跟 0day 漏洞行业要透明度的这家公司能走多远？

作者：Patrick Howell O'Neill

翻译：360代码卫士团队

在天生安静的 0day 行业，一家新兴国际公司正在刻意制造动静。

它就是总部位于阿联酋的 Crowdfense 公司。4月份，Crowdfense 公司宣布将出价1000万美元从黑客手中购买0day 利用，然后将其转售给政府客户。自此成功引发公众注意力。付款内容包括为黑入 iOS 和 安卓设备的黑客支付最多300万美元。

这笔巨款还被佐以“透明度”的承诺，而在这个秘密是标准操作流程的行业确实算独树一帜。

Crowdfense 公司的负责人 Andrea Zapparoli Manzoi 表示，他想“打破常规”。

0day 行业通过研究或购买披露计算机系统中的利用代码并将它们卖给出价最高方。很多政府甚至是一些私营公司都参与这种交易。Crowdfense 和其强有力的竞争对手 Zerodium 之间存在很多共通之处。后者是著名的“利用收购平台”，在Crowdfense 出现之前提供了一些前所未有的最高的公开 0day 奖励。

Zerodium 并未对此置评。

虽然说提交漏洞的开发人员能获得大笔奖金，但暴虐政权可将这些有力的工具对准自己的公民。比如其中的一家著名公司以色列 NSO 集团，据其一名员工表示，该公司每年的销售额超过2亿美元。其它大玩家包括意大利的 HackingTeam 和德国的 Gamma 组织。

Manzoni 表示，“这个行业没有得到适当的监管。你所能做的就是自律和不要作恶。”

Manzoni 是意大利公民，他想要通过遵循一些自设的集中于一点的规则构建一个成功“体面”的 0day 公司。这一点就是，“我们只跟尊重人权的国家做交易。”他表示 Crowdfense 公司不会将0day 漏洞出售给非民主国家，而且“尝试避免出售给正在发生革命战争和内战的国家”。他指出，“如果工具被出售给非民主国家，那么独裁政权就不可避免地将其指向自己的公民”。

他指出，Crowdfense 公司也并未构建“大规模监控工具”，而是集中在可被用于高度集中的针对不到12个目标的行动中。

不向某些国家出售0day 利用代码的策略当然让 Crowdfense 公司脱颖而出。但对于一家立足在非民主的、追捧新贵技术且人权滥用问题长久得不到解决的公司而言，这种选择耐人寻味。

从很多方面来讲，阿联酋是开启公司的好地方。它是波斯湾第二大经济体之家，基本靠石油出口驱动经济。阿联酋向外国技术人才提供了最非凡的雇佣福利，包括免税，提供住房、食物、医保、教育和交通福利。对于急缺现金和人才的技术初创公司而言，很难忽略这种待遇。

阿联酋在使用高度集中的 0day 利用监控并拘留国际著名人权活动家 Ahmed Mansoor 方面也十分出名。他最近被以侮辱阿联酋的罪名判处10年刑期。

Manzoni 强调称，无法获知公司客户将如何使用这些工具。他表示，不过“我们更容易审查我们的客户”，理由是该公司支持“执法部门开展的钓鱼行动”而非为出价最高者实施大规模监控活动。

对于一家公开豪掷1000万美元的公司，人们很快就开始关注它的资金状况。上个月，有媒体报道称，Crowdfense 得到了阿联酋和沙特阿拉伯政府的资金资助。沙特阿拉伯也被指为长期滥用人权的非民主国家，最近将呼吁女性驾驶权利的活动家送入监狱。

当问到 Crowdfense 公司的资金来源时，Manzoni 拒绝给出明确的回答，尽管此前标榜“透明度”。不过，他确实表示公司总部设在阿联酋的部分原因是为了吸引更多的投资。

他指出，“我们得到众多国际投资者的资金支持。这是一种新方法，因此它行不通的风险比较大。这是一个未知问题。”

原文链接

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。