美国政府高级官员上周六表示,在美国情报机构内部的激烈辩论之下,美国总统奥巴马已经决定:当美国国家安全局(National Security Agency,简称NSA)发现互联网存在重大安全漏洞时,它在大多数情况下应该披露这些漏洞,以确保漏洞被及时修复,而不应该保持沉默,以便利用这些漏洞从事间谍活动或网络攻击。
但美政府官员同时称,奥巴马也允许一种宽泛的例外情况,只要是出于“国家安全或执法的明确需要。”在这样的情况下,NSA可以利用网络安全漏洞,以破解数据加密或者设计网络武器。
奥巴马的这项决定是在今年1月作出的,白宫还没有公开有关细节。奥巴马是在审查总统咨询委员会关于如何应对最近的NSA泄密事件的建议时作出这一决定的。
上周五,白宫否认事先知道安全漏洞Heartbleed的存在。白宫发表声明说,当这样的漏洞被发现时,政府现在有了一种“偏爱”,即向计算机和软件制造商披露这些漏洞,以避免危害有关行业和消费者。
美国国家安全委员会( National Security Council)发言人凯特琳·海登(Caitlin Hayden)表示,奥巴马对总统咨询委员会的建议的审查工作现已完成,奥巴马决定,当安全漏洞被发现后,政府可以考虑是否披露它们,是否保守秘密以待NSA以后利用它们。
“政府的权衡过程偏向于负责任地披露这些漏洞。”她说。
到现在为止,白宫拒绝透露奥巴马针对总统的咨询委员会的建议采取了什么样的行动。不久前,该委员会在报告中坚决建议政府停止批量收集公民通讯数据的做法。奥巴马上个月宣布,他将结束NSA批量收集公民通讯数据的行为,并将数据保留在电信企业手中,政府只有在得到法院的授权时才能获得它。
不过,虽然有关监控的建议值得关注,但NSA内部的其他建议,——有关网络加密和网络运营,在美国掀起了一场激烈的辩论。
其中一项建议呼吁NSA不要再入侵商业加密系统或试图建立软件“后门”,以破解美国的敌人的通信数据。这种做法是诱人的,因为它是简便的方法,哈里·S·杜鲁门(Harry S Truman )62年前建立NSA就是出于这个原因。总统咨询委员会的结论是,这种做法会削弱人们对美国软件和硬件产品的信任。近几个月来,硅谷的公司已经敦促美国放弃这种做法,而德国和巴西等国家都表示他们正在考虑放弃美国制造的设备和软件。
另一项建议呼吁政府只对所谓的“zero days”漏洞作最有限的临时利用。“zero days”漏洞存在于如微软Windows这样的软件中,可以让攻击者访问安装该软件的计算机,以及与该计算机联网的任何企业和政府机关的计算机。
NSA曾经利用四个“zero day”漏洞攻击了伊朗的核浓缩网点。这次攻击代号为“Olympic Games”,破坏了大约伊朗1千部离心机,并推动了两国政治谈判。
毫不奇怪,NSA和美国网络司令部(United States Cyber Command)官员警告说,放弃对未公开漏洞的利用将意味着“单方面裁军(这个术语来自关于美国是否应该削减或者在多大程度上削减核武库的争论)”。
“我们不消除核武器,直到俄国人做到这一点。”一位高级情报官员最近说。 “你不会看到中国放弃对“zero days”漏洞的利用,即使我们这样做。”另一位白宫高级官员上月表示,“我无法想象任何一位总统会完全放弃一项可以让他采取秘密行动以避免热战的技术。”
这种技术的核心是像Heartbleed这样的互联网漏洞。没有任何证据表明NSA参与制造Heartbleed ,也没有证据表明NSA使用了该漏洞。白宫上周五下午否认了对Heartbleed事先知情。这似乎是NSA第一次作出类似声明。
但是,爱德华·J.·斯诺登(Edward J. Snowden)披露的文件清楚地显示,在Heartbleed被揭漏出来之前两年,NSA就一直在寻找方法来完成某些情报收集任务,而这种任务是可能依靠类似于Heartbleed这样的网络漏洞来完成的。一个代号为“Bullrun”的计划是NSA长达十年的工作的一部分,该计划旨在破解或规避网络加密。斯诺登披露的文件没有明确显示这项计划取得了怎样的成功,但它很可能已经具备了比Heartbleed更有效的数据收集能力。
美国官员承认,政府已成为“zero days”网络漏洞的最大的开发者和购买者。这些漏洞是大生意,微软出价15万美元,希望有人发现这种漏洞并告知微软公司以修复它。其他国家正在热切地收集这种漏洞,以至于一种类似于现代军备竞赛的战争实际上已经爆发了。在这样的国家中,最主要的是中国和俄罗斯,伊朗和朝鲜也在其中。
“网络将越来越成为一种进攻性武器。”英特尔公司McAfee电脑安全主管Michael DeCesare说。“我不认为仅仅依靠某些政策就可以阻止他们。这就是为什么对我们来说有效的指挥和控制策略是绝对必要的。”
美国总统咨询委员会并没有要求NSA完全停止这样的做法。但它说,总统应该确保NSA不会“利用漏洞”进入商业加密系统。它说,如果美国发现一个“zero day”漏洞,就应该修补它,而不是利用它,但有一个例外:高级官员可以“为了优先级的情报保障,临时授权NSA使用这种漏洞。”
