在网络安全领域,零日漏洞(0day漏洞)的处理一直备受关注。零日漏洞,指的是那些软件中已存在,但软件制造商尚未察觉,因而在被发现时仍未得到修复的安全漏洞。任何使用含有这类漏洞软件的系统,都如同在黑客面前 “裸奔”,随时可能遭受攻击,数据泄露、系统瘫痪等严重后果都可能接踵而至。
为了应对这一棘手的问题,美国政府早在 2010 年就设立了 “漏洞公平处理程序”(VEP)。并在最近发布的一份首创报告透露,2023 年他们向软件供应商或公众披露了39个零日软件漏洞,目的是让这些漏洞得以修复或缓解,而非保留它们用于黑客行动。
但VEP的披露一直存在数字缺失与公众疑虑的问题,在特朗普政府执政期间,这种信息不透明的问题可能会变得更严重。
VEP过往披露迷雾:数字缺失与公众疑虑
过去,美国政府对外宣称,经过 VEP 审查的漏洞,有 90% 以上都会被披露。然而,这一说法始终缺乏具体数字的支撑,使得公众难以确切判断政府实际储备的零日漏洞数量,也无法确定这个所谓的公平处理程序,是否真的如政府所宣称的那样,更倾向于披露漏洞,而非利用漏洞。
直到上个月,美国国家情报总监办公室发布了一份单页非机密文件,披露 2023 年向软件供应商或公众披露了 39 个零日漏洞,目的是让这些漏洞得以修复或缓解 ,然而,这份文件并未说明 2023 年到底有多少漏洞经过了 VEP 裁决,也没提及当年政府保密了多少漏洞。
在披露的39个漏洞里,有10个之前就已经过裁决程序,这意味着VEP审查委员会的成员在前一年或几年投票决定将它们保密,然后在2023年决定披露它们。根据VEP政策,一旦委员会就零日漏洞做出决定,该决定将一直有效,直到委员会在第二年重新审查该决定,或者政府了解到犯罪黑客或民族国家对手正在利用该漏洞。
虽然文件未提及在 2023 年披露这10个漏洞之前,政府隐瞒了多少年,但2017年兰德公司的一项研究发现,对于第三方卖家提供给美国政府的一组漏洞,通常要过七年甚至更久,才会有人把漏洞披露给软件制造商进行修复,或者软件制造商在发布新版本程序时无意中修复,政府的零日漏洞可能也存在类似的时间跨度。
特朗普政府执政对 VEP 的影响
这种缺乏透明度的问题在特朗普政府执政期间可能会变得更加严重。特朗普政府上台后,承诺要加大政府的网络攻击行动,这意味着美国政府对零日漏洞的需求可能会在未来四年内增加。如果出现这种情况,政府之前关于VEP更倾向于披露和防御而不是隐瞒和攻击的说法可能不再成立。
特朗普政府或许觉得之前披露的漏洞过多,其理念可能从过去默认的 “除非有充分理由保留,否则就披露”,转变为 “除非有充分理由披露,否则就保留” 。这种转变使得零日漏洞披露时间被拉长,带来了诸多风险。
一方面,软件系统长时间暴露在已知漏洞的威胁之下,黑客利用这些未及时披露修复的漏洞进行攻击的可能性大增,无论是个人用户的数据安全,还是企业、政府机构的关键信息基础设施,都面临更高的安全风险。例如,企业的核心业务系统可能因零日漏洞被攻击,导致业务中断,造成巨大的经济损失;政府机构的敏感数据也可能被窃取,威胁国家安全。
另一方面,这也严重影响了公众对政府网络安全政策的信任。民众会质疑政府在网络安全保障方面的诚意和能力,进而对政府的其他政策举措也产生不信任感。
VEP 程序的运行机制与争议
此外,VEP 程序本身还存在一些其他问题。例如,不是所有漏洞都要经过 VEP 审查。政府机构根据保密协议,从卖家那里购买的漏洞,就可以不用经过 VEP 审查。要是卖家不是独家销售,还想把零日漏洞卖给其他客户,就会要求签订保密协议。根据谅解备忘录,从外国政府机构获得的零日漏洞,也可以不经过 VEP 审查。就算漏洞不用审查,也得报告给委员会主席,每个机构不用审查的漏洞数量,也得向所有成员公开。
2016 年,为了回应一起诉讼,VEP 章程被公开,公民自由组织对此表示担忧,因为只有政府机构能参与决策,看起来没有任何人代表公众利益。而且除了成员机构,好像也没有独立的监督机制。委员会本来应该每年发布一份报告,说明所有经过审查的零日漏洞情况,但并没有规定要把这份报告交给国会或者公众。
2017 年,政府发布了修订后的章程,让国家安全委员会来监督这个程序。之前的章程主要强调美国政府的利益,修订后的章程则表示,只要没有 “明显的、压倒性的利益,需要把漏洞用于合法的情报、执法或国家安全目的”,这个程序就应该优先考虑公众利益,以及关键信息和基础设施系统的安全。
章程还说,在 “绝大多数情况下”,披露漏洞 “符合国家利益”。后来才增加了向情报界提供报告,以便监督的要求,这也是 VEP 唯一被编纂成法的部分。这就意味着,只要这个程序还只是政策,没变成法律,现任政府就可以随意更改。不过要是真改了,就得通知情报界。
风险评估难题与未来隐忧
Luta Security 公司的创始人兼首席执行官凯蒂・穆苏里斯(Katie Moussouris),曾担任政府现已解散的网络安全审查委员会顾问。她一直对这个程序有个疑问,那就是审查委员会到底是怎么评估零日漏洞的风险,进而决定是否披露的。她以前是微软的首席高级安全策略师,她表示,目前还没有可靠的评估方法,就连微软自己,也很难准确判断很多漏洞带来的风险。微软可能知道有多少直接客户在使用有漏洞的代码,但很难估算有多少经销商,还有其他方面,把有漏洞的代码嵌入到了关键基础设施组件、医疗设备、银行机器,还有其他系统里。“要是连软件供应商自己都很难评估相对风险,那联邦政府又该怎么评估呢?” 她的质疑也反映出 VEP 在风险评估方面的困境。
参考来源:https://www.zetter-zeroday.com/u-s-government-disclosed-39-zero-day-vulnerabilities-in-2023-per-first-ever-report/
