新浪科技讯 北京时间4月14日上午消息,美国政府高级官员上周六表示,奥巴马总统已经决定,当美国国家安全局(以下简称“NSA”)发现重大互联网漏洞时,多数情况下都应该将其公之于众,以便修复漏洞,而不应该默不悄悄地利用该漏洞展开间谍活动,或发动网络攻击。但奥巴马也给出了一些例外情况。
总统决定
该官员表示,奥巴马列出了很多与国家安全和执法需求相关的例外情况,从而给NSA留下了可乘之机,使之可以继续利用安全漏洞监听互联网信息,并设计网络武器。
白宫并未公开奥巴马的详细决定。这项决定是今年1月作出的,当时,奥巴马针对总统顾问委员会就如何应对“棱镜门”事件的建议,开始了为期3个月的的评估。
但这项决定的一些内容却在上周五浮出水面。当时,白宫否认提前知晓在互联网上引发轩然大波的“心脏流血”漏洞。白宫在声明中表示,当这样的漏洞被发现后,政府内会形成一种“倾向”,要求与电脑和软件厂商分享相关信息,以便开展修复工作。
NSA发言人凯特琳·海登(Caitlin Hayden)称,针对相关建议的评估目前已经完成,他们已经因此启动了一项流程,当发现某项安全漏洞后,会就应该对外披露还是对内保留,展开具体的评估。
“该流程倾向于负责任地披露这类漏洞。”她说。
直到现在,白宫都拒绝透露奥巴马对白宫顾问委员会的建议究竟作何反应。但这份报告更为人所知的是,它建议美国政府停止继续批量搜集普通美国人的电话通讯数据。奥巴马上月表示,他将不再批量监听这类数据,而是会将数据保留在电信公司手中,而政府则可以在有需要时凭借法院传票获取这些数据。
冷战阴影
不过,尽管有关监听行为的建议值得关注,但围绕加密和网络行动提出的其他建议,也引发了很大的争论,甚至令人回想起曾经在长达半个世纪的时间内,主导华盛顿决策方向的“冷战”。
有人建议,NSA不应再破解商用加密系统,或者通过设置“后门”来方便其破解其他国家的通讯信息。尽管这类行为可以方便美国政府开展间谍活动,但总统顾问委员会认为,这种行为可能会令美国的软件和硬件产品丧失信誉。
硅谷公司最近就呼吁美国政府放弃这种行为,而德国和巴西等国也表示,他们考虑弃用美国生产的设备和软件。当然,这些国家的动机也并不单纯:外国企业也希望借助“棱镜门”事件来阻止美国竞争对手的发展。
还有一些建议呼吁美国政府仅在有限的时间内临时使用“零日”漏洞。之所以被称作“零日”漏洞,是因为在漏洞披露当日,黑客便可对其加以利用,导致用户没有反应时间。
NSA曾经在对伊朗核设施发动进攻时使用了四个“零日”漏洞。那次代号为“奥运会”的行动大约破坏了1000个伊朗离心机,从一定程度上迫使该国重新回到谈判桌上。
但NSA和“美国网络司令部”曾经警告称,放弃使用未经披露的漏洞相当于“单边裁军”。“除非俄罗斯也削减核武器,否则我们不会这么做。”一位美国高级情报官员最最近说,“中国也不会因为我们放弃‘零日’漏洞而采取相同的做法。”一位白宫高级官员也在上月表示:“我无法想象总统完全放弃可能让他通过某种秘密方式避免战争的技术,任何一位总统都不会这么做。”
军备竞赛
这些技术的核心就是“心脏流血”这样的漏洞在互联网上制造的各种隐形问题。没有证据显示,NSA在“心脏流血”漏洞的创造过程中扮演了任何角色,或者该机构是否对其加以利用。而当美国白宫上周五否认提前知晓“心脏流血”漏洞时,似乎也是NSA首次对具体漏洞作出回应。
但“棱镜门”揭秘者爱德华·斯诺登(Edward Snowden)披露的文件却表明,NSA早在两年前就在通过各种方法来寻找意外出现的漏洞。作为一个长达10年的网络破解行动的一部分,他们还成立了一个代号为“Bullrun”的项目。这些文件并未明确披露该项目的最终成果,但NSA可能已经获得了比“心脏流血”漏洞更有效的机密数据搜集能力。
美国官员承认,美国政府已经成了最大的“零日”漏洞开发者和相关信息购买者。这些漏洞意义重大,微软甚至为发现这些漏洞并将相关信息提交给该公司的人提供15万美元的奖金。而其他国家也在努力搜集这一漏洞,从而在现代网络战争中开展“军备竞赛”。中国和俄罗斯是其中的主要国家,伊朗和朝鲜也在开展相关行动。
“作为一种攻击性武器,网络将变得越来越重要。”英特尔旗下McAfee电脑安全部门主管迈克尔·德赛萨利(Michael DeCesare)说,“我不认为单凭任何政策就能阻止这种行动。正因如此,我们才应该部署有效的指挥和控制战略。”
美国总统顾问委员会并未呼吁NSA彻底停止这类行动,但却表示,政府应该确保NSA不要针对商业加密系统设计漏洞。另外,如果美国发现了“零日”漏洞,应该对其进行修复,不应该对其加以利用。只有一种情况例外:为了开展高优先级的情报保护工作,高级官员可以短暂授权使用“零日”漏洞。