2013年7月15日 星期一

駭客向全球政府兜售資安漏洞

駭客向全球政府兜售資安漏洞


近來外洩的美國國安局機密文件與美國戰略與國際研究中心的資料顯示,包括美國、以色列、英國、俄國、印度、巴西、北韓、中東、馬來西亞與新加坡等政府都是資安漏洞的買家。 

紐約時報於本周揭露,駭客兜售資安漏洞的對象已從過去的產品供應商轉至各國政府,除了透露此類商機正在萌芽外,也意味著全球網路戰爭可能愈演愈烈。

根據紐約時報的報導,兩名義大利駭客─32歲的Luigi Auriemma與28歲的Donato Ferrante專門搜尋各種程式碼的零時差漏洞,並銷售給各國政府,價碼可能高達數十萬美元,而這些買家所購買的多是敵對國家電腦系統上的安全漏洞。

資訊安全領域持續演變中,最早這些資安人員願意免費提交漏洞給業者,只為了換取聲譽或紀念品。之後包括微軟及Google等業者開始支付獎金予發現系統漏洞的資安研究人員,業者取得漏洞資訊後可盡快修補漏洞,而各國政府取得漏洞後則很可能是用來開發攻擊程式。

紐約時報引述前白宮網路安全協調人Howard Schmidt的看法指出,現在的政府除了認為必須保護自己的國家外,也得知道其他國家的安全漏洞,導致大家都變得愈來愈不安全。

讓資安漏洞變成金礦的主要原因之一來自於買家,Auriemma與Ferrante並沒有透露客戶名稱,但近來外洩的美國國安局機密文件與美國戰略與國際研究中心的資料顯示,包括美國、以色列、英國、俄國、印度、巴西、北韓、中東、馬來西亞與新加坡等政府都是資安漏洞的買家。

市場分析指出,這樣的趨勢有好有壞,零時差漏洞的價格愈來愈貴,代表業者修補的頻率與速度會愈來愈快,漏洞會愈來愈少,但另一方面,這些少數的漏洞轉變成攻擊漏洞的機率也將愈來愈高。

轉載自《iThome》