按照教科書上的定義,漏洞是在計算機信息系統或網絡的硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權的情況下訪問或破壞系統。系統存在漏洞,用大白話說就是好比雞蛋裂了個縫招來了蒼蠅,漁網破了個洞撈不到魚兒,城墻缺了個角防不住敵人。因此,一旦發現漏洞,人們都會相應地采取防護措施,或打上補丁,或更換升級。
而所謂的零日漏洞(0-day)就是尚未被軟硬件生產商或協議制定者所知的安全缺陷。既然廠商不知情,有效的防護措施也就無從談起。因此利用零日漏洞來入侵計算機系統和網絡最為有效,能夠做到“一招斃命”。
在大多數情況下,安全研究人員發現零日漏洞時會及時通知廠商,使漏洞能得到及時修復。但當有人想要利用一個漏洞進行網絡犯罪,或者有政府想借此開展情報收集工作甚至于網絡攻擊,自然會隱瞞這些信息,讓所有含有此缺陷的計算機系統和網絡毫不設防。面對漏洞的巨大誘惑,是公開,還是利用?讓我們看看美國政府是怎么選擇的吧。
美國政府神秘的零日漏洞政策
2013年,前白宮網絡安全顧問理查德·克拉克在接受媒體采訪時曾說,“如果美國政府掌握了一個可以被利用的漏洞,在通常情況下其首要職責是告訴美國用戶。應該有一些機制來決定政府如何使用這一信息,用于進攻還是用于防守。但這樣的機制目前并未存在。”
日前,美國聯邦調查局公布了一份名為《商業和政府信息技術及工業控制產品或系統漏洞政策及規程》的文件。文件顯示,實際上早在2010年2月,美國政府就設立了成型的決策機制,以決定在政府部門發現某一軟件漏洞后,是要及時公布使漏洞盡快修復,還是秘而不宣留作他用。由于這份文件僅僅描述了決策流程,美國政府的零日漏洞政策依然被蒙上層層面紗。外界無法確切知道在“情報收集”、“調查事項”和“信息安全保障”三者之間,美國政府是如何做到“對整體利益最好的決策”。
2014年,安全協議OpenSSL被曝存在嚴重安全漏洞“心臟出血”,可導致用戶大量隱私信息,包括登錄名甚至是密碼等被黑客竊取,在全球互聯網掀起一陣巨浪。而彭博社隨后的報道更是重磅:美國國家安全局早在2012年就已經掌握了“心臟流血”這一漏洞信息;而奧巴馬政府并沒有及時將這一消息公布,甚至還將這個漏洞作為自己收集、監視用戶網絡數據的有力武器之一。
可想而知,奧巴馬和美國國安局當然對此堅決否認。可許多人的懷疑并沒有因此散去,畢竟即便奧巴馬確實要求國家安全局將其發現的網絡漏洞等安全隱患公開告訴民眾,但他也明確地開了個口子:“出于某些顯而易見的需要抑或是保護國家安全的需要”,可以對一些漏洞保持沉默,并加以合理使用。猜猜誰來具體解釋“顯而易見的需要”和“保護國家安全”?美國政府。
近來,一些美國媒體報道,至少在2015年以前,美政府的零日漏洞政策明顯偏向了利用漏洞而非公開漏洞。實際情況是不是這樣,外界不得而知,但看看美國政府在其他兩個方面的做法,也許就能猜個八九不離十。
美國政府被指是漏洞市場上的大買家
近日,美國海軍相關部門在一份請求安全業界協助的文檔中表示,希望安全專家能向其出售“軟件漏洞情報、漏洞攻擊報告以及進行攻擊的二進制文件等等”。美國海軍表示,這些尚未獲得修補的漏洞,一是必須來自于有關大量用戶使用和依賴的商用軟件,二是零日漏洞或是N日漏洞(漏洞發現時間不超過6個月),因為這些軟件漏洞剛被發現,相關的軟件企業尚未發布補丁或者升級,因此可被美軍網絡戰部門加以利用。美國海軍此次公開對外出資收購未修補的商業軟件漏洞,其價格體系尚不得而知。
在今年4月,美國五角大樓對外公布了新版的網絡安全戰略概要。五角大樓認為,今天美國政府和企業受到網絡攻擊風險比過去更加嚴重和復雜,因此美國軍方必須能夠為美國政府提供應對各種沖突的選項,其中包括利用網絡對敵方的指揮和控制系統進行打擊。美國媒體據此分析指出,美海軍收購軟件漏洞的重要目的,是為對其他同樣使用這些商用軟件的國家和機構發起網絡攻擊做準備。
而早在2013年5月,路透社就曾發表特別報告指出,美國政府是零日漏洞黑市的最大買家。在黑市上,私營公司雇傭了專業技術人員和開發人員來發現漏洞,并同時開發出利用漏洞的代碼,然后兜售。“這些零日漏洞起價5萬美金。影響漏洞價格的因素包括漏洞所利用的商業系統的裝機量以及漏洞能在多長時間內不被公開。”據路透社的總結:“美國國家安全局和國防部在獲取商業系統漏洞的工作上投入了巨大的成本,不斷嘗試利用這些漏洞的方式。”
美國政府欲定新規堵住漏洞外流
同樣是最近,美國商務部下屬的工業與安全局提出新的《瓦森納協定》落實規則的草案,接受公眾評議,時間截至今年7月31日。《瓦森納協定》的全稱是《關于常規武器和兩用物品及技術出口控制的瓦森納安排》(The Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Good and Technologies)。它是世界主要的工業設備和武器制造國于1996年成立的一個旨在控制常規武器和高新技術貿易的國際性組織。目前,《瓦森納協定》有41個成員國,包括美國、日本、英國等。
《瓦森納協定》規定了兩份控制清單:一份是武器控制清單;另一份是涵蓋多數高科技成果的所謂“軍民兩用”技術清單,其中就包含特定類別的計算機軟件程序。《瓦森納協定》通過成員國間的信息通報制度,提高常規武器和雙用途物品及技術轉讓的透明度,以達到監督和控制的目的。《瓦森納協定》聲稱不針對任何國家和國家集團,不妨礙正常的民間貿易,也不干涉通過合法方式獲得自衛武器的權力,但無論從其成員國的組成還是該機制的現實運行情況看,《瓦森納協定》成員國在重要的技術出口決策上受到美國的影響,且具有明顯的集團性質和針對發展中國家的特點。
對于美國商務部提出的《瓦森納協定》新落實規則草案,不少信息安全業界人士認為,其中關于入侵軟件的定義過于寬泛,合法的漏洞研究和驗證將有可能受到監管。而美商務部工業與安全局局長蘭迪·惠勒也毫不避諱,于日前公開確認,新規則的確意在對漏洞利用、零日漏洞、入侵軟件進行開發、測試、評估、產品化進行限制,即美國企業或個人向境外廠商報告漏洞情況是一種出口行為,需預先申請政府許可,否則將被視為非法。
也就是說,通過推出許可申請的規定,美國政府可以將早于境外廠商掌握漏洞情況,且屆時美政府有各種理由可做出不予許可的決定。從這個意義上來說,如果新的實施規則通過,美國政府在掌握漏洞和限制網絡攻擊工具擴散方面就擁有了十分有利的手段。
漏洞信息已成兵家必爭之地
在信息安全領域,美國的實力,包括發現漏洞的能力,首屈一指。現在,美政府一方面斥巨資在全球范圍內購買尚未獲得修補的常用軟件漏洞;另一方面,提出新的《瓦森納協定》落實規定草案,要求美國的企業和研究人員在發現漏洞后先與政府共享漏洞細節,才能通知境外受影響的廠商,以此限制這些漏洞的有關信息流向境外。
通過這“一收”和“一堵”,美國有效增強了對漏洞“國家掌控”的程度,不斷地為自己的網絡戰武器庫“填充彈藥”。在最大程度地取得了對漏洞信息的掌控后,美國將會怎么做,相信讀者都應該能做出自己的判斷了。可以說,漏洞信息已經成為名副其實的兵家必爭之地,也成為值得中國政府高度重視的現實課題。
京公網安備 11010502049343號