美國囤積零日漏洞的標準是什么
責編:gltian |2019-01-25 17:23:53政府應不應該囤積零日漏洞?對這個問題的回答見仁見智。有人覺得將軟件漏洞秘而不宣會影響所有用戶,無論如何都應當披露漏洞。另一方面,零日漏洞在一些人眼中與國家安全掛鉤,認為只要能給本國帶來戰爭或情報收集上的優勢,就應該保密。
還有一群人持第三種觀點,他們清楚政府囤積零日漏洞的優勢與后果,認為對待零日漏洞不能非黑即白,應根據當前狀況與情勢變化充分衡量這么做的利弊,酌情選擇是披露還是保密零日漏洞。
美國政府確實設置有衡量漏洞該不該披露的一個過程,名為“漏洞權衡過程(VEP)”。美國聯邦政府采用該過程確定每個零日計算機安全漏洞的“待遇”:是向公眾披露以改善計算機安全環境,還是加以保密留作對付政府假想敵的殺手锏?VEP在2000年代末期被制定出來,起因是公眾對零日漏洞囤積行為的憤怒日益高漲。該過程最初呈保密狀態,直到2016年電子前沿基金會(EFF)根據《信息自由法案》(FOIA)申請到了一份經脫密處理的文檔。2017年年中,黑客團伙“影子經紀人”的曝光之后,白宮向公眾披露了VEP的更新版本,試圖提升該過程的透明度。那么,VEP到底是怎么進行的呢?
今天的VEP過程
該過程經白宮授權,由美國國家安全局(NSA)的代表和總統的網絡安全協調官共同領導,NSA代表作為該過程的執行秘書聽從國防部的指導,總統的網絡安全協調官則是該過程的總監。其他參與者還包括來自10個政府機構的代表,他們組成了權衡審核委員會。
該過程要求漏洞發現機構、執行秘書及權衡審核委員會成員之間展開對話。各方就內部披露的漏洞細節提出各自權益,比如“該漏洞可能對自身產生的影響”等等。然后漏洞報告者和權益要求者之間將開啟新一輪討論,確定是建議披露還是建議隱瞞該漏洞。權衡審核委員會最終達成共識,決定接受該建議還是另尋他策。如果達成披露決議,披露動作會在7天內開始。算算時間線的話,從發現漏洞到披露漏洞,整個過程耗時在一星期到一個月不等,已經是相當快速的政府流程了。
VEP還要求做年報,年報至少要有漏洞公開的執行摘要,并包含有該過程整年的統計數據。第一個報告周期截止日期為2018年9月30日,也就是說,新的年報也不遠了。
不足與例外
該過程顯然不完美。除了時間安排,選擇不披露操作的情形也很多,還有各機構間的踢皮球,所有這些都讓政府更傾向于維持舊狀,而不是努力達成VEP想要交付的公開透明。圍繞該過程的一些現實問題如下:
1. 保密及其他協議
VEP在披露時會受到法律限制,比如保密協議、諒解備忘錄和涉外國合作伙伴或私營產業合作伙伴的其他協議。這就留下了以這些協議為借口阻止披露的機會。
2. 缺乏風險評估
業界基于多種因素為漏洞打出評分。VEP卻沒有強制要求此類評估。這種分類或評分過程的缺乏可能導致年終數據失真。比如說,VEP可能公開宣稱今年披露了100個漏洞,但由于缺乏漏洞上下文,這些漏洞有可能全都是對私營產業毫無影響的低風險威脅。
3. NSA主導
考慮到NSA實際上是最大的權益持有者,也是最有經驗的漏洞處理者,其代表被選為委員會執行秘書毫不意外。該職位讓NSA在VEP過程中享有了最大的權力。
4. 不披露選項
雖然公開披露是默認選項,但其他選項還包括:披露緩解信息而非漏洞本身;美國政府限制使用;秘密披露給美國盟友;以及間接披露給供應商。這些選項大多將漏洞瞞下,無視披露可能帶來的好處。
缺乏透明性
除此之外,該過程似乎沒有納入來自私營產業的監督。圍繞零日漏洞的爭論中一直存在信任問題。認為更好的安全需要任何漏洞都應披露的人,幾乎不會接受內部人士所謂“因為值得保密而不能披露”的回復。組成權衡審核委員會的10個機構中既有商務部也有國土安全部,有人可能覺得這兩個部門應該會將私營產業權益考慮進去。但安全倡導者不這么想,畢竟這些席位也都是政府指定的。
由產業界代表和具安全權限的網絡安全專家組成私營產業審核委員會是個不錯的辦法。這些委員會成員可以在一個月或一個季度的期限內審核VEP過程的結果。如果政府的委員會和業界專家組成的委員會都判定“值得保密”,安全倡導者接受起來也就沒那么難了。