“零日创意”能“招安”黑客？

　　自从互联网诞生以来，电脑黑客就开始与电脑病毒为伍。他们利用自己高超的技术制造了成千上万的电脑病毒，危害着信息社会。他们不以此为耻，反而以此为荣。他们是独行侠，来无影，去无踪。他们将自己的行为比作对由大公司“独裁控制”的西方社会的反抗。当电脑黑客取得一次又一次胜利时，他的对手———受挫的电脑安全公司不得不改变策略，开始花巨资从电脑黑客手中购买黑客技术，于是一场对黑客的“招安”开始了。

　　“零日创意”

　　最近，俄罗斯著名的电脑黑客Bit有件东西要出售。他发现了微软浏览器上一个新的漏洞，而这个漏洞能使微软操作系统轻易地受到攻击。很快，Bit找到了靠这项技术赚钱的方法。他在一个由众多电脑黑客频繁光顾的地下网络聊天室内贴了一张广告，上面写“我正在出售一项能攻击微软浏览器的‘零日’电脑技术”。“零日”是Bit给他新发现的技术起的名字。据说，这张只有一句话的广告被贴在2005年7月16日的一个叫“互联黑客”的聊天室内，而想得到这项技术的人必须花300美元。

　　事实上，除了“互联黑客”聊天室，Bit还有很多其他兜售他“宝贝”的地方。“互联黑客”只是众多地下黑客网络技术交易的一个场所。计算机软件的一些缺陷使得这些以此为乐的黑客希望靠此发财。网络安全专家认为，在这些场所内，犯罪组织可以花高价从电脑黑客手里获得技术，以侵入大公司的数据库，获取某人身份。从目前形势来看，像Bit这样靠卖技术赚钱的黑客还很多。每周，成百上千的电脑黑客在“互联黑客”聊天室内讨价还价，叫卖自己的技术，而贩卖的技术从能破坏微软的WindowsXP操作系统到能使手机上普遍使用的Symbian运行系统瘫痪等，几乎无所不包。

　　现在情况有了新的变化。许多电脑安全公司正在创建合法的黑客信息市场，开始从一直困扰他们的电脑黑客手中购买技术。创建这个市场在电脑界引起了巨大争议，这是因为从此以后，电脑安全公司要付钱给这些发现电脑缺陷的黑客了。这在业外人看来，开辟这样的市场是在变相地鼓励黑客行为。但是电脑安全公司却认为，开辟能自由交易黑客技术的市场将会给电脑安全公司带来重要的黑客信息，从而在黑客技术还没大范围危害社会前，为顾客提供更完善的保护措施。

　　8月下旬，电脑安全公司TippingPoint将正式开设这种自由交易的电脑技术市场，起名“零日创意”。TippingPoint起“零日”这个词，意指黑客要在软件制造商之前发现软件缺陷的目标。作为这种方案的一部分，TippingPoint将会奖励那些发现电脑缺陷的黑客。多次发现电脑缺陷的黑客将会获得高达2万美元的奖励。“如果那些原本要在黑市上贩卖的技术信息转到现在这个市场上出售的话，那将是件很棒的事。”TippingPoint.的母公司3Com公司高级技术官马克·维利比克说，“这是未来黑客技术交易的发展方向。”

　　与黑客为敌

　　这只是电脑安全公司逐步控制电脑黑客的第一步。在与黑客长期的斗争中，电脑安全公司发现，单纯的技术防范并不能阻止愈演愈烈的电脑病毒、非法侵入和电脑漏洞这些方面。于是，一些电脑安全公司开始试图与电脑黑客建立和睦相处的关系。他们将电脑黑客分为“白帽”、“黑帽”和中间人三类，目标就是得到有责任感的“白帽”黑客的帮助，孤立阴险的“黑帽”黑客，争取中间部分的黑客。“了解键盘、鼠标和书写密码后的黑客信息对减轻黑客攻击至关重要。”美国联邦调查局网络犯罪申述中心负责人达尼尔·拉克说。

　　最近，电脑公司与黑客间关系的重要性表现得越来越突出，特别是思科系统公司在美国拉斯维加斯召开的“黑帽”黑客大会上成为电脑黑客攻击的对象，表现得尤为突出。很早以前，网络安全研究员麦克·莱恩原打算揭示出思科操作系统的一些缺陷，以有利于思科用户的防备，但最后却被思科和莱恩所在的防侵入软件开发商InternetSecuritySystems阻止了。2005年7月27日，莱恩Lynn从公司辞职，并到处发表演讲。第二天，思科公司要求莱恩闭嘴，并禁止其再次提到“某人从某人手里可以购买到思科密码技术”这类的信息。

　　这等于向黑客宣战。“这些黑客都是电脑高手，他们被思科的做法激怒了。”曾是黑客的卡文·米蒂尼克说。米蒂尼克是著名的电脑高手，由于黑客行为他曾被判刑。出狱后，米蒂尼克建立了自己的网络安全咨询公司。

　　网络安全专家认为，发生这件事后，很多电脑黑客开始将破坏思科技术作为自己的目标。现在，思科公司说它正重新考虑与电脑黑客间的关系。“我们一直在内部讨论这个问题，除了对抗，我们还应该改变点什么。”思科安全技术公司高级科技官罗伯特·格雷恰夫说。

　　成为伙伴

　　与思科的做法相反，对待黑客，微软采取了另一种方法。由于Window操作系统长期垄断市场，而微软又常对竞争对手进行讹诈，长期以来这个软件巨头一直是黑客攻击的主要对象。原来微软也很鄙视这些电脑黑客，但是现在，微软正积极地在黑客中培养同盟者。当思科正在拉斯维加斯大会上成为黑客的攻击对象时，微软则在美国拉斯维加斯的恺撒皇宫酒店的的一家金碧辉煌的夜总会里，举行了一场安全官员与黑客的聚会。超过450名的网络安全研究员和黑客参加了这次聚会。“与黑客的关系要么是水火不相容，要么是承认这些黑客对安全很有帮助。”微软网络安全经理卡文·肯说，“这次聚会就是发展与黑客的真诚关系。”

　　这只是微软公司防范措施的一部分。2005年的3月，位于华盛顿的瑞纳莫德公司举办了一场为期两天的“蓝帽”高峰论坛。之所以起“蓝帽”这个名字，是因为大会的主办者微软公司的标志就是蓝帽标志。这次大会允许黑客与Window系列的主创者杰姆·埃勒林等微软的高级官员建立密切联系。瑞纳莫德公司还打算2005年10月举办另一次会议。

　　“招安”争议

　　电脑公司的这种“招安”手段似乎达到了目的。丹·卡米斯克是一名26岁的黑客，他在西雅图家里创办了自己的网络安全公司。卡米斯克原来对微软之类的电脑巨头很反感，但在2005年3月，却被微软邀请到“蓝帽子”高峰论坛演讲。现在，卡米斯克深受电脑公司开设的“零日创意”市场行为的鼓舞，他表示，电脑黑客一直希望“零日创意”能透露一些软件密码。“解决安全漏洞问题最好的方法就是懂得这种密码如何制成。”卡米斯克说，“你不得不到电脑专家手中得到这些技术。”

　　另外，TippingPoint又进一步完善了这项计划。为了能将蓄意威胁社会的黑客排除在外，TippingPoint要求所有进入“零日创意”市场的人必须提供带有照片的身份证和富有生活背景的简历。除此之外，这家公司也只通过银行支票而不是网上转账给提供技术的黑客发放奖金。

　　TippingPoint创立的“零日创意”市场还有额外的奖励措施。它将参与者从低到高分为铜、银、金和白金四个档次。除了2万美元的奖励外，白金层次的黑客还可以从每年发现的电脑缺陷的奖励上得到三倍于此的额外奖励。日前，750名网络安全官员和电脑黑客参加了TippingPoint举办的“零日创意”开幕式。“在这里，电脑黑客无拘无束的电脑研究可以得到大量财富。”3Com公司的安全技术主管马克·维利比克说，“通过在各地实施这一方法，我们确信这种方式可以有利于减少安全漏洞。”

　　早期的实践也证明了这点。早在2002年，就开始给黑客奖励的瑞纳莫德安全公司表示，截至2005年，共30个国家的200名黑客替他们公司的软件找到了1100个安全漏洞。而据美国卡耐基梅隆大学资助的计算机紧急响应组统计，与2004年发现的3780个病毒相比，2005年发生的病毒猛降到350个。但是，计算机紧急响应组认为这种方法并不能使得每一个黑客懂得黑客技术造成的伤害。

　　然而，花钱购买黑客技术这一行为使得一些网络安全公司感到很不舒服。这些公司一方面担心这一行为可能激发更多的黑客为了钱而大量地寻找电脑公司还没有发现的软件缺陷，另一方面则更担忧参与“零日创意”的黑客脚踏两只船，既收集利用黑客信息，又将这些信息卖给网络安全公司。“任何公司必须考虑把钱送给这些黑客时又能保证这些黑客不非法使用这些技术这个问题。”杀毒软件制造商McAfeeInc.总经理金·华特说，“我不认为这一做法是合适的，任何实施这一做法的公司应该再考虑一下。”