[摘 要]軟件漏洞是信息安全的核心問題之一，在人們就軟件漏洞信息是否應(yīng)當(dāng)披露、如何披露進(jìn)行激烈爭論的同時，軟件漏洞的黑市交易活動猖獗，學(xué)者們認(rèn)為應(yīng)當(dāng)發(fā)展軟件漏洞的合法市場以打擊黑市交易，并提出了軟件漏洞市場的相關(guān)理論，一些組織也在實(shí)踐中進(jìn)行了建立軟件漏洞市場的嘗試，但其發(fā)展受到軟件漏洞信息的一些固有屬性的阻礙。本文建議建立可信第三方交易平臺和軟件漏洞鑒定評估機(jī)制，克服障礙，促進(jìn)軟件漏洞市場的發(fā)展。

[關(guān)鍵詞]軟件 漏洞市場 交易平臺

隨著信息化社會的到來，信息安全已成為社會發(fā)展的基礎(chǔ)和保障，然而，層出不窮的黑客攻擊事件，網(wǎng)上病毒、惡意軟件的泛濫，給信息安全帶來了極大的挑戰(zhàn)。追根溯源，其中一個核心的問題就在于構(gòu)成信息系統(tǒng)的軟件存在漏洞。軟件漏洞對于信息安全至關(guān)重要，其價值便日益凸顯，許多安全服務(wù)公司開始購買漏洞信息，而一些軟件開發(fā)者也開始對向其報告軟件漏洞付酬。實(shí)際上，漏洞信息已經(jīng)成為可以交易的商品，軟件漏洞市場問題開始為人所矚目。

一、軟件漏洞披露及漏洞黑市

1.漏洞保密

漏洞信息并不是一開始就是市場上公開交易的商品。曾經(jīng)在相當(dāng)長的時間內(nèi)，人們認(rèn)為保守軟件漏洞秘密是確保信息安全的最好方式，因?yàn)槿糗浖嬖诼┒吹那闆r不為人所知，則攻擊者很可能不會發(fā)現(xiàn)。漏洞信息只在少數(shù)利益團(tuán)體之間交換，并不為大眾公開。在1988年計(jì)算機(jī)應(yīng)急反應(yīng)小組(CERT)成立后，研究人員發(fā)現(xiàn)軟件漏洞一般先向其報告，CERT驗(yàn)證后再將其反饋給軟件開發(fā)者，直到開發(fā)者推出相應(yīng)的漏洞補(bǔ)丁后，CERT才將漏洞信息公開披露。然而，這種以保密換安全的方式并不有助于軟件安全性的真正提高，CERT獲得了大量的漏洞報告，但是驗(yàn)證過程緩慢，軟件開發(fā)者得到研究人員或者CERT的漏洞信息通報后，往往不急于推出漏洞補(bǔ)丁。這種從發(fā)現(xiàn)漏洞到補(bǔ)丁推出的緩慢過程受到了廣泛的批評。

2.完全披露

1993年，Bugtraq郵件列表系統(tǒng)開始以郵件列表和新聞群組的形式公開討論軟件漏洞，研究者在此將其發(fā)現(xiàn)的漏洞詳盡地披露，甚至還公開出版。自1995年，加入“完全披露”的人大幅增加。“完全披露”的支持者認(rèn)為此項(xiàng)政策可以迫使軟件開發(fā)者更為積極地填補(bǔ)漏洞，從而促進(jìn)軟件安全。他們認(rèn)為公眾的審查是提高軟件安全性的惟一值得信賴的途徑，將軟件漏洞秘而不宣，看起來似乎使黑客難以知曉，不過，事實(shí)證明，黑客在揭露秘密的軟件漏洞方面技術(shù)高超。完全披露政策的批評者指出，黑客也可以使用郵件列表系統(tǒng)獲知軟件漏洞并編寫攻擊程序。在漏洞公開披露以前，只有那些自己發(fā)現(xiàn)漏洞的人才有可能攻擊漏洞，他們所能威脅的計(jì)算機(jī)有限。如果他們使用自動攻擊軟件或者蠕蟲，被發(fā)現(xiàn)的機(jī)率相當(dāng)高，隨之他們所利用的后門會被公眾所知并被修補(bǔ)。然而，如果漏洞被公開披露，全世界都知道了這個漏洞，那么受害的計(jì)算機(jī)會顯著增加。

3.負(fù)責(zé)任的披露

基于以上激烈爭論，一些軟件公司和安全研究人員推出了“負(fù)責(zé)任的披露”政策，其基本理念為威脅披露漏洞與實(shí)際披露同樣有效，一個負(fù)責(zé)任的研究人員會悄悄地給軟件開發(fā)者修補(bǔ)其軟件的機(jī)會。2000年，在其他信息安全團(tuán)體還在為該建議進(jìn)行辯論時，CERT/CC 推出了一個新的漏洞披露政策。不管開發(fā)者是否推出了相應(yīng)補(bǔ)丁，所有漏洞報告都會在其首次報告后45天向公眾披露。另外，一軟件公司和安全服務(wù)公司開始在互聯(lián)網(wǎng)安全組織指南之下共同開發(fā)統(tǒng)一的漏洞披露框架，他們設(shè)定了一個寬限期，在此期限內(nèi)漏洞信息不應(yīng)向第三方披露，直到軟件開發(fā)公司推出了補(bǔ)丁程序。

4.漏洞黑市

作為一個計(jì)算機(jī)安全研究人員，發(fā)現(xiàn)一個應(yīng)用軟件或者操作系統(tǒng)的漏洞后，他可以將該漏洞報告給軟件發(fā)行者，也可以直接將其公開披露，而實(shí)際上，一直都存在著另外的選擇，那就是將此信息在黑市上出售。據(jù)信，軟件漏洞的黑市交易一直以來都大量存在。網(wǎng)絡(luò)犯罪組織出高價購買那些能夠幫助其攻破數(shù)據(jù)庫竊取數(shù)據(jù)及實(shí)現(xiàn)其他犯罪目的的信息，而一些唯利是圖的研究人員(黑客)與之一拍即合，出賣其發(fā)現(xiàn)的漏洞信息。原來，黑客們獵取軟件漏洞的主要目的在于自己能夠成功利用，從而獲取不法利益。但是近來這種情況有所改變，黑客發(fā)現(xiàn)軟件漏洞后的首要選擇不再是自用，而是將漏洞信息出售給出價高的買主。美國學(xué)者Sutton和Nagle對軟件漏洞黑市的運(yùn)作模式進(jìn)行了較為深入的研究，將其分為訂單模式與零售模式。網(wǎng)絡(luò)惡意組織雇傭黑客，研究特定目標(biāo)軟件的漏洞，即為訂單模式。而零售模式則與之相反，黑客找到了相關(guān)軟件漏洞，兜售給合適的惡意買家。

二、軟件漏洞市場的理論和實(shí)踐

1.軟件漏洞市場的理論探索

在漏洞披露的爭論中，21世紀(jì)早期，信息安全經(jīng)濟(jì)學(xué)開始出現(xiàn)，一種漏洞披露市場化的趨勢開始隨之浮出水面，在理論和實(shí)踐層面均有體現(xiàn)。劍橋大學(xué)計(jì)算機(jī)實(shí)驗(yàn)室的Anderson就主張絕大多數(shù)的安全問題不能僅通過技術(shù)途徑解決，相反，一些微觀經(jīng)濟(jì)學(xué)的觀點(diǎn)更能解釋某些安全問題。英國電信公司首席安全技術(shù)官Schneier也認(rèn)為經(jīng)濟(jì)學(xué)有其適當(dāng)?shù)睦碚搧硖幚碛?jì)算機(jī)安全問題。[6]學(xué)者們認(rèn)為，建立軟件漏洞(合法)市場，使黑客及其他軟件安全研究人員可以將其漏洞信息出售給軟件開發(fā)商、合法的軟件安全公司等，可以在一定程度上切斷黑客進(jìn)入黑市的源動力。再加上黑市交易將面臨的刑事追訴等法律風(fēng)險，軟件漏洞市場的建立，會大大削弱黑市交易。

在具體的市場機(jī)制理論上，德國學(xué)者Bouml;hme對漏洞市場的研究較為深入和細(xì)致。最初Bouml;hme提出了漏洞市場的四種模式，即漏洞挑戰(zhàn)、漏洞掮客、利用派生和網(wǎng)絡(luò)保險。漏洞挑戰(zhàn)是最早用以證明產(chǎn)品安全性的概念，其最簡單的模式就是軟件開發(fā)者對向其報告軟件漏洞的人支付報酬?；诖朔N報酬，一部分黑客可能會將自己發(fā)現(xiàn)的軟件漏洞報告給軟件開發(fā)者，而不是將其在黑市交易或者自己利用。漏洞掮客模式是以一個獨(dú)立的組織為核心建立漏洞信息共享群體，此核心組織向外購買軟件漏洞信息，爾后在其會員中共享。其會員有軟件開發(fā)者，他們需要獲知自己軟件的漏洞信息從而修正軟件;有軟件的用戶團(tuán)體，他們對安全有更高的要求，需要在軟件補(bǔ)丁推出之前防止他人利用該漏洞攻擊自己的系統(tǒng)。利用派生和網(wǎng)絡(luò)保險其實(shí)并不是軟件漏洞的市場模式，而是為促進(jìn)軟件安全而設(shè)想的另外兩種市場模式而已。

2.軟件漏洞市場的實(shí)踐嘗試

在實(shí)踐層面，漏洞信息的合法市場同樣在發(fā)展。2002年，美國安全分析監(jiān)測公司iDefense公布了漏洞貢獻(xiàn)者計(jì)劃(Vulnerability Contribution Program)，對經(jīng)其驗(yàn)證的漏洞信息提供報酬。根據(jù)該計(jì)劃，對那些可能威脅其公司客戶或者公眾安全并造成損害的軟件漏洞，iDefense公司對向其提供詳盡研究報告的個人提供最高15000美元的報酬。 另外，iDefense公司每年還將從所有的漏洞報告中選出四個年度最有價值的研究，給予5000至50000美元不等的獎勵。

2005年TippingPoint公司公布了零時差項(xiàng)目(Zero Day Initiative) 計(jì)劃。根據(jù)該計(jì)劃，漏洞研究人員應(yīng)當(dāng)在該項(xiàng)目注冊并提交其漏洞信息，項(xiàng)目組對該漏洞信息進(jìn)行估價，若研究人員接受報價，則交易成功。如果沒有作出報價或者研究人員不接受報價，漏洞信息仍將屬于研究人員并且不會用于零時差項(xiàng)目。另外，該項(xiàng)目還對已采納的漏洞信息和推薦新的研究人員加入該項(xiàng)目給予積分獎勵，并根據(jù)積分的不同劃分四個等級，每個等級可獲不同比例的獎金。

2007年，瑞士安全公司W(wǎng)abisabiLabi推出了漏洞拍賣網(wǎng)站，像在拍賣站點(diǎn)eBay上一樣，針對安全漏洞信息發(fā)布人的要求，WabiSabiLabi提供了多種競價方式，可以按照發(fā)布人的固定價格進(jìn)行銷售，也可以在多個賣主之間進(jìn)行拍賣。WabiSabiLabi聲稱它們的交易網(wǎng)站只向“合法的”買主服務(wù)，他們希望成立這一市場后，可以使那些從事安全研究領(lǐng)域的科研人員的辛勤付出得到公平回報，確保他們不再被迫免費(fèi)公開自己的安全資料，甚至將這些資料兜售給網(wǎng)絡(luò)犯罪分子。

三、軟件漏洞市場發(fā)展的內(nèi)在障礙

盡管學(xué)者們?yōu)槁┒词袌鲈O(shè)想了種種理論模式，實(shí)踐中也有不少有益的嘗試，但基于漏洞信息自身的特點(diǎn)，其市場化面臨著許多傳統(tǒng)產(chǎn)品和服務(wù)所沒有的障礙。

1.漏洞信息時效性強(qiáng)

漏洞信息的價值可以瞬間由價值連城跌為一文不名。這是因?yàn)槁┒葱畔⑵鋵?shí)質(zhì)為一種商業(yè)秘密，只有在其不被廣為所知的時候才值錢，一旦漏洞被公開或者補(bǔ)丁發(fā)布，該漏洞信息便毫無價值。還有，其他的因素也可能削弱漏洞信息的價值，比如新技術(shù)的引入，對漏洞信息的獨(dú)立重復(fù)發(fā)現(xiàn)。因此，研究者必須假定今天就是其發(fā)現(xiàn)具有價值的最后一天，也就是說，任何有關(guān)漏洞信息的交易必須盡快完成。一旦研究者發(fā)現(xiàn)了一個漏洞，他必須盡快找到買家，談好價格，完成交易。但是，在目前的市場環(huán)境下，這是不可能的。

2.價格不透明

對于不同平臺下不同應(yīng)用軟件的不同漏洞信息，沒有任何公開的信息可以對價格進(jìn)行參考。漏洞信息的價值受多種因素影響，比如包含漏洞軟件的應(yīng)用廣泛程度，使用該軟件是否需要驗(yàn)證，典型的防火墻設(shè)置對阻止登陸該軟件效果如何，利用該漏洞是否需要用戶參與，發(fā)現(xiàn)漏洞的難易程度等等。這些因素絕大部分難以計(jì)量，雖然研究揭示了一些關(guān)于漏洞信息價值的范例和大致的原則，但還遠(yuǎn)遠(yuǎn)不能讓買賣雙方清楚該漏洞信息的公平市場價值。沒有這個價值信息，雙方便不能以公平的方式達(dá)成一致，總是有一方吃虧。

3.尋找合適的交易對象難度很大

現(xiàn)在的市場對于合法的出售軟件漏洞信息依然不夠開放和透明。當(dāng)研究者發(fā)現(xiàn)了一個漏洞，希望將該信息出售，卻沒有一個集中的途徑找到買家。除了iDefense， Tippingpoint以及 SnoSoft， 購買公司并不會做廣告稱其購買漏洞信息。而且，除了個別公司，軟件開發(fā)者通常不會購買自己產(chǎn)品的漏洞信息。研究者被迫向其能夠聯(lián)系的人一一詢問，向任何其認(rèn)為可能有興趣的公司一一聯(lián)系，這種方式存在很多問題。首先，如果不使漏洞信息很容易被破譯，有時很難對一個漏洞進(jìn)行準(zhǔn)確描述。因此，研究者其聯(lián)系的人越少越好。其次，這個過程很花時間，即使在最短的時間內(nèi)聯(lián)系上了對此感興趣的公司，研究者也很有可能在最初難以聯(lián)系到正確的人，時間上的耽擱可能最終會使信息一文不名。

4.驗(yàn)證買家合法性不易

由于沒有一條明確的途徑可以找到漏洞信息的買家，研究者經(jīng)常被迫將其發(fā)現(xiàn)告訴許多人，意圖大海撈針，其后果往往是研究者并不熟悉的買家出現(xiàn)。如果說作為個體的漏洞研究者只想將信息出售給合法的買家，在大多數(shù)情況下其并無太多的資源和途徑驗(yàn)證買家的意圖并規(guī)避法律責(zé)任。

5.漏洞信息的有效性及價值無法以沒有損害的方式驗(yàn)證

研究者試圖出售漏洞信息所必須面對的麻煩問題之一就是在未泄露該信息的情況下證明漏洞信息的有效性，這也是信息產(chǎn)品所要面對的一般問題。證明有效性的惟一方式就是要么揭露信息本身，要么以某種方式予以證明。很明顯，在出售之前揭露信息非研究者所愿，因?yàn)槟菍⑹蛊涿媾R喪失該信息的知識產(chǎn)權(quán)的風(fēng)險。通過利用漏洞的方式展示漏洞信息也并不是一個好的選擇，研究者不可能以利用自己系統(tǒng)的方式展示，因?yàn)樗藷o法驗(yàn)證該系統(tǒng)是否被改變過。通過利用買方控制下的系統(tǒng)的方式展示同樣有問題，因?yàn)檠芯空邿o法獲知買方是否會暗地里記錄利用程序的工作。沒有可信第三方的介入，此買賣中的任何一方無法建立對對方的信任。賣方不愿在得到付款前披露漏洞信息，買方也不愿意在收到信息前付錢。

6.漏洞知識產(chǎn)權(quán)交易法律風(fēng)險大

由于交易的標(biāo)的是并不廣為人知的信息，所以很難做到既披露信息又不冒被他人篡奪信息知識產(chǎn)權(quán)的風(fēng)險。比如，如果研究者向潛在的買家提供漏洞信息，買家完全可以拒絕購買，然后再將該信息當(dāng)作自己的知識產(chǎn)權(quán)賣給他人，研究者對此無能為力。而且，此種交往大多還是跨國性質(zhì)的，這更增加了問題的復(fù)雜性，限制了潛在合同的實(shí)際履行性。另外，為了得到最大的報酬，作為賣家的漏洞研究者必須將信息的所有權(quán)利轉(zhuǎn)讓給買家。然而，買家無法防止研究者“一女?dāng)?shù)嫁”，甚至于在出賣后公開披露該信息。當(dāng)然，此種交易的合同應(yīng)當(dāng)包含如果研究者公開披露了該信息，則應(yīng)當(dāng)返還價款、支付違約金甚至賠償損失等法律責(zé)任條款。然而，如果研究者化名將該信息出售給第三人或者公開披露，將很難證明，買家只能乞求賣家不將該信息透露給他人。

四、軟件漏洞市場機(jī)制的完善

上述的絕大部分問題要?dú)w因于該市場秘密的特性，所以，增加其透明度和組織性有助于緩解問題。盡管解決這些問題并非易事，我們還是可以采取一些措施來促進(jìn)漏洞市場的發(fā)展。

1.建設(shè)可信第三方交易平臺

以具有公信力的中介組織為基礎(chǔ)，建立獨(dú)立于買賣雙方的可信第三方交易平臺，為漏洞信息交易提供一個集中交易的場所，創(chuàng)造一個公平、高效、低風(fēng)險的交易環(huán)境。中介組織在這里只為雙方提供定約的機(jī)會和場所，為保證交易環(huán)境的公平氛圍，其并不買賣漏洞信息，只向買賣雙方收取適當(dāng)?shù)闹薪橘M(fèi)用。為保證其獨(dú)立性和信息的安全性，該中介組織的成立條件應(yīng)當(dāng)極其嚴(yán)格，可以考慮以半官方的形式存在。

在可信第三方交易平臺的框架之下，健全相關(guān)制度，降低漏洞市場的交易風(fēng)險。首先，交易平臺應(yīng)當(dāng)設(shè)定嚴(yán)格的會員準(zhǔn)入和管理制度，防止惡意主體的進(jìn)入。經(jīng)營交易平臺的中介組織應(yīng)當(dāng)對申請加入交易平臺的會員進(jìn)行嚴(yán)格審查，記錄清白的信息安全研究人員、軟件開發(fā)者、信息安全服務(wù)公司才能進(jìn)場交易;一旦發(fā)現(xiàn)在交易中有惡意侵犯他人知識產(chǎn)權(quán)，或者利用軟件漏洞進(jìn)行犯罪活動的，立即終止其會員資格，并通告其他會員。其次，建立洽商與交易備案制度。所有漏洞信息洽商和交易應(yīng)當(dāng)在交易平臺備案，該備案可以在一定程度上防止一些組織或者個人為了獲取對方軟件漏洞的商業(yè)秘密所進(jìn)行的惡意磋商或者漏洞信息權(quán)利人所進(jìn)行的“一女?dāng)?shù)嫁”式的重復(fù)交易。另外，漏洞信息交易和洽商的備案也使得以往神秘的漏洞信息流向變得有案可查，不管是賣方再次將該信息在黑市出售，還是買方將該漏洞信息利用于非法目的，國家法定機(jī)關(guān)通過對備案資料的研究可能會使相關(guān)案件的偵破變得簡單容易。如此，忌于違法的高風(fēng)險，漏洞市場的交易風(fēng)險會大大降低。

2.建立軟件漏洞鑒定評估機(jī)制

在原有的漏洞市場機(jī)制中，漏洞信息難以以沒有損害的方式進(jìn)行驗(yàn)證，賣方不愿在得到付款前冒險披露漏洞信息，買方也不愿意在收到信息并進(jìn)行驗(yàn)證前付錢。筆者認(rèn)為，可以建立軟件漏洞的鑒定評估機(jī)制來打破這種僵局。漏洞信息知識產(chǎn)權(quán)的擁有者為避免在交易前由買方驗(yàn)證信息帶來的巨大風(fēng)險，可在交易前將漏洞信息獨(dú)立于買賣雙方的可信第三方鑒定評估機(jī)構(gòu)對漏洞的有效性進(jìn)行鑒定。鑒定機(jī)構(gòu)根據(jù)鑒定委托書對相關(guān)漏洞進(jìn)行驗(yàn)證后，出具鑒定書。鑒定機(jī)構(gòu)應(yīng)對鑒定書的科學(xué)性負(fù)責(zé)，在鑒定中弄虛作假或者有重大過失的，國家行政主管機(jī)關(guān)應(yīng)當(dāng)對其進(jìn)行處罰。軟件漏洞信息的購買方因此而遭受損失的，鑒定機(jī)構(gòu)應(yīng)承擔(dān)連帶賠償責(zé)任。漏洞鑒定評估機(jī)構(gòu)還可以接受委托對軟件漏洞信息的價值進(jìn)行評估。筆者并不認(rèn)為評估機(jī)構(gòu)的評估可以代替買賣雙方的討價還價，但評估可以給買賣雙方確定漏洞信息價值一個重要的參考，尤其是雙方理想價位有重大差距時，可以促成達(dá)成一個理性的價格。另外，評估機(jī)構(gòu)的評估還可以在軟件漏洞知識產(chǎn)軟遭受侵權(quán)確定法律責(zé)任時發(fā)揮重要作用。

參考文獻(xiàn):

[1] CERT/CC. Vulnerability Disclosure Policy 2000.

[2] Matt Whipp. Black market thrives on vulnerability trading[EB/OL].(2006/3/7)[2009/8/1].http://www.pcpro.co.uk/news/84523/black-market-thrives-on-vulnerability-trading.html.

[3] Sutton， Michael， and Frank Nagle. Emerging Economic Models for Vulnerability Research[EB/OL]. [2009/8/1]. http://weis2006.econinfosec.org/docs/17.pdf.

[4] Anderson， R.Why Information Security Is Hard--an Economic Perspective[EB/OL].(2001/12/14)[2009/8/1]. http://www.acsac.org/2001/abstracts/thu-1530-b-anderson.html.

[5] Anderson， Ross， and Tyler Moore. The Economics of Information Security[J]. Science， 2006，314:610-613.

[6] Schneier. Economics and Information Security [EB/OL].(2006/6/29)[2009/8/1]. http://www.schneier.com/blog/archives/2006/06/economics_and_i_1.html

[7] Jaziar Radianti，Jose. J. Gonzalez. Understanding Hidden Information Security Threats:The Vulnerability Black Market[A]. Proceedings of the 40th Hawaii International Conference on System Sciences-2007 [C]. Washington: IEEE Computer Society，2007.

[8] Rainer Bouml;hme.A Comparison of Market Approaches to Software Vulnerability Disclosure[A]. Emerging Trends in Information and Communication Security[C]. Heidelberg: Springer，2006:298-311