哥倫比亞大學(xué)研究發(fā)現(xiàn):雖然有人懷疑美國政府手握大量零日安全漏洞,但事實(shí)上數(shù)量可能也不過幾十個而已。
本月初拉斯維加斯舉行的 DEF CON 黑客大會上,哥倫比亞大學(xué)國際和公共事務(wù)學(xué)院高級研究學(xué)者杰森·海利做了發(fā)言,公布了他的學(xué)生為探明美國秘密掌握的關(guān)鍵漏洞數(shù)量而做的嘗試。
通過將軟件漏洞秘而不宣,讓開發(fā)人員意識不到該打補(bǔ)丁,政府機(jī)構(gòu)便可利用這些漏洞來攻擊目標(biāo)。這里存在的一個問題是,個人黑客同樣可以找到并利用這些漏洞來給自己找樂子或是牟利。
海利曾預(yù)計(jì)這些漏洞數(shù)量會高達(dá)幾千個,但研究結(jié)果表明,漏洞總數(shù)不會超過50個。
海利是計(jì)算機(jī)網(wǎng)絡(luò)防御聯(lián)合行動隊(duì)的創(chuàng)立成員,這是世界上第一個聯(lián)合網(wǎng)絡(luò)戰(zhàn)小隊(duì),密切關(guān)注著華盛頓特區(qū)的情況。他承認(rèn),我們永遠(yuǎn)不會知道漏洞數(shù)量的確切數(shù)字,但公開的文件、斯諾登泄露的數(shù)據(jù)、情報人員的訪談,以及總統(tǒng)文件都顯示,美國政府儲備的漏洞數(shù)量遠(yuǎn)遠(yuǎn)少于人們的猜測。
計(jì)算機(jī)漏洞的使用分裂了政府部門,這對研究人員而言是個優(yōu)勢,雙方暫時是處于對立面的。一方面,我們有國防部和情報機(jī)構(gòu),這倆都是想要囤積秘密零日漏洞來從事間諜和網(wǎng)絡(luò)戰(zhàn)活動的。另一方面,商務(wù)部、財(cái)政部和國土安全部又希望這些漏洞盡快補(bǔ)好。
據(jù)記載,美國自90年代起就一直在用零日漏洞。90年代中期,國家安全局(NSA)成立信息作戰(zhàn)技術(shù)中心,以管理其儲備的漏洞和漏洞利用工具。該中心受處理網(wǎng)絡(luò)防御的信息保障處(IAD)管轄,而不是專黑對手的定制訪問作戰(zhàn)(TAO)部隊(duì)。這倒是一個令人歡欣鼓舞的跡象。
2002年,16號國家安全總統(tǒng)令頒布,提出了網(wǎng)絡(luò)戰(zhàn)指南。這份至今保密的總統(tǒng)令中有章節(jié)規(guī)定:每個情報機(jī)構(gòu)的主管有責(zé)任管理其儲備的零日漏洞,以及決定是否告知廠商進(jìn)行修復(fù)。然而,這些條款并未編撰進(jìn)政府部門的正式指導(dǎo)意見中。
注意,前方高能
奧巴馬政府改變了游戲規(guī)則。
自斯諾登泄密案發(fā),白宮制定了一項(xiàng)政策,規(guī)定漏洞默認(rèn)要告知廠商。如果政府部門希望漏洞保密,必須向總統(tǒng)管轄的行政部門提出申請。
曾出現(xiàn)過要給國家安全事務(wù)和司法網(wǎng)開一面的趨勢,這或許相當(dāng)于直接給了FBI和NSA無視規(guī)則的特權(quán)。但是,心臟滴血漏洞的發(fā)現(xiàn)阻止了這一趨勢的蔓延。NSA被迫出面否認(rèn)其事先知曉該可被利用的編程漏洞。好吧,NSA的開誠布公夠令人震驚的。
電子前沿基金會得到的文件顯示,NSA在本屆總統(tǒng)轄下向廠商報告了其掌握漏洞的91%。不過,這僅僅是NSA的數(shù)據(jù),鬼知道CIA(中央情報局)和其他機(jī)構(gòu)手里還捏著多少隱藏的王牌。
規(guī)避新規(guī)的方法還有很多。從訪談中可以看出,F(xiàn)BI黑進(jìn)iPhone的方法就不受新規(guī)限制,因?yàn)榧夹g(shù)上講,F(xiàn)BI僅僅是購買了一個工具來破解智能手機(jī),而不是購買具體破解方法。
確實(shí),2013年,NSA有2310萬美元的計(jì)算機(jī)漏洞購買和管理預(yù)算。鑒于此類破解的費(fèi)率,該機(jī)構(gòu)大約可承受75個關(guān)鍵零日漏洞——數(shù)字也可能會更大。
考慮到漏洞中大多數(shù)都會被公布,其他很多漏洞又會被研究人員獨(dú)立發(fā)現(xiàn),NSA很可能只握有幾十個零日漏洞。這一點(diǎn),在斯諾登,或者哪個不具名人士,泄露了TAO部隊(duì)黑客目錄的時候得到了證實(shí)。該目錄列出了50個TAO手冊上的軟件漏洞。
海利稱,他向前NSA局長邁克爾·海登和前IAD處長迪基·喬治求證過他的研究結(jié)果。二位都證實(shí)他拿出的數(shù)字是準(zhǔn)確的,喬治還說NSA每年只保留3到4個漏洞。
海利承認(rèn),我們可能永遠(yuǎn)不會知道所有政府機(jī)構(gòu)掌握的零日漏洞到底有多少。但研究顯示,這一數(shù)字很可能比我們想象的要少得多。他同時指出,其他國家也在收割這些漏洞,弄清其他國家掌握的秘密漏洞數(shù)量比弄清美國政府機(jī)構(gòu)的要難得多。
京公網(wǎng)安備 11010502049343號