漏洞庫(kù)成維護(hù)國(guó)家安全的重要戰(zhàn)略資源

責(zé)任編輯:editor007

作者:青硯

2015-07-13 17:32:15

摘自:人民網(wǎng)-中國(guó)經(jīng)濟(jì)周刊

按照教科書上的定義,漏洞是在計(jì)算機(jī)信息系統(tǒng)或網(wǎng)絡(luò)的硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權(quán)的情況下訪問(wèn)或破壞系統(tǒng)。

按照教科書上的定義,漏洞是在計(jì)算機(jī)信息系統(tǒng)或網(wǎng)絡(luò)的硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷,從而可以使攻擊者能夠在未授權(quán)的情況下訪問(wèn)或破壞系統(tǒng)。系統(tǒng)存在漏洞,用大白話說(shuō)就是好比雞蛋裂了個(gè)縫招來(lái)了蒼蠅,漁網(wǎng)破了個(gè)洞撈不到魚兒,城墻缺了個(gè)角防不住敵人。因此,一旦發(fā)現(xiàn)漏洞,人們都會(huì)相應(yīng)地采取防護(hù)措施,或打上補(bǔ)丁,或更換升級(jí)。

而所謂的零日漏洞(0-day)就是尚未被軟硬件生產(chǎn)商或協(xié)議制定者所知的安全缺陷。既然廠商不知情,有效的防護(hù)措施也就無(wú)從談起。因此利用零日漏洞來(lái)入侵計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)最為有效,能夠做到“一招斃命”。

在大多數(shù)情況下,安全研究人員發(fā)現(xiàn)零日漏洞時(shí)會(huì)及時(shí)通知廠商,使漏洞能得到及時(shí)修復(fù)。但當(dāng)有人想要利用一個(gè)漏洞進(jìn)行網(wǎng)絡(luò)犯罪,或者有政府想借此開展情報(bào)收集工作甚至于網(wǎng)絡(luò)攻擊,自然會(huì)隱瞞這些信息,讓所有含有此缺陷的計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)毫不設(shè)防。面對(duì)漏洞的巨大誘惑,是公開,還是利用?讓我們看看美國(guó)政府是怎么選擇的吧。

美國(guó)政府神秘的零日漏洞政策

2013年,前白宮網(wǎng)絡(luò)安全顧問(wèn)理查德·克拉克在接受媒體采訪時(shí)曾說(shuō),“如果美國(guó)政府掌握了一個(gè)可以被利用的漏洞,在通常情況下其首要職責(zé)是告訴美國(guó)用戶。應(yīng)該有一些機(jī)制來(lái)決定政府如何使用這一信息,用于進(jìn)攻還是用于防守。但這樣的機(jī)制目前并未存在。”

日前,美國(guó)聯(lián)邦調(diào)查局公布了一份名為《商業(yè)和政府信息技術(shù)及工業(yè)控制產(chǎn)品或系統(tǒng)漏洞政策及規(guī)程》的文件。文件顯示,實(shí)際上早在2010年2月,美國(guó)政府就設(shè)立了成型的決策機(jī)制,以決定在政府部門發(fā)現(xiàn)某一軟件漏洞后,是要及時(shí)公布使漏洞盡快修復(fù),還是秘而不宣留作他用。由于這份文件僅僅描述了決策流程,美國(guó)政府的零日漏洞政策依然被蒙上層層面紗。外界無(wú)法確切知道在“情報(bào)收集”、“調(diào)查事項(xiàng)”和“信息安全保障”三者之間,美國(guó)政府是如何做到“對(duì)整體利益最好的決策”。

2014年,安全協(xié)議OpenSSL被曝存在嚴(yán)重安全漏洞“心臟出血”,可導(dǎo)致用戶大量隱私信息,包括登錄名甚至是密碼等被黑客竊取,在全球互聯(lián)網(wǎng)掀起一陣巨浪。而彭博社隨后的報(bào)道更是重磅:美國(guó)國(guó)家安全局早在2012年就已經(jīng)掌握了“心臟流血”這一漏洞信息;而奧巴馬政府并沒(méi)有及時(shí)將這一消息公布,甚至還將這個(gè)漏洞作為自己收集、監(jiān)視用戶網(wǎng)絡(luò)數(shù)據(jù)的有力武器之一。

可想而知,奧巴馬和美國(guó)國(guó)安局當(dāng)然對(duì)此堅(jiān)決否認(rèn)??稍S多人的懷疑并沒(méi)有因此散去,畢竟即便奧巴馬確實(shí)要求國(guó)家安全局將其發(fā)現(xiàn)的網(wǎng)絡(luò)漏洞等安全隱患公開告訴民眾,但他也明確地開了個(gè)口子:“出于某些顯而易見的需要抑或是保護(hù)國(guó)家安全的需要”,可以對(duì)一些漏洞保持沉默,并加以合理使用。猜猜誰(shuí)來(lái)具體解釋“顯而易見的需要”和“保護(hù)國(guó)家安全”?美國(guó)政府。

近來(lái),一些美國(guó)媒體報(bào)道,至少在2015年以前,美政府的零日漏洞政策明顯偏向了利用漏洞而非公開漏洞。實(shí)際情況是不是這樣,外界不得而知,但看看美國(guó)政府在其他兩個(gè)方面的做法,也許就能猜個(gè)八九不離十。

美國(guó)政府被指是漏洞市場(chǎng)上的大買家

近日,美國(guó)海軍相關(guān)部門在一份請(qǐng)求安全業(yè)界協(xié)助的文檔中表示,希望安全專家能向其出售“軟件漏洞情報(bào)、漏洞攻擊報(bào)告以及進(jìn)行攻擊的二進(jìn)制文件等等”。美國(guó)海軍表示,這些尚未獲得修補(bǔ)的漏洞,一是必須來(lái)自于有關(guān)大量用戶使用和依賴的商用軟件,二是零日漏洞或是N日漏洞(漏洞發(fā)現(xiàn)時(shí)間不超過(guò)6個(gè)月),因?yàn)檫@些軟件漏洞剛被發(fā)現(xiàn),相關(guān)的軟件企業(yè)尚未發(fā)布補(bǔ)丁或者升級(jí),因此可被美軍網(wǎng)絡(luò)戰(zhàn)部門加以利用。美國(guó)海軍此次公開對(duì)外出資收購(gòu)未修補(bǔ)的商業(yè)軟件漏洞,其價(jià)格體系尚不得而知。

在今年4月,美國(guó)五角大樓對(duì)外公布了新版的網(wǎng)絡(luò)安全戰(zhàn)略概要。五角大樓認(rèn)為,今天美國(guó)政府和企業(yè)受到網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)比過(guò)去更加嚴(yán)重和復(fù)雜,因此美國(guó)軍方必須能夠?yàn)槊绹?guó)政府提供應(yīng)對(duì)各種沖突的選項(xiàng),其中包括利用網(wǎng)絡(luò)對(duì)敵方的指揮和控制系統(tǒng)進(jìn)行打擊。美國(guó)媒體據(jù)此分析指出,美海軍收購(gòu)軟件漏洞的重要目的,是為對(duì)其他同樣使用這些商用軟件的國(guó)家和機(jī)構(gòu)發(fā)起網(wǎng)絡(luò)攻擊做準(zhǔn)備。

而早在2013年5月,路透社就曾發(fā)表特別報(bào)告指出,美國(guó)政府是零日漏洞黑市的最大買家。在黑市上,私營(yíng)公司雇傭了專業(yè)技術(shù)人員和開發(fā)人員來(lái)發(fā)現(xiàn)漏洞,并同時(shí)開發(fā)出利用漏洞的代碼,然后兜售。“這些零日漏洞起價(jià)5萬(wàn)美金。影響漏洞價(jià)格的因素包括漏洞所利用的商業(yè)系統(tǒng)的裝機(jī)量以及漏洞能在多長(zhǎng)時(shí)間內(nèi)不被公開。”據(jù)路透社的總結(jié):“美國(guó)國(guó)家安全局和國(guó)防部在獲取商業(yè)系統(tǒng)漏洞的工作上投入了巨大的成本,不斷嘗試?yán)眠@些漏洞的方式。”

美國(guó)政府欲定新規(guī)堵住漏洞外流

同樣是最近,美國(guó)商務(wù)部下屬的工業(yè)與安全局提出新的《瓦森納協(xié)定》落實(shí)規(guī)則的草案,接受公眾評(píng)議,時(shí)間截至今年7月31日。《瓦森納協(xié)定》的全稱是《關(guān)于常規(guī)武器和兩用物品及技術(shù)出口控制的瓦森納安排》(The Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Good and Technologies)。它是世界主要的工業(yè)設(shè)備和武器制造國(guó)于1996年成立的一個(gè)旨在控制常規(guī)武器和高新技術(shù)貿(mào)易的國(guó)際性組織。目前,《瓦森納協(xié)定》有41個(gè)成員國(guó),包括美國(guó)、日本、英國(guó)等。

《瓦森納協(xié)定》規(guī)定了兩份控制清單:一份是武器控制清單;另一份是涵蓋多數(shù)高科技成果的所謂“軍民兩用”技術(shù)清單,其中就包含特定類別的計(jì)算機(jī)軟件程序?!锻呱{協(xié)定》通過(guò)成員國(guó)間的信息通報(bào)制度,提高常規(guī)武器和雙用途物品及技術(shù)轉(zhuǎn)讓的透明度,以達(dá)到監(jiān)督和控制的目的?!锻呱{協(xié)定》聲稱不針對(duì)任何國(guó)家和國(guó)家集團(tuán),不妨礙正常的民間貿(mào)易,也不干涉通過(guò)合法方式獲得自衛(wèi)武器的權(quán)力,但無(wú)論從其成員國(guó)的組成還是該機(jī)制的現(xiàn)實(shí)運(yùn)行情況看,《瓦森納協(xié)定》成員國(guó)在重要的技術(shù)出口決策上受到美國(guó)的影響,且具有明顯的集團(tuán)性質(zhì)和針對(duì)發(fā)展中國(guó)家的特點(diǎn)。

對(duì)于美國(guó)商務(wù)部提出的《瓦森納協(xié)定》新落實(shí)規(guī)則草案,不少信息安全業(yè)界人士認(rèn)為,其中關(guān)于入侵軟件的定義過(guò)于寬泛,合法的漏洞研究和驗(yàn)證將有可能受到監(jiān)管。而美商務(wù)部工業(yè)與安全局局長(zhǎng)蘭迪·惠勒也毫不避諱,于日前公開確認(rèn),新規(guī)則的確意在對(duì)漏洞利用、零日漏洞、入侵軟件進(jìn)行開發(fā)、測(cè)試、評(píng)估、產(chǎn)品化進(jìn)行限制,即美國(guó)企業(yè)或個(gè)人向境外廠商報(bào)告漏洞情況是一種出口行為,需預(yù)先申請(qǐng)政府許可,否則將被視為非法。

也就是說(shuō),通過(guò)推出許可申請(qǐng)的規(guī)定,美國(guó)政府可以將早于境外廠商掌握漏洞情況,且屆時(shí)美政府有各種理由可做出不予許可的決定。從這個(gè)意義上來(lái)說(shuō),如果新的實(shí)施規(guī)則通過(guò),美國(guó)政府在掌握漏洞和限制網(wǎng)絡(luò)攻擊工具擴(kuò)散方面就擁有了十分有利的手段。

漏洞信息已成兵家必爭(zhēng)之地

在信息安全領(lǐng)域,美國(guó)的實(shí)力,包括發(fā)現(xiàn)漏洞的能力,首屈一指。現(xiàn)在,美政府一方面斥巨資在全球范圍內(nèi)購(gòu)買尚未獲得修補(bǔ)的常用軟件漏洞;另一方面,提出新的《瓦森納協(xié)定》落實(shí)規(guī)定草案,要求美國(guó)的企業(yè)和研究人員在發(fā)現(xiàn)漏洞后先與政府共享漏洞細(xì)節(jié),才能通知境外受影響的廠商,以此限制這些漏洞的有關(guān)信息流向境外。

通過(guò)這“一收”和“一堵”,美國(guó)有效增強(qiáng)了對(duì)漏洞“國(guó)家掌控”的程度,不斷地為自己的網(wǎng)絡(luò)戰(zhàn)武器庫(kù)“填充彈藥”。在最大程度地取得了對(duì)漏洞信息的掌控后,美國(guó)將會(huì)怎么做,相信讀者都應(yīng)該能做出自己的判斷了??梢哉f(shuō),漏洞信息已經(jīng)成為名副其實(shí)的兵家必爭(zhēng)之地,也成為值得中國(guó)政府高度重視的現(xiàn)實(shí)課題。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)