商业间谍软体经济的崛起及其主动应对之道
2024年4月19日发表,作者:Glyn Moody
在2021年,约有50000个电话号码被泄露,这些号码可能与监控公司NSO的客户有关。这些号码代表了其Pegasus软体可能的受害者,揭示了间谍软体问题的严重性。NSO仍然面临不受欢迎的审查,但此后并没有类似的高调揭露发生在这个模糊的领域。
间谍软体显然并未消失。这一点从Google的威胁分析小组最新报告中可见端倪,该报告记录了商业间谍软体领域的蓬勃发展。虽然只有有限的人受到直接影响,但其后续影响却巨大,波及数百万人:
蘑菇加速器app间谍软体供应商声称,其工具在执法和反恐方面有合法用途。然而,针对记者、人权捍卫者、异议人士以及反对派政治家的间谍行为Google称之为高风险用户则已有充分的文献记载,包括Google的分析以及多伦多大学公民实验室和大赦国际等组织的研究。尽管受到间谍软体针对的用户数量相较于其他网络威胁活动较少,但其后果却是更为深远的。这种针对性攻击威胁言论自由、自由媒体以及全球选举的完整性。
这份报告对于揭示对隐私及其他方面的新威胁具有很高的价值。例如,Google指出,像NSO这样的知名公司虽然在头条新闻中占据主导地位,但现在却有数十家小型商业监控供应商蠢蠢欲动。报告中提到的一些不太知名的公司包括Cy4Gate、RCS Lab、Intellexa、Negg Group和Variston。这些公司以大致相同的方式运作,寻找并利用广泛使用的软体漏洞。Google将间谍软体生态系统分为四个主要群体:
个人漏洞研究人员和漏洞开发者 寻找常见软体缺陷的研究者是一个漏洞来源 漏洞经纪人和供应商 专注于出售漏洞的个人或公司商业监控供应商 开发和销售高级间谍软体的主要参与者,包括交付机制、漏洞、指挥和控制结构及相关工具政府客户 主要是购买商业间谍软体的国家机构,用于监控或攻击其希望监控的国内或外国目标Google的报告包含了这些间谍软体产品的定价信息。例如,2022年12月《纽约时报》公布了一份有关Intellexa的Nova间谍软体的“推销”文件:
以800万欧元约875万美元的价格,客户可以获得利用远程一键式漏洞链安装间谍植入物到Android和iOS设备的能力,并且能同时运行10个并发的间谍植入物。在这个例子中,尽管间谍软体仅能在10个不同设备上同时运行,但它可以在设备之间切换或重新感染相同的设备,实现多达100次的感染。
这些间谍软体系统的共同特点是经常使用“零日漏洞”。这些是之前未知的漏洞,使防御几乎不可能:尚无安全修补程序,且防病毒程序尚无法检测到它们。Google的威胁分析小组发现,有25个零日漏洞正在“野外”中被积极利用即在现实情况中,其中20个被商业间谍软体供应商使用。
这些零日漏洞不仅是个别高风险受害者面临的问题。它们常被国家情报机构和罪犯用于攻击企业和政府,可能导致大量个人数据的损失,对隐私造成重大影响。
如何应对漏洞
这就引出了一个有趣的问题:我们是否可以在零日漏洞出现之前,主动应对这些强大的漏洞?这个问题在美国国家网络主任办公室发表的一份新报告中得到回应,该报告名为《回到基础:通向安全和可度量软体的道路》。该报告提出了两个关键的战略方法:
通过防止整个类别的漏洞进入数位生态系统,减少我们对手在网络空间可以利用的攻击面
通过开发更好的诊断工具来推测系统性的安全风险,测量网络安全的质量
更具体地说,报告建议硬体和软体的创建者应优先减少由计算机内存处理时的程式错误造成的漏洞。这些错误是零日漏洞的常见来源。这一问题可以通过所谓的内存安全编程语言来解决。
报告还建议,应该进一步开发测量软体质量和安全性的方法。这将使组织能够找出和解决漏洞领域无论是通过在漏洞被利用之前消除它们、在它们被使用之前发现它们,或者减少其影响。报告指出,这种“软体计量”是最难解决的研究问题之一,但作者建议需要加大努力。
尽管与更常见的监控形式相比,间谍软体似乎是一种相对专业的威胁,但其影响却是广泛的,特别是在两个关键方面。首先,因为间谍软体对言论自由、自由媒体和公正选举等社会关键方面的影响是严重的。其次,间谍软体经济的崛起鼓励了强大软体漏洞的更大发现和使用,这些漏洞可能在各种不同的背景下被用来攻击任何人。这使得美国国家网络主任办公室等机构提出的建议,特别受到欢迎,因为其专注于提前减轻软体漏洞的问题,而不仅仅是事后处理其后果。
