漏洞库成维护国家安全的重要战略资源.docVIP

漏洞库成维护国家安全的重要战略资源 按照教科书上的定义，漏洞是在计算机信息系统或网络的硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。系统存在漏洞，用大白话说就是好比鸡蛋裂了个缝招来了苍蝇，渔网破了个洞捞不到鱼儿，城墙缺了个角防不住敌人。因此，一旦发现漏洞，人们都会相应地采取防护措施，或打上补丁，或更换升级。 而所谓的零日漏洞（0-day）就是尚未被软硬件生产商或协议制定者所知的安全缺陷。既然厂商不知情，有效的防护措施也就无从谈起。因此利用零日漏洞来入侵计算机系统和网络最为有效，能够做到“一招毙命”。 在大多数情况下，安全研究人员发现零日漏洞时会及时通知厂商，使漏洞能得到及时修复。但当有人想要利用一个漏洞进行网络犯罪，或者有政府想借此开展情报收集工作甚至于网络攻击，自然会隐瞒这些信息，让所有含有此缺陷的计算机系统和网络毫不设防。面对漏洞的巨大诱惑，是公开，还是利用？让我们看看美国政府是怎么选择的吧。 美国政府神秘的零日漏洞政策 2013年，前白宫网络安全顾问理查德?克拉克在接受媒体采访时曾说，“如果美国政府掌握了一个可以被利用的漏洞，在通常情况下其首要职责是告诉美国用户。应该有一些机制来决定政府如何使用这一信息，用于进攻还是用于防守。但这样的机制目前并未存在。” 日前，美国联邦调查局公布了一份名为《商业和政府信息技术及工业控制产品或系统漏洞政策及规程》的文件。文件显示，实际上早在2010年2月，美国政府就设立了成型的决策机制，以决定在政府部门发现某一软件漏洞后，是要及时公布使漏洞尽快修复，还是秘而不宣留作他用。由于这份文件仅仅描述了决策流程，美国政府的零日漏洞政策依然被蒙上层层面纱。外界无法确切知道在“情报收集”、“调查事项”和“信息安全保障”三者之间，美国政府是如何做到“对整体利益最好的决策”。 2014年，安全协议OpenSSL被曝存在严重安全漏洞“心脏出血”，可导致用户大量隐私信息，包括登录名甚至是密码等被黑客窃取，在全球互联网掀起一阵巨浪。而彭博社随后的报道更是重磅：美国国家安全局早在2012年就已经掌握了“心脏流血”这一漏洞信息；而奥巴马政府并没有及时将这一消息公布，甚至还将这个漏洞作为自己收集、监视用户网络数据的有力武器之一。 可想而知，奥巴马和美国国安局当然对此坚决否认。可许多人的怀疑并没有因此散去，毕竟即便奥巴马确实要求国家安全局将其发现的网络漏洞等安全隐患公开告诉民众，但他也明确地开了个口子：“出于某些显而易见的需要抑或是保护国家安全的需要”，可以对一些漏洞保持沉默，并加以合理使用。猜猜谁来具体解释“显而易见的需要”和“保护国家安全”？美国政府。 近来，一些美国媒体报道，至少在2015年以前，美政府的零日漏洞政策明显偏向了利用漏洞而非公开漏洞。实际情况是不是这样，外界不得而知，但看看美国政府在其他两个方面的做法，也许就能猜个八九不离十。 美国政府被指是漏洞市场上的大买家 近日，美国海军相关部门在一份请求安全业界协助的文档中表示，希望安全专家能向其出售“软件漏洞情报、漏洞攻击报告以及进行攻击的二进制文件等等”。美国海军表示，这些尚未获得修补的漏洞，一是必须来自于有关大量用户使用和依赖的商用软件，二是零日漏洞或是N日漏洞（漏洞发现时间不超过6个月），因为这些软件漏洞刚被发现，相关的软件企业尚未发布补丁或者升级，因此可被美军网络战部门加以利用。美国海军此次公开对外出资收购未修补的商业软件漏洞，其价格体系尚不得而知。 在今年4月，美国五角大楼对外公布了新版的网络安全战略概要。五角大楼认为，今天美国政府和企业受到网络攻击风险比过去更加严重和复杂，因此美国军方必须能够为美国政府提供应对各种冲突的选项，其中包括利用网络对敌方的指挥和控制系统进行打击。美国媒体据此分析指出，美海军收购软件漏洞的重要目的，是为对其他同样使用这些商用软件的国家和机构发起网络攻击做准备。 而早在2013年5月，路透社就曾发表特别报告指出，美国政府是零日漏洞黑市的最大买家。在黑市上，私营公司雇佣了专业技术人员和开发人员来发现漏洞，并同时开发出利用漏洞的代码，然后兜售。“这些零日漏洞起价5万美金。影响漏洞价格的因素包括漏洞所利用的商业系统的装机量以及漏洞能在多长时间内不被公开。”据路透社的总结：“美国国家安全局和国防部在获取商业系统漏洞的工作上投入了巨大的成本，不断尝试利用这些漏洞的方式。” 美国政府欲定新规堵住漏洞外流 同样是最近，美国商务部下属的工业与安全局提出新的《瓦森纳协定》落实规则的草案，接受公众评议，时间截至今年7月31日。《瓦森纳协定》的全称是《关于常规武器和两用物品及技术出口控制的瓦森纳安排》（The Wassenaar Arrangement on Export Control