《赫芬頓郵報(bào)》網(wǎng)站發(fā)表文章稱,美國政府情報(bào)機(jī)構(gòu)會(huì)專門搜索消費(fèi)者產(chǎn)品中的漏洞信息,然后在政府內(nèi)部進(jìn)行評(píng)估,哪些漏洞信息可以通知相關(guān)企業(yè),讓其開發(fā)相應(yīng)安全補(bǔ)丁,哪些漏洞信息應(yīng)進(jìn)行保密,并用于間諜活動(dòng),從而為更廣大的公眾利益服務(wù)。
但是,WannaCry勒索病毒的大規(guī)模攻擊活動(dòng)讓人們開始思考政府機(jī)構(gòu)這樣做是否存在問題。專家指出,情報(bào)機(jī)構(gòu)也需要監(jiān)督和審查機(jī)制,涉及到自身產(chǎn)品漏洞的科技企業(yè)應(yīng)該參與情報(bào)監(jiān)督。
據(jù)外媒報(bào)道,WannaCry勒索病毒肆虐全球已有好幾天了,它影響了150個(gè)國家的20萬個(gè)用戶和1萬個(gè)組織。而且,它在未來繼續(xù)作惡的威脅依然存在。
WannaCry病毒的普遍性表明了大規(guī)模勒索病毒攻擊有多么可怕。它威脅到了公共基礎(chǔ)設(shè)施、商業(yè)活動(dòng)和人們的生活。但是,這個(gè)事件的意義遠(yuǎn)不止如此。此次勒索病毒攻擊活動(dòng)不僅彰顯了安全專家必須面對(duì)的嚴(yán)峻問題,而是顯示了網(wǎng)絡(luò)安全保護(hù)措施有多么重要,以及當(dāng)系統(tǒng)和設(shè)備沒有安全保障的時(shí)候后果有多么嚴(yán)重。
WannaCry病毒的影響范圍讓人們又開始了探討一個(gè)由來已久的問題:在政府情報(bào)機(jī)構(gòu)悄悄利用消費(fèi)者產(chǎn)品中的安全漏洞時(shí),公眾將會(huì)面臨多大的安全威脅?
搜集和儲(chǔ)備漏洞
WannaCry利用了Windows服務(wù)器中存在的一個(gè)名為EternalBlue的漏洞。NSA(美國國家安全局)發(fā)現(xiàn)了這個(gè)漏洞,并悄悄儲(chǔ)備了起來。但是,有關(guān)這個(gè)漏洞的信息以及如何利用它的信息被一個(gè)名為Shadow Brokers的黑客組織竊走,并公之于眾。微軟在3月中旬發(fā)布了漏洞補(bǔ)丁,但是很多電腦和服務(wù)器實(shí)際并沒有接到這個(gè)補(bǔ)丁,依然暴露在危險(xiǎn)之中。
保留漏洞信息,而不是直接告知企業(yè),這是NSA進(jìn)行間諜活動(dòng)的通常做法,它的出發(fā)點(diǎn)也是為了保護(hù)公眾的安全。但是,它實(shí)際上造成了很大的危害。現(xiàn)在沒有跡象表明像NSA這樣的政府機(jī)構(gòu)會(huì)在未來停止這種做法。
“即使NSA和美國政府這樣做是正確的,我們也有權(quán)對(duì)此表示憤怒。這就好比警察弄丟了槍支,結(jié)果被不法分子用于犯罪。這讓我們感到憤慨。”哥倫比亞大學(xué)的網(wǎng)絡(luò)沖突研究員杰森-希利(Jason Healey)說。他的研究方向是美國政府現(xiàn)有的漏洞披露機(jī)制。“我想,政府的通常反應(yīng)就是:‘瞧,這是間諜活動(dòng)。這就是游戲的玩法。不要大驚小怪了。’但是,人們感到憤怒是情有可原的,政府需要想出處理這個(gè)問題的更好辦法。”
當(dāng)然,很多人憤怒的是NSA間諜工具怎么就被竊走、泄露,然后被利用來危害全世界的組織和個(gè)人。
“這就好比美國軍方的戰(zhàn)斧導(dǎo)彈失竊。”微軟總裁兼首席法務(wù)官布拉德-史密斯(Brad Smith)說,“此次勒索病毒攻擊再次證明政府儲(chǔ)備漏洞信息的做法是有問題的。我們需要政府考慮儲(chǔ)備和利用這些漏洞信息給公眾造成的危害。”
與此同時(shí),同樣重要的是科技公司應(yīng)及時(shí)發(fā)布漏洞補(bǔ)丁,并確保用戶(組織和個(gè)人)安裝這些補(bǔ)丁。專家認(rèn)為,科技行業(yè)及其用戶也應(yīng)該對(duì)此次勒索病毒攻擊事件負(fù)責(zé),因?yàn)槲④洶l(fā)布了安全補(bǔ)丁,但是很多用戶并沒有安裝它。全球情報(bào)機(jī)構(gòu)保留漏洞信息妨礙了企業(yè)開發(fā)相應(yīng)補(bǔ)丁,以及用戶安裝補(bǔ)丁。俄羅斯總統(tǒng)普京稱,“像這樣的妖魔鬼怪一旦跑出瓶子,它們就會(huì)傷害很多人,甚至它們的創(chuàng)造者。尤其是情報(bào)機(jī)構(gòu)自己創(chuàng)造的妖怪。”
誰來決定是否有利于更廣大的公眾利益
從2010年以來,美國政府一直在推行一項(xiàng)名為Vulnerabilities Equities Process的項(xiàng)目。這個(gè)項(xiàng)目要求獲得漏洞信息的情報(bào)機(jī)構(gòu)在政府內(nèi)部分享相關(guān)信息,以進(jìn)行評(píng)估。然后,根據(jù)每個(gè)漏洞的情況來決定是告知企業(yè)這個(gè)漏洞,以便它們發(fā)布安全補(bǔ)丁,保護(hù)用戶的安全,還是保留這個(gè)漏洞用于進(jìn)行間諜活動(dòng),以謀求更廣大公眾的利益。
迄今為止,這個(gè)項(xiàng)目被證明并不完善。事實(shí)上,有證據(jù)表明,一些政府機(jī)構(gòu)甚至阻擾解決這些漏洞。“一方面,情報(bào)機(jī)構(gòu)宣稱要保留這些漏洞信息,將它們用于間諜活動(dòng),另一方面他們又不斷地泄露這些漏洞信息,或者被黑客竊走這些信息,而且它們似乎不用為這樣給公眾造成的危害負(fù)責(zé)。”電子前線基金會(huì)(Electronic Frontier Foundation)的律師安得烈-克羅克(Andrew Crocker)說,“我們需要改革Vulnerabilities Equities Process項(xiàng)目或類似的項(xiàng)目,確保相關(guān)機(jī)構(gòu)對(duì)其安全威脅負(fù)責(zé)。”
專家稱,一個(gè)可能的辦法就是創(chuàng)造一個(gè)機(jī)制,讓牽扯到自身產(chǎn)品漏洞的科技公司參與情報(bào)監(jiān)督。這樣做可能悖逆了情報(bào)機(jī)構(gòu)早已習(xí)慣的獨(dú)立性和保密性,但是這些科技公司可以牽制情報(bào)機(jī)構(gòu),因?yàn)橐坏├闷渎┒吹拈g諜工具泄露,這些公司將要承擔(dān)很大的責(zé)任。“這里必須有一個(gè)平衡。”康奈爾大學(xué)電腦工程教授史蒂芬-維克(Stephen Wicker)說,“科技企業(yè)必須參與進(jìn)來。”
我們沒有理由相信,情報(bào)機(jī)構(gòu)將會(huì)停止搜集和利用尚未曝光的漏洞信息。但是,WannaCry勒索病毒攻擊事件對(duì)于情報(bào)機(jī)構(gòu)來說是一個(gè)警鐘,這個(gè)警鐘要比以往任何事件都令人振聾發(fā)聵。因?yàn)樗鼘?duì)于重要公共服務(wù)如醫(yī)院的影響面太大了。“它是否會(huì)導(dǎo)致情報(bào)機(jī)構(gòu)內(nèi)部出現(xiàn)改變,我們公眾不得而知。但是,應(yīng)該有像議會(huì)監(jiān)督和匯報(bào)等外部監(jiān)督機(jī)制。”電子前線基金會(huì)的克羅克說,“現(xiàn)在,人們似乎都認(rèn)為,情報(bào)行業(yè)也很需要透明度、匯報(bào)、監(jiān)督和審查機(jī)制。”
政府機(jī)構(gòu)減少類似事件發(fā)生的一個(gè)辦法就是投入更多人力物力來保護(hù)其數(shù)字間諜工具的安全。當(dāng)然,絕對(duì)的安全是不可能的,但是情報(bào)機(jī)構(gòu)的控制力度越大,那么這些間諜工具構(gòu)成的危害就會(huì)越少。
“沒有這些工具,你就無法從事現(xiàn)代間諜活動(dòng)。”哥倫比亞大學(xué)的希利說,“如果你希望知道伊斯蘭國組織在做什么,如果你希望跟蹤中亞的核武器,如果你希望打擊販賣钚的走私者,這就是你需要的核心間諜工具。但是,公共政策的最低要求就是,如果你準(zhǔn)備將美國企業(yè)開發(fā)的、美國國民依賴的IT技術(shù)變成武器,那么你至少要保護(hù)好這種武器,不要輕易就被黑客偷走了。”
京公網(wǎng)安備 11010502049343號(hào)