特朗普政府拉長0day漏洞披露時間
在網絡安全領域,零日漏洞(0day漏洞)的處理一直備受關注。零日漏洞,指的是那些軟件中已存在,但軟件制造商尚未察覺,因而在被發現時仍未得到修復的安全漏洞。任何使用含有這類漏洞軟件的系統,都如同在黑客面前 “裸奔”,隨時可能遭受攻擊,數據泄露、系統癱瘓等嚴重后果都可能接踵而至。
為了應對這一棘手的問題,美國政府早在 2010 年就設立了 “漏洞公平處理程序”(VEP)。并在最近發布的一份首創報告透露,2023 年他們向軟件供應商或公眾披露了39個零日軟件漏洞,目的是讓這些漏洞得以修復或緩解,而非保留它們用于黑客行動。
但VEP的披露一直存在數字缺失與公眾疑慮的問題,在特朗普政府執政期間,這種信息不透明的問題可能會變得更嚴重。
VEP過往披露迷霧:數字缺失與公眾疑慮
過去,美國政府對外宣稱,經過 VEP 審查的漏洞,有 90% 以上都會被披露。然而,這一說法始終缺乏具體數字的支撐,使得公眾難以確切判斷政府實際儲備的零日漏洞數量,也無法確定這個所謂的公平處理程序,是否真的如政府所宣稱的那樣,更傾向于披露漏洞,而非利用漏洞。
直到上個月,美國國家情報總監辦公室發布了一份單頁非機密文件,披露 2023 年向軟件供應商或公眾披露了 39 個零日漏洞,目的是讓這些漏洞得以修復或緩解 ,然而,這份文件并未說明 2023 年到底有多少漏洞經過了 VEP 裁決,也沒提及當年政府保密了多少漏洞。
在披露的39個漏洞里,有10個之前就已經過裁決程序,這意味著VEP審查委員會的成員在前一年或幾年投票決定將它們保密,然后在2023年決定披露它們。根據VEP政策,一旦委員會就零日漏洞做出決定,該決定將一直有效,直到委員會在第二年重新審查該決定,或者政府了解到犯罪黑客或民族國家對手正在利用該漏洞。
雖然文件未提及在 2023 年披露這10個漏洞之前,政府隱瞞了多少年,但2017年蘭德公司的一項研究發現,對于第三方賣家提供給美國政府的一組漏洞,通常要過七年甚至更久,才會有人把漏洞披露給軟件制造商進行修復,或者軟件制造商在發布新版本程序時無意中修復,政府的零日漏洞可能也存在類似的時間跨度。
特朗普政府執政對 VEP 的影響
這種缺乏透明度的問題在特朗普政府執政期間可能會變得更加嚴重。特朗普政府上臺后,承諾要加大政府的網絡攻擊行動,這意味著美國政府對零日漏洞的需求可能會在未來四年內增加。如果出現這種情況,政府之前關于VEP更傾向于披露和防御而不是隱瞞和攻擊的說法可能不再成立。
特朗普政府或許覺得之前披露的漏洞過多,其理念可能從過去默認的 “除非有充分理由保留,否則就披露”,轉變為 “除非有充分理由披露,否則就保留” 。這種轉變使得零日漏洞披露時間被拉長,帶來了諸多風險。
一方面,軟件系統長時間暴露在已知漏洞的威脅之下,黑客利用這些未及時披露修復的漏洞進行攻擊的可能性大增,無論是個人用戶的數據安全,還是企業、政府機構的關鍵信息基礎設施,都面臨更高的安全風險。例如,企業的核心業務系統可能因零日漏洞被攻擊,導致業務中斷,造成巨大的經濟損失;政府機構的敏感數據也可能被竊取,威脅國家安全。
另一方面,這也嚴重影響了公眾對政府網絡安全政策的信任。民眾會質疑政府在網絡安全保障方面的誠意和能力,進而對政府的其他政策舉措也產生不信任感。
VEP 程序的運行機制與爭議
此外,VEP 程序本身還存在一些其他問題。例如,不是所有漏洞都要經過 VEP 審查。政府機構根據保密協議,從賣家那里購買的漏洞,就可以不用經過 VEP 審查。要是賣家不是獨家銷售,還想把零日漏洞賣給其他客戶,就會要求簽訂保密協議。根據諒解備忘錄,從外國政府機構獲得的零日漏洞,也可以不經過 VEP 審查。就算漏洞不用審查,也得報告給委員會主席,每個機構不用審查的漏洞數量,也得向所有成員公開。
2016 年,為了回應一起訴訟,VEP 章程被公開,公民自由組織對此表示擔憂,因為只有政府機構能參與決策,看起來沒有任何人代表公眾利益。而且除了成員機構,好像也沒有獨立的監督機制。委員會本來應該每年發布一份報告,說明所有經過審查的零日漏洞情況,但并沒有規定要把這份報告交給國會或者公眾。
2017 年,政府發布了修訂后的章程,讓國家安全委員會來監督這個程序。之前的章程主要強調美國政府的利益,修訂后的章程則表示,只要沒有 “明顯的、壓倒性的利益,需要把漏洞用于合法的情報、執法或國家安全目的”,這個程序就應該優先考慮公眾利益,以及關鍵信息和基礎設施系統的安全。
章程還說,在 “絕大多數情況下”,披露漏洞 “符合國家利益”。后來才增加了向情報界提供報告,以便監督的要求,這也是 VEP 唯一被編纂成法的部分。這就意味著,只要這個程序還只是政策,沒變成法律,現任政府就可以隨意更改。不過要是真改了,就得通知情報界。
風險評估難題與未來隱憂
Luta Security 公司的創始人兼首席執行官凱蒂?穆蘇里斯(Katie Moussouris),曾擔任政府現已解散的網絡安全審查委員會顧問。她一直對這個程序有個疑問,那就是審查委員會到底是怎么評估零日漏洞的風險,進而決定是否披露的。她以前是微軟的首席高級安全策略師,她表示,目前還沒有可靠的評估方法,就連微軟自己,也很難準確判斷很多漏洞帶來的風險。微軟可能知道有多少直接客戶在使用有漏洞的代碼,但很難估算有多少經銷商,還有其他方面,把有漏洞的代碼嵌入到了關鍵基礎設施組件、醫療設備、銀行機器,還有其他系統里。“要是連軟件供應商自己都很難評估相對風險,那聯邦政府又該怎么評估呢?” 她的質疑也反映出 VEP 在風險評估方面的困境。
參考來源:https://www.zetter-zeroday.com/u-s-government-disclosed-39-zero-day-vulnerabilities-in-2023-per-first-ever-report/
