公布还是利用?美国政府早在5年前即启动零日漏洞政策
一份新公布的FBI文件又揭露了一点美国政府在零日漏洞利用问题上充满争议的政策。尽管我们所知依然不多,这项神秘政策付诸实施的时间却已给出了最终答案:2010年2月。
直到去年之前,美国政府都不承认将零日漏洞用于攻击用途。本次文件公开之后,白宫接着透露说,政府已建立起权衡机制以确定何时将其发现的零日漏洞通告给厂商去修复,或将之秘而不宣留给国家安全局和其他机构利用来获取情报或服务于司法目的。
不管其如何含糊其辞,左顾右而言他,问题的关键在于这项政策到底是何时确立的。
零日漏洞就是尚未被厂商所知,还没有被修复的软件安全缺陷,对于高级黑客或专业人员来说属于不设防状态。零日漏洞利用就是一段专门编写出来用于攻陷这种漏洞登入计算机系统的恶意代码。安全研究员们发现零日漏洞时,他们通常会及时通知厂商,这样漏洞便能得到及时修复。但当政府想要利用一个漏洞,它就会隐瞒这些信息,让所有含有此缺陷的计算机对网络攻击不设防——包括美国政府的计算机、关键基础设施系统和普通用户的计算机。
迈克尔·丹尼尔,网络安全问题总统特别顾问兼国家安全委员会成员,去年曾向媒体透露:政府在2010年某个时候确立了使用零日漏洞的政策。但他不肯再透露更多信息。很多人猜测,这项政策可能是在2010年7月震网蠕虫被曝光之后制定的。震网用了5个零日漏洞攻入伊朗核设施的电脑,破坏了该国核浓缩计划。但是这份最近被美国民权同盟(ACLU)以公共记录请求之名获取到的FBI记录却提到了一份2010年2月就存在的关于零日漏洞使用的书面政策,比震网蠕虫的发现还早了5个月。
FBI透露,这份政策文件题为《商业和政府信息技术及工业控制产品或系统漏洞政策及规程》,编制日期为2010年2月16日。
电子前沿基金会早前获悉的一份文件揭示:美国政府2008年便成立了一个特别小组专门讨论编制这项政策。特别小组随后建议设立漏洞权衡机制。2008和2009年的某个时候,另一个工作组,由国家情报局局长办公室领导的工作组成立了,其主要任务就是与来自情报界、美国司法部、FBI、国防部、国务院、国土安全部和能源部的代表们共同处理这项建议。与这些机构的商讨贯穿了2008年和2009年,最终他们达成了一项政策。最新披露的这份文件中的时间——2010年2月,就是这项政策被政府最终落实到位的时间。
当国家安全局或其他机构发现了软件漏洞,他们便应用权衡机制判定是秘而不宣获益更多,还是及时公布尽快修复收获更大。直到去年,这一权衡过程明显偏向了利用漏洞而非公开漏洞。于是,由于没能按既定方式实施,政府不得不在去年“复兴”了这项政策。总统的隐私及公民自由监管委员会判定权衡机制未能依照委员会预想的方式展开,暗示被隐瞒的漏洞远比委员会预想的多。
有关漏洞的信息也没有在应该享有决策权的所有机构中共享。
经重新修订的新文件几乎没有提供多少有关权衡机制和政府漏洞利用行为的额外信息。但它确实描述了零日漏洞被发现后的处事顺序。
漏洞首先要经历一个分级过程以确定是否需要“特殊处理”。一旦达到某个特定“阈值”(文件中未透露该阈值具体信息),执行秘书处便会立即得到通知。这里的执行秘书处指的是国家安全局/资讯保证处。然后安全局通知参与权衡过程的其他机构,给他们一个表明是否有利益相关及是否参与进漏洞公开与否的决策过程的机会。
然而,这份文件没有透露的是,参与决策过程的所有机构是否享有同等的话语权。这份文件指出:权衡机制的目的是保证决策“最有利于情报收集、调查事项和信息安全保障。要理解,在绝大多数情况下,这三者不可能同时被满足,但总会做出对整体利益最好的决策。”
美国民权同盟律师内森·韦斯勒说,这就是整个权衡机制的症结所在。
“发现零日漏洞的时候怎样决定应该优先满足哪方面利益正是一切事务依赖的根本。但是,政府官员从来没有解释过他们打算怎样平衡这几个相互竞争的利益点,也没有阐述过他们打算怎么来保证网络安全界的声音可以与司法界的声音一样响亮且享受同等尊重。”
---
要闻/干货/原创/专业 关注“安全牛”