11月8日消息,据国外媒体报道,美国国家安全局(NSA)上周曾表示,超过90%时间里,一旦该机构发现计算机软件漏洞,就会告诉美国的科技公司。但这种陈述具有误导性,因为据部分现任和前任美国政府官员透露,NSA通常会先利用这些漏洞先发起一波网络攻击。之后NSA才会将漏洞告诉科技企业让他们解决问题以及向客户提供程序升级。
美国关于“零日漏洞”的政策目前具有较大争议,对于黑客和间谍人员而言,这些严重的软件漏洞都是非常有价值的,因为在漏洞尚未披露之前是没有任何防御措施的。
最著名的“零日漏洞”案例是Stuxnet蠕虫病毒,该病毒是由NSA及其以色列同行共同开发,用以入侵伊朗核项目及破坏进行铀浓缩活动的离心机。
在2010年该病毒被发现之前,Stuxnet利用微软和西门子公司软件中此前未知的漏洞,在不触发安全程序的情况下神不知鬼不觉地入侵到设施中。
目前已经形成了一个活跃的地下市场,专门进行“零日漏洞”的买卖,根据2013年路透社的报道,NSA就是全球最大的漏洞买家。该机构还通过自己的网络项目发现漏洞,并利用部分漏洞来入侵到海外的计算机和电信系统,籍此完成自己主要的间谍任务。
考虑到发现漏洞的难度以及目标软件的普及程度,部分“零日漏洞”的价值相对较高。部分漏洞的售价最低仅为5万美元,而一位知名的“零日漏洞”中介本周透露,他已经同意向一个团队支付100万美元,以获得他们所设计的一种入侵已全面升级的iPhone的途径。Zerodium公司的Chaouki Bekrar称,这种iPhone技术“可能只会出售给美国客户”,包括政府机构以及“非常大型的企业”。
政府官员称,将“零日漏洞”用于攻击还是披露给科技公司及客户用作防范目的,这两者间存在“天生的”冲突。
在斯诺登事件以及路透社发表有关NSA付费让安全公司RSA在软件中加入后门后,一个白宫的审查小组建议政府的政策应该更倾向于防御。
NSA则在其网站上表示,理解这种将大部分漏洞用以防御的需要。“在大部分情况,负责任地披露最新发现的漏洞显然是符合国家利益的。”
“但是对于披露漏洞的决定,也存在合理的利与弊,立即披露与在一定时间内隐瞒所知情况这两者之间的权衡,可能导致非常严重的后果。”
“披露漏洞可能意味着,我们放弃了一个收集重要的外国情报的机会,这些情况可能帮助阻止恐怖袭击、国家情报外泄或泄露更多危险的漏洞。”
