美国零日市场不为人知的历史

这就是他们告诉我世界末日的方式

他们告诉我，在零日市场触底是徒劳的。当涉及到零日，即代码中的秘密漏洞时，政府不是监管者;他们的客户。这些漏洞为他们的间谍工具和网络武器提供了原料。他们几乎没有动力向像我这样的记者披露一个高度保密的项目，这个项目经营高度保密的商品。

“你会遇到很多障碍，妮可，”当时的国防部长利昂·帕内塔(Leon Panetta)警告我说。当我告诉前NSA局长迈克尔•海登(Michael Hayden)我的计划时，他笑了起来。“祝你好运。”他说着，轻轻地拍了拍他的背。

那一年，也就是2013年，关于我的追求的消息传得很快。零日交易者，那些处理漏洞和利用漏洞的代码的人，为我准备了杀虫剂。黑客会议取消了我的邀请。有一次，暗网上有人悬赏，要谁能黑进我的电子邮件或电话。但我看到的足以让我知道我必须继续前进。

世界的基础设施在网上竞争。它的数据也是如此。访问这些系统和数据的最可靠的方法是零日漏洞。零日计划已经成为美国间谍活动和战争计划的重要组成部分。斯诺登泄密事件清楚地表明，美国是这一领域最大的参与者，但我知道，美国不是唯一的参与者。压迫性的政权开始流行起来，一个满足他们需求的市场出现了。漏洞无处不在，其中许多是我们自己造成的，而强大的力量——包括我们自己的政府——正在确保这种情况继续存在。许多人不希望这个故事被讲出来。

从市场诞生之初，人们花了数年时间才找到一位愿意开口的零日经纪人。许多人从来没有回应过。有些人直接挂了电话。一个人告诉我，他不仅不会和我谈论市场，而且他已经警告过所有他认识的人不要这样做。他告诉我，如果我继续这样做，我只会把自己置于“危险”之中。

大多数人只是担心他们的底线。干他们这行，闭上嘴很重要。每笔交易都需要谨慎处理，大多数交易都包含在保密协议中，而且越来越多的交易被列为机密。最赚钱的经纪人保留着零日业务，这是一项纯粹的业务，这是一个秘密。经纪人越谨慎，政府就越觊觎他的生意。经纪人走向破产的最快途径就是与媒体对话。它仍然是。

这不是偏执狂的问题。在与记者谈论零日市场时，经纪人有一个危险的案例研究:一个著名的南非开采经纪人，总部设在曼谷，名叫“Grugq”。格拉格克就是忍不住。大多数零日期经纪人会避开任何会留下数字痕迹的平台，与他们不同的是，Grugq在Twitter上，他在Twitter上有超过10万名粉丝。2012年，他犯了一个致命的错误，与一名记者公开讨论他的业务。他后来告诉我，他是在私下里说的，但他也很乐意在一大袋现金旁边摆姿势拍照。当安迪·格林伯格的故事出现在杂志上时，Grugq成了不受欢迎的人。政府停止从他那里购买。

没有哪个经纪人想要追随他的脚步，放弃他们的财富和声誉而追求名望或透明度。因此，我以我唯一知道的方式报道了这个市场，抓抓那些公开的东西，然后以自己的方式进入——直到我找到了一个零日经销商，他可以向我讲述这个行业不为人知的历史。

每个市场都始于一个赌注。我了解到零日市场——至少是它的公众形象——以10美元起步。2002年夏天，约翰·p·沃特斯(John P. Watters)就是用这笔钱收购了总部位于弗吉尼亚州尚蒂伊的网络安全公司iDefense。沃特斯是德克萨斯人，对网络安全几乎一无所知。他认为，对于一家每月亏损100万美元，而且没有明显的盈利计划的公司来说，这是一个合理的价格。员工们已经好几个星期没有拿到工资了。纳斯达克指数在接下来的一个月跌至互联网泡沫破裂的最低点。5万亿美元的纸面财富消失了。再过两年，一半的网络公司将会消失。甚至连员工都认为iDefense没有胜算。

该公司向大银行和一些政府机构的客户出售“威胁情报”。通常情况下，这意味着软件存在缺陷，可以被用来入侵他们的网络，并最终窃取他们的数据。但iDefense提供的服务并非独一无二;原始信息可以在像BugTraq这样的黑客论坛上免费获得，黑客们在那里不分昼夜地丢弃和交易他们发现的漏洞。现在，公司也很有可能失去这方面的权限:在沃特斯走进iDefense总部的同一天，赛门铁克(Symantec)以7500万美元的天价收购了SecurityFocus，也就是运营BugTraq的公司。iDefense永远无法与赛门铁克雄厚的财力竞争。如果赛门铁克关闭了对BugTraq的访问，iDefense就完蛋了。

iDefense研究实验室的两名年轻黑客向沃特斯提供了万福玛利亚。大卫·恩德勒的早期职业生涯是在国家安全局度过的。苏尼尔·詹姆斯刚从大学毕业几年。他们俩都是自己的能工巧匠，而且他们知道世界上有大量的黑客未被利用，他们不分昼夜地寻找漏洞。多年来，这些黑客没有好的选择。当他们发现甲骨文(Oracle)软件或太阳微系统(Sun Microsystems)存在漏洞时，没有1-800号码可以拨打。当他们找到公司的工程师汇报代码错误时，黑客往往被忽视。如果他们接到任何回复电话，通常都是律师警告他们不要再碰他们的产品。他们的强项不是外交，而是代码。即使这些公司解决了这些问题，这些问题也往往包含了他们自己的明显错误。这些黑客提供的是免费的质量保证，但他们往往因此而受到惩罚。

有一天，恩德勒和詹姆斯把这种情况告诉了沃特斯。漏洞每天都被引入到代码中。黑帽黑客利用这些漏洞牟利、从事间谍活动和破坏数字世界。那些想要做正确的事情的白帽正在失去向供应商报告他们的动力。公司更喜欢用诉讼来威胁黑客，而不是修复产品中的漏洞。不可避免地，在这种近乎滥用的安排中，输家是iDefense的客户:那些依赖脆弱软件的银行和机构。他们的系统很容易受到攻击。

“如果我们开始一个项目呢?”无尽的搭继续萎缩。“我们可以付钱让黑客交出他们的漏洞。iDefense仍然可以把漏洞交给科技公司去修补，但在补丁可用之前，iDefense可以为客户提供保护自己的变通方案。iDefense将为客户提供一些具体而独特的东西。它不会只是另一个嘈杂的信号。这样一来，沃特斯就有理由提高收费，并实现盈利。

其他任何一位CEO都可能会犹豫不决。但正是网络安全业务中的狂野西部元素，让沃特斯最初加入了idedefense。因此，在2003年，iDefense成为第一批公开向黑客敞开大门的公司之一，并为他们制造的漏洞付费。

一开始，詹姆斯和恩德勒并不知道他们在做什么。据他们所知，没有市场，没有竞争性的项目。他们制定了一个古怪的小价目表，这个75美元，那个500美元。在前18个月提交的上千个漏洞中，有一半是垃圾。他们考虑过拒绝黑客，但他们知道自己需要建立信任，这样黑客才会带着更大更好的东西回来找他们。

它工作。土耳其、新西兰和阿根廷的黑客，甚至堪萨斯州13岁的孩子，都开始破解漏洞，这些漏洞揭示了攻击者如何通过杀毒软件潜入iDefense客户的系统，或截获密码，窃取用户和浏览器之间的数据。

随着这个项目在2003年受到关注，沃特斯开始接到电话。大多数人来自大型科技公司，他们对他邀请黑客窥探他们的产品感到愤怒。但在2003年末和2004年，他开始收到一种新的来电:他们声称为沃特斯从未听说过的政府承包商工作，并询问沃特斯是否会考虑拒绝黑客向供应商和客户提交一些漏洞，以换取更高的利润。iDefense花了一万美金买的那个漏洞?这些打电话的人出价15万美元，只要iDefense不向任何人告密——不论是客户还是软件供应商。这些漏洞将成为间谍工具和网络武器，并被用来对付美国的敌人，而没有人会知道它们的存在。这些来电者愿意花这么多钱买虫子的事实让沃特斯大吃一惊。

当沃特斯拒绝时，承包商们转向了爱国主义。老话说"为国家而战"这些窃听器将使政府能够监视恐怖组织、俄罗斯间谍嫌疑人和两面派的巴基斯坦情报官员。沃特斯是个爱国者，但他也是个商人。“那会杀了我们的，”他告诉我。“如果你与政府合谋，在客户使用的核心技术上留下漏洞，你本质上就是在与客户作对。”

他的电话最终得到了消息。但沃特斯可以看到风向转变了。黑客们开始索要六位数的漏洞赔偿，而就在一年前，他们还能拿到几千美元。他们暗示了其他的选择。像Digital arms这样的神秘公司开始在网上出现，在甲骨文、微软和VMWare的产品中提供高达五位数的零日奖励。除了一个在东京注册的简单网站外，还不清楚这些漏洞的用户是谁。他们请求获得“专有权”，只是说他们计划“最终”通知科技公司。

很快，iDefense就被排挤出了它帮助催生的这个市场。沃特斯看到了墙上的字。2005年7月，他以10美元的价格将公司以4000万美元的价格卖给了Verisign。是时候让市场自由运转了。

“这本来会是一笔巨大的生意，”零日市场的首批经纪人之一一边吃着墨西哥卷饼一边告诉我。最终，在2015年秋天，经过两年的尝试，一位零日经销商同意与我面对面的商谈，尽管他的判断并不明智。

那年10月，我飞到杜勒斯去见一个人，我得给他打个电话，叫吉米·萨比恩。萨比恩已经销声匿迹好几年了，但考虑到他仍然在同一家政府机构工作，他只愿意和我谈话，条件是我不使用他的真名。正是萨比恩首先出价15万美元，向沃特斯购买了一个漏洞，而iDefense为这个漏洞花了不到1000美元。“你想不出比这更好的利润了，”他告诉我。

十年后，他仍然对这种轻视摇着头。

在他帮助开创零日漏洞开发业务之前，Sabien曾在军队工作，保护世界各地的军用计算机网络，他看起来也扮演了这个角色。身材高大，肩膀宽阔，头发剪得又高又紧，带着一种士兵的黑色幽默。

我们约好在巴顿的一家墨西哥餐馆见面——离他以前的几位顾客只有几英里——在那里他讲述了一个几乎没有人知道存在的市场的历史。

上世纪90年代末，Sabien被三家小型政府承包商之一招募，这三家承包商最初在零时开始代表美国情报机构进行交易。当时这些交易还没有保密，这意味着他和我谈话并没有违反任何法律。即便如此，他还是坚持要我隐瞒他的真名。

萨比恩告诉我，为军队保护网络，让他对技术的缺陷了如指掌。在军事领域，安全通信关系到生死，但大型科技公司似乎没有意识到这一点。“很明显，人们设计这些系统是为了功能，而不是为了安全。他们没有想过如何才能被操纵。”

在离开军队，加入一家小型环城公路承包商后，操纵计算机系统几乎成了萨宾的全部想法。在那里，他管理着一个25人的团队，为美国政府开发入侵工具。Sabien意识到，如果没有部署方法，他的团队开发的黑客工具就毫无用处。可靠地进入目标计算机系统是至关重要的。

“你可能是世界上最好的珠宝小偷，但除非你知道如何绕过宝格丽商店的警报系统，否则它不会给你带来任何好处，”他告诉我。“访问为王。”

Sabien的团队从事数字访问，寻找漏洞并编写代码供客户利用。大部分收入——超过80%——来自五角大楼和情报机构，其余收入来自执法部门。他们的目标是将这些机构经过反复试验的秘密方法传送到敌方使用的每一个系统中，无论是民族国家、恐怖分子、贩毒集团还是低级罪犯。

他们的一些工作是机会主义的。如果他们在微软Windows这样广泛使用的产品中发现一个漏洞，他们会开发一个漏洞，并将其销售给尽可能多的代理机构。但他们的大部分工作都是有针对性的:机构会找萨比恩的团队，想办法监控俄罗斯驻基辅大使馆或巴基斯坦驻贾拉拉巴德领事馆。Sabien的团队必须进行侦察，破译目标正在使用哪些计算机，以及他们正在运行什么样的操作环境。那就想办法进去。

总有办法的。只要人类负责编写代码、设计、构建和配置机器，Sabien的团队就知道会出现错误。找到这些缺陷只是战斗的一半。另一半则是编写和优化利用代码，为政府机构提供一个可靠、干净的切入点。

萨比恩的客户不只是想进去。他们想要一种不被发现就能在网络中爬行的方法，一种即使在他们的入侵被发现后也能将他们留在网络中的隐形后门的方法，以及一种将对手的数据拉回他们的指挥控制服务器而不触发警报的方法。

“他们想要整个杀伤链——一种进入的方式，一种向他们的指挥控制服务器发出信号的方式，一种渗透能力，一种迷惑能力，”他用军事语言说。“当你想到特种部队和海豹突击队第六分队时，这是有道理的。他们有狙击手、清洁工、撤退专家，还有破门而入的人。”

神圣的三连珠是一连串的零日利用和植入物，提供可靠性、隐蔽性和持久性。你很少能做到这三点。但当你这么做的时候:“Ka-ching!”Sabien说。

当我请他谈谈具体的行为时，他对其中一些行为的回忆，就像其他人在回忆他们的初恋时所感受到的那样。他最喜欢的是一个顽固的零日显存卡。存储卡是在电脑的固件上运行的——该软件最接近机器的裸机，这使得这个漏洞几乎不可能被发现，而且更难被清除。即使有人把他们的机器擦干净了，漏洞仍然存在。唯一能自信地摆脱间谍的方法就是把电脑扔进垃圾箱。“那项功绩是最棒的，”萨比恩眼睛一亮，回忆道。

萨比恩告诉我，间谍侵入机器后做的第一件事就是监听其他间谍。如果他们发现有证据表明受感染的机器正在向另一个指挥控制中心发出信号，他们就会刮掉其他人捕捉到的任何东西。萨比恩说，发现多名间谍监听同一台机器并不是不正常的，尤其是在高级外交官、军火商或恐怖网络的情况下。萨比恩告诉我，多年来，惠普打印机中有一个零日被“世界各地的政府机构”利用。这个漏洞允许间谍捕获任何通过打印机的文件，并让他们在IT管理员最不被怀疑的地方占据滩头阵地。惠普修补打印机漏洞的那天，萨比恩说:“我只记得我对自己说，‘很多人都度过了非常糟糕的一天。’”

希望获得零日军火库的政府机构名单并不长。美国国家安全局自诩拥有情报界规模最大、最聪明的网络战士队伍，在早期，该机构不需要太多外部帮助。但在20世纪90年代中期，随着大众开始使用网络和电子邮件，分享他们日常生活、人际关系、内心想法和最深的秘密的详细记录，越来越多的情报机构担心他们还没有准备好利用互联网的迅速普及。1995年底，中央情报局的一个特别工作小组认定该机构准备不足。其他机构也是如此，它们甚至落后得更远。越来越多的人开始寻求获得这些能力。

美国驻肯尼亚首都内罗毕和坦桑尼亚首都达累斯萨拉姆的大使馆几乎同时遭到轰炸，这只会让政府更迫切地需要更多的情报、更多的数据，以及用来捕获这些数据的数字入侵工具。积累零日积累成为一个有竞争力的企业。与此同时，在整个90年代都在削减军费开支的国会，仍在批准含糊不清的“网络安全”预算，却不太清楚这些钱是如何流向进攻或防御的。正如美国战略司令部(US Strategic Command)前司令詹姆斯•埃利斯(James Ellis)所说，政策制定者对网络冲突的看法“就像格兰德(里约热内卢Grande)一样，宽一英里，深一英寸。”但在每个机构内部，官员们都了解到，最好的零日漏洞可以获得最好的情报，这反过来又转化为未来更大的网络预算。

而萨比恩，就在这一切的中心。

他的团队无法足够快地开发出零日漏洞。不同的机构想要进入相同的系统，从底线的角度来看，这种系统运行得很好，但从美国纳税人的角度来看就不那么好了。他的公司将同样的零日漏洞卖出了2、3、4次。这种重叠和浪费在1998年的爆炸案和后来的9/11事件之后加剧了。在接下来的五年里，国防和情报支出激增了50%以上，从五角大楼和情报界到专门从事数字间谍活动的环城公路承包商，几乎都蜂拥而至。

但是漏洞和漏洞的发现和开发是需要时间的，Sabien得出结论，将漏洞搜寻工作外包给黑客会更有效地利用他们的时间。他们仍然会编写代码来利用它们，但为什么不让黑客为他们提供原材料呢?

“我们知道我们不可能全部找到，但我们也知道进入的门槛很低，”Sabien回忆道。“任何花2000美元买一台戴尔电脑的人都在游戏中。”

因此，在90年代末，萨比恩的团队开始接触黑客，美国地下零日市场诞生了——正是这个市场最终吞噬了iDefense，也吞噬了我们。

Sabien早期的故事就像间谍小说一样，有秘密会议、大把钞票和阴暗的中间人——只是在这个案例中，这些故事都不是文学或想象出来的。一切都证实了。

在上世纪90年代，政府机构会向像Sabien这样的承包商支付大约100万美元，以获得一组10个零日漏洞。Sabien的团队会将其中的一半预算用于购买漏洞，然后将其开发成漏洞。在像Windows这样被广泛使用的系统中，一个严重的漏洞可能会带来5万美元的收益;一个由主要对手使用的模糊系统中的bug可能会获得两倍的收益。一个允许政府间谍深入敌方系统而不被发现并停留一段时间的漏洞?很容易的150000美元。

Sabien的团队避开了理想主义者和爱发牢骚的人。由于这个市场没有规则，他们的大部分供应商都是东欧的黑客。

“苏联解体后，很多有技能的人没有工作，”萨比恩解释说。在欧洲，一些年仅15到16岁的黑客将他们的发现卖给零日交易商，后者再转手直接卖给政府机构和他们的经纪人。萨比恩告诉我，一些最有才华的黑客都在以色列，是以色列8200部队的老兵。其中最好的是一个16岁的以色列孩子。

这是一项秘密的业务，而且极其复杂。Sabien的团队不能打电话给黑客，让他们通过电子邮件发送他们的漏洞，然后给他们寄回支票。必须在多个系统之间仔细地测试漏洞和漏洞利用。有时黑客可以通过视频来做这件事。但大多数交易都是面对面进行的，通常是在黑客大会的酒店房间里。

Sabien的团队越来越依赖这些阴暗的中间人。他说，多年来，他的雇主派遣了一名以色列中间人，带着装满50万美元现金的行李袋，从波兰和整个东欧的黑客那里购买零日漏洞。

在这个疯狂复杂的交易结构中，每一步都依赖于信任和omertà。政府必须信任承包商提供有效的零日服务。承包商必须相信中间人和黑客不会在他们自己的越界行为中破坏漏洞，或者将其转售给我们最可怕的敌人。黑客必须相信承包商会付钱给他们，而不是仅仅通过他们的演示来开发他们自己的漏洞变体。这是在比特币之前。一些付款是通过西联汇款(Western Union)发放的，但大多数是现金支付。

你不可能想象出一个效率更低的市场。

这就是为什么在2003年，Sabien注意到iDefense公开为黑客提供的漏洞付费，并将其命名为Watters。

对于像沃特斯这样的商人来说，他想把市场推向开放，承包商的行为是愚蠢的，甚至是危险的。

“没有人愿意公开谈论他们在做什么，”沃特斯回忆说。这里面有一种神秘的气氛。但市场越黑暗，效率就越低。市场越开放，越成熟，就越有买家掌控。相反，他们选择走出潘多拉的盒子，而价格却一直在上涨。”

到2004年末，其他政府和幌子公司出现了新的需求，所有这些人都不断推高了开采价格，使iDefense难以与之竞争。

随着市场的扩张，困扰沃特斯的不是市场对iDefense的影响;爆发全面网络战争的可能性越来越大。“这就像是把网络核武器放在一个不受监管的市场上，可以在世界任何地方随意买卖，”他告诉我。

冷战时期的确定性——及其令人不寒而栗的平衡——正在让位于一个巨大的未知数字荒野。你不太确定敌人会在何时何地出现。

美国情报机构开始越来越多地依赖网络间谍活动，收集尽可能多的对手和盟友的数据。但这不仅仅是间谍活动。他们还在寻找可以破坏基础设施，破坏电网的代码。萨比恩说，渴望使用这些工具的环城公路承包商的数量开始每年翻一番。

洛克希德马丁公司、雷神公司、诺斯罗普·格鲁曼公司、波音公司等大型承包商都无法迅速聘请网络专家。他们从情报机构内部挖人并收购了像萨比恩这样的小公司。这些机构开始从Vupen提供的目录中购买零日漏洞，Vupen是一家位于法国蒙彼利埃的零日漏洞经纪商，后来更名为Zerodium。它在离最好的客户更近的地方开设了店铺，并开始在网上公开发布价格表，提供最高100万美元(后来是250万美元)的价格，购买一种经过验证的远程入侵iPhone的方法。他们的口号是:“我们支付大额赏金，而不是昆虫赏金。”前美国国家安全局的工作人员开始了自己的业务，比如Immunity Inc.，并在间谍技术方面培训外国政府。CyberPoint等一些承包商将业务拓展到海外，驻扎在阿布扎比。在那里，阿联酋人对美国国家安全局(NSA)的前黑客给予了丰厚的奖励，因为他们攻击了美国的敌人，无论是真实的还是想象中的敌人。很快，像crowdfence这样只卖给沙特和阿联酋人的零日交易商开始比Zerodium的出价高出100万美元或更多。最终，这些工具将被用来对付美国人。

2015年萨比恩同意与我会面时，这个市场已经很难回避了。“在90年代，只有一小群人致力于开发和销售漏洞。现在它已经商品化了。这是炸毁。现在，”他把手指转了个大圈，象征着环城高速，“我们被包围了。这一行有一百多个承包商。”

市场在美国机构间的分布并没有让Sabien感到困扰。使他不安的是这件事在外面的传播。

“每个人都有自己的敌人，”他告诉我。即使是那些你永远不会怀疑的国家，也在囤积石油以备不时之需。大多数人这样做是为了保护自己。但是很快的一天，”当我们起身离开时，他补充道，“他们知道他们可能得去接触一些人。”

“继续走，”他对我说。“你到一些东西。这不会有好结果。”

说完，他就走了。