據(jù)國(guó)外媒體報(bào)道,美國(guó)國(guó)家安全局(NSA)上周曾表示,超過(guò)90%時(shí)間里,一旦該機(jī)構(gòu)發(fā)現(xiàn)計(jì)算機(jī)軟件漏洞,就會(huì)告訴美國(guó)的科技公司。但這種陳述具有誤導(dǎo)性,因?yàn)閾?jù)部分現(xiàn)任和前任美國(guó)政府官員透露,NSA通常會(huì)先利用這些漏洞先發(fā)起一波網(wǎng)絡(luò)攻擊。之后NSA才會(huì)將漏洞告訴科技企業(yè)讓他們解決問(wèn)題以及向客戶提供程序升級(jí)。
美國(guó)關(guān)于“零日漏洞”的政策目前具有較大爭(zhēng)議,對(duì)于黑客和間諜人員而言,這些嚴(yán)重的軟件漏洞都是非常有價(jià)值的,因?yàn)樵诼┒瓷形磁吨笆菦](méi)有任何防御措施的。
最著名的“零日漏洞”案例是Stuxnet蠕蟲(chóng)病毒,該病毒是由NSA及其以色列同行共同開(kāi)發(fā),用以入侵伊朗核項(xiàng)目及破壞進(jìn)行鈾濃縮活動(dòng)的離心機(jī)。
在2010年該病毒被發(fā)現(xiàn)之前,Stuxnet利用微軟和西門(mén)子公司軟件中此前未知的漏洞,在不觸發(fā)安全程序的情況下神不知鬼不覺(jué)地入侵到設(shè)施中。
目前已經(jīng)形成了一個(gè)活躍的地下市場(chǎng),專門(mén)進(jìn)行“零日漏洞”的買(mǎi)賣,根據(jù)2013年路透社的報(bào)道,NSA就是全球最大的漏洞買(mǎi)家。該機(jī)構(gòu)還通過(guò)自己的網(wǎng)絡(luò)項(xiàng)目發(fā)現(xiàn)漏洞,并利用部分漏洞來(lái)入侵到海外的計(jì)算機(jī)和電信系統(tǒng),籍此完成自己主要的間諜任務(wù)。
考慮到發(fā)現(xiàn)漏洞的難度以及目標(biāo)軟件的普及程度,部分“零日漏洞”的價(jià)值相對(duì)較高。部分漏洞的售價(jià)最低僅為5萬(wàn)美元,而一位知名的“零日漏洞”中介本周透露,他已經(jīng)同意向一個(gè)團(tuán)隊(duì)支付100萬(wàn)美元,以獲得他們所設(shè)計(jì)的一種入侵已全面升級(jí)的iPhone的途徑。Zerodium公司的Chaouki Bekrar稱,這種iPhone技術(shù)“可能只會(huì)出售給美國(guó)客戶”,包括政府機(jī)構(gòu)以及“非常大型的企業(yè)”。
政府官員稱,將“零日漏洞”用于攻擊還是披露給科技公司及客戶用作防范目的,這兩者間存在“天生的”沖突。
在斯諾登事件以及路透社發(fā)表有關(guān)NSA付費(fèi)讓安全公司RSA在軟件中加入后門(mén)后,一個(gè)白宮的審查小組建議政府的政策應(yīng)該更傾向于防御。
NSA則在其網(wǎng)站上表示,理解這種將大部分漏洞用以防御的需要。“在大部分情況,負(fù)責(zé)任地披露最新發(fā)現(xiàn)的漏洞顯然是符合國(guó)家利益的。”
“但是對(duì)于披露漏洞的決定,也存在合理的利與弊,立即披露與在一定時(shí)間內(nèi)隱瞞所知情況這兩者之間的權(quán)衡,可能導(dǎo)致非常嚴(yán)重的后果。”
“披露漏洞可能意味著,我們放棄了一個(gè)收集重要的外國(guó)情報(bào)的機(jī)會(huì),這些情況可能幫助阻止恐怖襲擊、國(guó)家情報(bào)外泄或泄露更多危險(xiǎn)的漏洞。”