新闻链接:http://www.freebuf.com/news/32203.html
新闻时间: 2014-04-16
新闻正文:
华盛顿——美国政府高级官员上周六表示,奥巴马总统介入了美国情报机构内部的激烈争论,并且决定,如果国家安全局(National Security Agency,简称NSA)发现网络安全存在重要漏洞(0day),大多数情况下就应该公开信息,确保漏洞获得修复,而不是保持沉默,以便利用这些漏洞开展间谍活动或网络攻击。
不过,前述官员表示,奥巴马也给出了广泛的例外情况,前提是“国家安全或执法行动存在明确需要”。这样的例外可能会允许NSA继续利用安全缺陷破解网络加密,设计网络武器。
白宫从未公开详述奥巴马的决定,这个决定是他今年1月做出的,当时他刚开始对总统顾问委员会有关如何回应NSA近期泄密事件的各种建议进行为期三个月的审查。
但这一决定的内容于上周五浮出水面,当时白宫否认事先知道“心脏出血”(Heartbleed)漏洞的存在。上周,这个新近为人所知的网络安全漏洞促使美国人匆忙修改网络密码。白宫发表声明称,发现此类漏洞时,政府现在的“倾向”是与电脑及软件制造商分享信息,以便创建补救措施,并向业内公司及用户分发。
NSA女发言人凯特琳·海登(Caitlin Hayden)表示,对建议的审查工作现已结束,成果是一个“得到加强”的价值权衡程序,意在确定发现漏洞时是披露信息,还是对发现进行保密,以便情报机构加以利用。
她说,“权衡程序倾向于负责任地披露这些漏洞。”
到目前为止,白宫拒绝透露奥巴马对总统顾问委员会的建议采取的行动,该委员会报告更广为人知的内容是要求政府停止收集所有美国人拨打的电话的大量数据。奥巴马在上个月宣布,他会终止大量收集电话数据的行为,让电信公司来保留这些数据,同时辅以一个相关程序,以便政府在需要时通过法院命令获得数据。
虽然监控建议值得注意,其他一些有关网络加密及网络行动的建议却在情报机构内部引发了激烈争论,让人想起半个世纪前笼罩华盛顿的冷战纷争。
其中一个建议要求NSA停止弱化商用加密系统或尝试设立“后门”,这类做法会大大降低NSA破解美国对手通讯数据的难度。这类做法能带来破解密码的简便方法,非常诱人——这也是哈里·S·杜鲁门(Harry S. Truman)62年前创立NSA的原因。尽管如此,该委员会还是断定,这类做法会削弱人们对美国软件及硬件产品的信任。最近几个月,硅谷的公司纷纷呼吁美国放弃此类做法,德国、巴西等其他国家也表示,他们正在考虑避免使用美国制造的设备和软件。它们的动机绝对不算纯洁:外国公司将NSA泄密事件看作抑制美国对手的机会。
另一条建议敦促政府只对黑客所谓的“零日”(zero days)进行最有限的临时利用。“零日”即微软Windows等软件中的编码漏洞,黑客可以利用它进入计算机——以及与它连接的任何企业、政府机构或网络。这种漏洞之所以被称为“零日”,是因为它们一旦被人发现,在黑客利用这个偶然的漏洞之前,计算机用户只有“零日”的时间来修复它们。
在对伊朗核浓缩基地发动攻击时,NSA利用了四个“零日”漏洞。这项行动的代号为“奥运会”(Olympic Games),最终破坏了大约1000台伊朗离心机,从某种程度上起到了把伊朗推上谈判桌的作用。
不足为奇的是,NSA官员及军方的美国网络战司令部(United States Cyber Command)官员警告称,放弃利用未披露漏洞的能力就等于“单边裁军”——这个说法取自关于是否裁减及在何种程度上裁减美国核武库的论战。
“除非俄罗斯也消除核武器,否则我们是不会这样做的,”一名高级情报官员近期表示。“中国人绝不会因为我们放弃‘零日’而放弃‘零日’。”上个月,就连一位曾在NSA泄密事件后对大规模改革表示赞同的高级白宫官员也表示,“我无法想象,总统——任何一位总统——会完全放弃这样的一项技术,因为说不定哪一天,这项技术会使他有能力通过秘密行动来避免一场热战。”
这项技术的核心就是“心脏出血”所造成的那一类互联网隐秘漏洞,它们几乎都是由错误或疏忽引起的。目前尚无任何证据表明NSA在制造“心脏出血”方面负有任何责任。周五下午,白宫否认预先知晓“心脏出血”相关讯息,这似乎是NSA第一次说明某个具体的网络漏洞在或不在它保存在马里兰州米德堡的秘密数据库里。该地是NSA和网络战司令部的总部所在地。
然而,前NSA承包商雇员爱德华·J·斯诺登(Edward J. Snowden)披露的文件表明,在“心脏出血”为人所知两年之前,NSA正在寻找方法来完成这个漏洞偶然做成的事情。代号布尔河(Bullrun)——这个名字显然来自华盛顿郊外那个两次内战战役的发生地——的项目是一项长达10年的行动的一部分,该行动的目的是攻破或绕开网络加密。文件没有指明这个项目取得了何种程度的成功,但在打开获得秘密数据的路径方面,这个项目很可能比利用“心脏出血”更有效率。
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)