美国政府发现了但为何不告知企业软件漏洞?
《赫芬顿邮报》网站发表文章称,美国政府情报机构会专门搜索消费者产品中的漏洞信息,然后在政府内部进行评估,哪些漏洞信息可以通知相关企业,让其开发相应安全补丁,哪些漏洞信息应进行保密,并用于间谍活动,从而为更广大的公众利益服务。
但是,WannaCry勒索病毒的大规模攻击活动让人们开始思考政府机构这样做是否存在问题。专家指出,情报机构也需要监督和审查机制,涉及到自身产品漏洞的科技企业应该参与情报监督。
据外媒报道,WannaCry勒索病毒肆虐全球已有好几天了,它影响了150个国家的20万个用户和1万个组织。而且,它在未来继续作恶的威胁依然存在。
WannaCry病毒的普遍性表明了大规模勒索病毒攻击有多么可怕。它威胁到了公共基础设施、商业活动和人们的生活。但是,这个事件的意义远不止如此。此次勒索病毒攻击活动不仅彰显了安全专家必须面对的严峻问题,而是显示了网络安全保护措施有多么重要,以及当系统和设备没有安全保障的时候后果有多么严重。
WannaCry病毒的影响范围让人们又开始了探讨一个由来已久的问题:在政府情报机构悄悄利用消费者产品中的安全漏洞时,公众将会面临多大的安全威胁?
搜集和储备漏洞
WannaCry利用了Windows服务器中存在的一个名为EternalBlue的漏洞。NSA(美国国家安全局)发现了这个漏洞,并悄悄储备了起来。但是,有关这个漏洞的信息以及如何利用它的信息被一个名为Shadow Brokers的黑客组织窃走,并公之于众。微软在3月中旬发布了漏洞补丁,但是很多电脑和服务器实际并没有接到这个补丁,依然暴露在危险之中。
保留漏洞信息,而不是直接告知企业,这是NSA进行间谍活动的通常做法,它的出发点也是为了保护公众的安全。但是,它实际上造成了很大的危害。现在没有迹象表明像NSA这样的政府机构会在未来停止这种做法。
“即使NSA和美国政府这样做是正确的,我们也有权对此表示愤怒。这就好比警察弄丢了枪支,结果被不法分子用于犯罪。这让我们感到愤慨。”哥伦比亚大学的网络冲突研究员杰森-希利(Jason Healey)说。他的研究方向是美国政府现有的漏洞披露机制。“我想,政府的通常反应就是:‘瞧,这是间谍活动。这就是游戏的玩法。不要大惊小怪了。’但是,人们感到愤怒是情有可原的,政府需要想出处理这个问题的更好办法。”
当然,很多人愤怒的是NSA间谍工具怎么就被窃走、泄露,然后被利用来危害全世界的组织和个人。
“这就好比美国军方的战斧导弹失窃。”微软总裁兼首席法务官布拉德-史密斯(Brad Smith)说,“此次勒索病毒攻击再次证明政府储备漏洞信息的做法是有问题的。我们需要政府考虑储备和利用这些漏洞信息给公众造成的危害。”
与此同时,同样重要的是科技公司应及时发布漏洞补丁,并确保用户(组织和个人)安装这些补丁。专家认为,科技行业及其用户也应该对此次勒索病毒攻击事件负责,因为微软发布了安全补丁,但是很多用户并没有安装它。全球情报机构保留漏洞信息妨碍了企业开发相应补丁,以及用户安装补丁。俄罗斯总统普京称,“像这样的妖魔鬼怪一旦跑出瓶子,它们就会伤害很多人,甚至它们的创造者。尤其是情报机构自己创造的妖怪。”
谁来决定是否有利于更广大的公众利益
从2010年以来,美国政府一直在推行一项名为Vulnerabilities Equities Process的项目。这个项目要求获得漏洞信息的情报机构在政府内部分享相关信息,以进行评估。然后,根据每个漏洞的情况来决定是告知企业这个漏洞,以便它们发布安全补丁,保护用户的安全,还是保留这个漏洞用于进行间谍活动,以谋求更广大公众的利益。
迄今为止,这个项目被证明并不完善。事实上,有证据表明,一些政府机构甚至阻扰解决这些漏洞。“一方面,情报机构宣称要保留这些漏洞信息,将它们用于间谍活动,另一方面他们又不断地泄露这些漏洞信息,或者被黑客窃走这些信息,而且它们似乎不用为这样给公众造成的危害负责。”电子前线基金会(Electronic Frontier Foundation)的律师安得烈-克罗克(Andrew Crocker)说,“我们需要改革Vulnerabilities Equities Process项目或类似的项目,确保相关机构对其安全威胁负责。”
专家称,一个可能的办法就是创造一个机制,让牵扯到自身产品漏洞的科技公司参与情报监督。这样做可能悖逆了情报机构早已习惯的独立性和保密性,但是这些科技公司可以牵制情报机构,因为一旦利用其漏洞的间谍工具泄露,这些公司将要承担很大的责任。“这里必须有一个平衡。”康奈尔大学电脑工程教授史蒂芬-维克(Stephen Wicker)说,“科技企业必须参与进来。”
我们没有理由相信,情报机构将会停止搜集和利用尚未曝光的漏洞信息。但是,WannaCry勒索病毒攻击事件对于情报机构来说是一个警钟,这个警钟要比以往任何事件都令人振聋发聩。因为它对于重要公共服务如医院的影响面太大了。“它是否会导致情报机构内部出现改变,我们公众不得而知。但是,应该有像议会监督和汇报等外部监督机制。”电子前线基金会的克罗克说,“现在,人们似乎都认为,情报行业也很需要透明度、汇报、监督和审查机制。”
政府机构减少类似事件发生的一个办法就是投入更多人力物力来保护其数字间谍工具的安全。当然,绝对的安全是不可能的,但是情报机构的控制力度越大,那么这些间谍工具构成的危害就会越少。
“没有这些工具,你就无法从事现代间谍活动。”哥伦比亚大学的希利说,“如果你希望知道伊斯兰国组织在做什么,如果你希望跟踪中亚的核武器,如果你希望打击贩卖钚的走私者,这就是你需要的核心间谍工具。但是,公共政策的最低要求就是,如果你准备将美国企业开发的、美国国民依赖的IT技术变成武器,那么你至少要保护好这种武器,不要轻易就被黑客偷走了。”
