美国囤积零日漏洞的目的何在?
导读 | 美国政府确实设置有衡量漏洞该不该披露的一个过程,名为“漏洞权衡过程(VEP)”。美国联邦政府采用该过程确定每个零日计算机安全漏洞的“待遇”:是向公众披露以改善计算机安全环境,还是加以保密留作对付政府假想敌的杀手锏? |
政府应不应该囤积零日漏洞?对这个问题的回答见仁见智。有人觉得将软件漏洞秘而不宣会影响所有用户,无论如何都应当披露漏洞。另一方面,零日漏洞在一些人眼中与国家安全挂钩,认为只要能给本国带来战争或情报收集上的优势,就应该保密。
还有一群人持第三种观点,他们清楚政府囤积零日漏洞的优势与后果,认为对待零日漏洞不能非黑即白,应根据当前状况与情势变化充分衡量这么做的利弊,酌情选择是披露还是保密零日漏洞。
美国政府确实设置有衡量漏洞该不该披露的一个过程,名为“漏洞权衡过程(VEP)”。美国联邦政府采用该过程确定每个零日计算机安全漏洞的“待遇”:是向公众披露以改善计算机安全环境,还是加以保密留作对付政府假想敌的杀手锏?VEP在2000年代末期被制定出来,起因是公众对零日漏洞囤积行为的愤怒日益高涨。该过程最初呈保密状态,直到2016年电子前沿基金会(EFF)根据《信息自由法案》(FOIA)申请到了一份经脱密处理的文档。2017年年中,黑客团伙“影子经纪人”的曝光之后,白宫向公众披露了VEP的更新版本,试图提升该过程的透明度。那么,VEP到底是怎么进行的呢?
该过程经白宫授权,由美国国家安全局(NSA)的代表和总统的网络安全协调官共同领导,NSA代表作为该过程的执行秘书听从国防部的指导,总统的网络安全协调官则是该过程的总监。其他参与者还包括来自10个政府机构的代表,他们组成了权衡审核委员会。
该过程要求漏洞发现机构、执行秘书及权衡审核委员会成员之间展开对话。各方就内部披露的漏洞细节提出各自权益,比如“该漏洞可能对自身产生的影响”等等。然后漏洞报告者和权益要求者之间将开启新一轮讨论,确定是建议披露还是建议隐瞒该漏洞。权衡审核委员会最终达成共识,决定接受该建议还是另寻他策。如果达成披露决议,披露动作会在7天内开始。算算时间线的话,从发现漏洞到披露漏洞,整个过程耗时在一星期到一个月不等,已经是相当快速的政府流程了。
VEP还要求做年报,年报至少要有漏洞公开的执行摘要,并包含有该过程整年的统计数据。第一个报告周期截止日期为2018年9月30日,也就是说,新的年报也不远了。
该过程显然不完美。除了时间安排,选择不披露操作的情形也很多,还有各机构间的踢皮球,所有这些都让政府更倾向于维持旧状,而不是努力达成VEP想要交付的公开透明。围绕该过程的一些现实问题如下:
VEP在披露时会受到法律限制,比如保密协议、谅解备忘录和涉外国合作伙伴或私营产业合作伙伴的其他协议。这就留下了以这些协议为借口阻止披露的机会。
业界基于多种因素为漏洞打出评分。VEP却没有强制要求此类评估。这种分类或评分过程的缺乏可能导致年终数据失真。比如说,VEP可能公开宣称今年披露了100个漏洞,但由于缺乏漏洞上下文,这些漏洞有可能全都是对私营产业毫无影响的低风险威胁。
考虑到NSA实际上是最大的权益持有者,也是最有经验的漏洞处理者,其代表被选为委员会执行秘书毫不意外。该职位让NSA在VEP过程中享有了最大的权力。
虽然公开披露是默认选项,但其他选项还包括:披露缓解信息而非漏洞本身;美国政府限制使用;秘密披露给美国盟友;以及间接披露给供应商。这些选项大多将漏洞瞒下,无视披露可能带来的好处。
除此之外,该过程似乎没有纳入来自私营产业的监督。围绕零日漏洞的争论中一直存在信任问题。认为更好的安全需要任何漏洞都应披露的人,几乎不会接受内部人士所谓“因为值得保密而不能披露”的回复。组成权衡审核委员会的10个机构中既有商务部也有国土安全部,有人可能觉得这两个部门应该会将私营产业权益考虑进去。但安全倡导者不这么想,毕竟这些席位也都是政府指定的。
由产业界代表和具安全权限的网络安全专家组成私营产业审核委员会是个不错的办法。这些委员会成员可以在一个月或一个季度的期限内审核VEP过程的结果。如果政府的委员会和业界专家组成的委员会都判定“值得保密”,安全倡导者接受起来也就没那么难了。
原文来自:http://netsecurity.51cto.com/art/201901/591513.htm
本文地址:https://www.linuxprobe.com/zero-day-united-states.html编辑:CG.JIANG,审核员:逄增宝
转载于:https://www.cnblogs.com/elsa-66/p/10454443.html
美国囤积零日漏洞的目的何在?相关推荐
- 黑客急于利用微软的零日漏洞
Windows 支持工具中的"Follina"漏洞正在 Microsoft Word 中被积极利用,使恶意黑客可以完全访问受感染的系统. 专家表示,现在是修复这个关键漏洞的时候了, ...
- 谷歌发现利用零日漏洞的攻击、黑客通过漏洞入侵红十字会|2月17日全球网络安全热点
安全资讯报告 新加坡将加强网络钓鱼诈骗后的安全措施 新加坡正在加强安全措施,以支持当地的银行和通信基础设施,其中包括短信服务提供商需要在发送消息之前检查注册表.预计银行还将开发"更通用&qu ...
- 黑客入侵微软邮件服务器、Windows零日漏洞可获管理员权限|11月23日全球网络安全热点
安全资讯报告 经济日报:筑牢数据安全防护网 由国家互联网信息办公室会同相关部门研究起草的<网络数据安全管理条例(征求意见稿)>对外公布.这是国家加强网络数据法治化的又一重要举措,对数据处理 ...
- Google 员工公开 Windows 10 零日漏洞隐藏 Bug!
今年3月,Google员工Tavis Ormandy曾对外披露了Chrome浏览器中存在的零日漏洞--该漏洞允许黑客使用浏览器中加载的恶意PDF文档来获取个人数据,彼时Google官方曾表示修复方案 ...
- 苹果零日漏洞利用市售800万欧元
苹果移动操作系统iOS零日漏洞利用可致远程代码执行,市售800万欧元. 苹果零日漏洞可造成巨大破坏 由于以色列网络情报公司NSO Group备受争议的"飞马"(Pegasus)解决 ...
- 兰德公司:零日漏洞平均生存期为6.9年
兰德公司一份新研究报告称,零日漏洞--开发人员没打补丁或没发现的漏洞,平均生存期为6.9年. 该研究分析了200多个此类漏洞,并调查了这些漏洞被不同组织发现的频率.独立发现的罕见性,以及缺陷存在的长期 ...
- 仅10天修复3个零日漏洞 苹果是真的拼了命
<名利场>最近刊文介绍了零日漏洞及其背后的黑市交易(主要卖给政府).介绍这些漏洞如何被用于进行间谍活动,以及这整个"行业"是如何形成的.其实说到零日漏洞,相信大部分 i ...
- 警告:Google公开Windows零日漏洞
谷歌已经披露了Windows操作系统中一个新的零日特权升级漏洞的详细信息,该漏洞黑客正在大量使用中. 特权提升(EoP)漏洞(跟踪为CVE-2020-17087)涉及存在缓冲区溢出问题,因为至少 ...
- “我用 ChatGPT 造了一个零日漏洞,成功逃脱了 69 家安全机构的检测!”
一周以前,图灵奖得主 Yoshua Bengio.伯克利计算机科学教授 Stuart Russell.特斯拉 CEO 埃隆·马斯克.苹果联合创始人 Steve Wozniak 等在内的数千名 AI 学 ...
最新文章
- BZOJ1598: [Usaco2008 Mar]牛跑步
- django 快速实现session的操作
- 深度学习(八)RBM受限波尔兹曼机学习-未完待续
- JQuery------各种版本下载
- 收集Java 性能优化的44个建议
- 各种主流Linux操作系统概况
- 枚举数据类型 c# 114866833
- 001-keras简介
- 南银法巴消费金融拟设线下直营中心,与南京银行CFC联动
- 关于IE6 双倍间距的真正原因
- Unity Odin从入门到精通(五):自定义处理器
- Python 合并两个或多个pdf文件(获取pdf文件指定页)
- 风扇空调照明灯动画的创建
- 电信客户流失数据分析(二)
- 优化 | Pick and delivery problem的简介与建模实现(二)
- 30年的Hello world
- 第二周预习——html常用标签,认识浏览器
- windows安装Pillow报错找不到zlib
- 学习Java可以从事什么工作?
- 概率函数和概率密度函数