最近 NSA 被指控拿发现的资安漏洞来入侵取得情报,让美国的科技公司曝露在被攻击的风险中。但 NSA 回应他们回报 90% 的漏洞。NSA 的回应有误导之嫌,关键其实在回报的时间,即使有回报但先拿来运用就很有争议了。
这类型还没被广泛注意的漏洞,由于软件公司还未推出修补程式,而称为“零时差漏洞”。通常软件公司或是资安专家都还未意识到其存在,对骇客或是间谍来说却是不可多得的好情报,能够神不知鬼不觉的潜入系统获得想要的情报。运用零时差漏洞最有名的大概是 Stuxnet 电脑病毒,由 NSA 与以色列情报部门合作,运用还未揭露的微软和西门子 AG 公司的漏洞,拿来对付伊朗的核子设施,最后成功破坏伊朗的核子设施。
身为美国的头号情报机关,NSA 自然也会好好善加运用手上发现的零时漏洞,来获得情报。只是 NSA 其实也有担任美国国内资讯安全的顾问工作,放任旗下间谍利用零时漏洞,让不少美国公司的软件有未修补的漏洞,造成自己国内的资安风险。
▲ NSA 的回应着重在数字,但是知道漏洞到公布的时间差也挺重要。
先前路透社曾报导,NSA 是全球零时差漏洞情报的最大买主。有些便宜的零时差漏洞情报只有 5 万美元,有些像是最新 iPhone 的漏洞,则要价 100 万美元。最后大概会在 NSA 出手,或是科技大公司买下。
NSA 如何决定哪些漏洞要回报,哪些漏洞则因“国家安全”而保留,相关机关组成资安委员会决定,而 NSA 下面的资讯保障局 (Information Assurance Directorate) 担任执行秘书工作。委员会则有职司美国国内安全的国土安全部,可以预期虽然情报单位想要尽可能利用漏洞,但揭露漏洞符合国家利益,最好得知漏洞到漏洞公开、发布修补程式的时间差越短越好。如今转向更防御的角度,NSA 能做的手脚就少了,最重要的将是资安委员会决定漏洞存在的时间差长短了。
相关连结
- NSA says how often, not when, it discloses software flaws
