隨著辯論的持續推進,關於政府是否應該囤積或公開披露零日漏洞的問題,仍然沒有一個簡單明確的答案。
在斯諾登事件之後的幾年裡,有關聯邦政府消弱加密標準,在商業軟件中植入後門,以及為了收集數據入侵商業組織等種種行為,都已經引發了相當多的討論。其中最為高調的事件,就是聯邦特工為了獲取聖貝納迪諾槍擊案罪犯使用的iPhone手機數據,而與蘋果公司對簿公堂,使得加密問題引發世界關注。
受到較少關注的反倒是政府使用和存儲零日漏洞。直至最近,RAND公司發佈了一項介紹“零日漏洞存儲與漏洞披露”的學術研究,圍繞漏洞審查過程的相關討論才開始聚焦在公眾視野中。
“零日漏洞”又叫零時差攻擊,指的是被發現後立即被惡意利用的安全漏洞。通俗地講,即安全補丁與瑕疵曝光的同一日內,相關的惡意程序就出現。要利用此類漏洞,需要創建漏洞利用程序。在過去十年中,政府開始大規模使用零日攻擊,此舉為國防承包商和其他發現軟件(和硬件)關鍵漏洞的人,提供了一個利潤豐厚的市場,他們開始不斷向政府出售有關這些漏洞的信息。例如,臭名昭著的Stuxnet——一種用於攻擊伊朗鈾濃縮計劃的數字武器,其當年成名的一個重要原因就在於使用了4個零日漏洞,最終破壞了大約1000臺伊朗離心機。
據悉,支持政府存儲零日漏洞的主要論點是,零日漏洞的發現是一個代價高昂的過程,但是一旦成功,就能夠賦予政府絕對優勢(與未利用零日的對手政府相比),允許其以幾乎無法察覺的方式完成情報收集,甚至能夠禁用或破壞對手國家的基礎設施。
而支持漏洞披露一方的主要論點是,其他各方(包括對手國家)也有可能發現相同的零日漏洞,並可能將其用於攻擊自己的政府和商業實體,因此應該支持漏洞披露,讓受影響的供應商能夠獲取到漏洞信息,用於修復這些危害極大的漏洞。
漏洞披露辯論
大約5年前,在愛德華·斯諾登洩密事件發生後,奧巴馬總統召集了一個總統顧問委員會,指定5人組成“情報和通信技術調查小組”徹查監控事件,並就“如何在保護國家安全利益,推動政府外交政策議程和尊重公民隱私權之間取得平衡”提出了一系列建議。由此產生的308頁的小組評估報告共包含有46項建議,其中就包括零日披露的主題。該報告中的第30條建議指出,如果國家安全局(NSA)發現網絡安全存在重要漏洞,大多數情況下就應該公開信息,確保漏洞獲得修復,而不是保持沉默,以便利用這些漏洞開展間諜活動或網絡攻擊。不過,奧巴馬政府也給出了廣泛的例外情況,前提是“國家安全或執法行動存在明確需要”。這樣的例外可能會允許NSA繼續利用安全缺陷破解網絡加密,設計網絡武器。
很明顯,該小組的建議傾向於支持漏洞披露。作為回應,政府表示:
已經確立零日審查流程,旨在確定發現漏洞時是披露信息,還是對發現的漏洞進行保密處理,以便情報機構加以利用,該審查過程非常嚴謹,且總體傾向於漏洞披露。
然而,當2014年4月出現了一個名為“心臟滴血”(Heartbleed)的新漏洞時,彭博新聞報道稱,NSA“至少在兩年前就已經知道了該漏洞的存在,並且經常用它來收集關鍵情報”。值得注意的是,NSA否認了這一指控,並表示,發現此類漏洞時,政府現在的“傾向”是與電腦及軟件製造商分享信息,以便創建補救措施,並向業內公司及用戶分發。
到了2016年8月,一個自稱為“影子經紀人”(Shadow Brokers)的黑客團體放出了幾乎肯定是屬於NSA的核彈級網路攻擊武器庫,其中就包含了多個零日漏洞。令人擔憂的是,這些漏洞廣泛存在於Cisco、Juniper和Fortinet等安全產品中,且每個產品都被廣泛用於保護美國公司和關鍵基礎設施以及全球其他系統。到了2017年,這些洩露的NSA漏洞還引爆了導致全球癱瘓的Wannacry、Peyta等勒索病毒。
那麼,政府是否接受了專家組的建議?它應該這麼做嗎?
美國國家情報局局長Dan Coats將現如今針對美國基礎設施的網絡攻擊情況,與911事件之前幾個月的網絡攻擊情況進行了比較,並指出:在近20年後的今天,美國再次走到了最危急的時刻。鑑於這種情況,似乎秘密存儲零日武器對於偵察和進攻性活動(特別是對抗國家支持的網絡攻擊者)而言都非常寶貴。
另一方面是資深國家安全學者Joe Nye的評論,他提出:
存儲漏洞優缺點
政府是否應該秘密存儲或是公開披露零日漏洞是一個難以評判的問題,答案不會是簡單的“是”或“否”。在RAND公司發佈的一篇名為《Zero Days, Thousands of Nights: The Life and Times of Zero-Day Vulnerabilities and Their Exploits》的報告中,揭示了零日攻擊及其潛在漏洞的平均壽命為6.9年(也就是約2521天),其中,甚至有25%的零日漏洞存活時間超過了9.5年。
事實上,零日攻擊不僅存活壽命長,而且還能以極快地速度運行。當談及創建漏洞利用所需的時間時,RAND公司發現,大約1/3零日漏洞利用是在一週或更短的時間內開發出來的,此外,大部分是在大約22天內開發完成的。
更重要的是,該報告還深入探討了零日漏洞存儲問題,並假設“如果零日漏洞很難找到,和/或對手發現同一漏洞的可能性很低”,那麼存儲就會變得非常有意義。該研究估計,每年大約只有5.7%的零日漏洞能夠被外部實體發現。因此,“撞車”率,或多方同時發現同一漏洞的可能性非常低。鑑於該原因,
存儲而不是披露漏洞對於進攻型實體而言可能會非常有益。不過,上述引用的2013年總統顧問委員會的報告反駁了RAND公司的結論:
在幾乎所有情況下,消除軟件漏洞而不是將它們用於美國情報收集工作顯然更符合國家利益。消除漏洞——修補它們——能夠加強美國政府、關鍵基礎設施和其他計算機系統的安全性。
《Zero Days, Thousands of Nights: The Life and Times of Zero-Day Vulnerabilities and Their Exploits》的報告原文:
閱讀更多 安全牛 的文章
