻底洗脑的PLA。

http://ww4.sinaimg.cn/mw690/a112bbc5jw1e4mn2zwwb9j20dt08zwez.jpg

他大爷的 2013-05-15 7楼

既然美国都这么历害了,我们打不过了,那好了,明天全国上下都用算盘计算,让美国人用0DAY去溢出算盘去吧。。

玄空 (1级) 2013-05-15 8楼

突然发现—“两耳不闻天下事,一心只读圣贤书”是对的。至少不会各种信息漫天飞。。。 。。。

sniperhk 2013-05-15 9楼

25个0DAY,赤裸裸的显摆么

留言评论(旧系统):

佚名 @ 2013-06-19 19:04:39

这么多Oday 这要发到乌云上去,得赚多少乌云币啊

本站回复:

二货才发乌云,乌云逼有毛用啊……

佚名 @ 2013-06-20 10:32:27

未公开的0day更是多如牛毛

本站回复:

老板,先来一斤0day……