安迪·格林伯格（Andy Greenburg）

魏尚新/譯

美國國家安全局藏匿零日漏洞之時(shí)，影子經(jīng)紀(jì)人混亂之日

安迪·格林伯格（Andy Greenburg）

魏尚新/譯

選自美國《連線》雜志 2016年8月17日

每當(dāng)美國國家安全局（NSA）發(fā)現(xiàn)一種入侵軟件或硬件的新方法時(shí)，就會(huì)置身在兩難的境地。將其開發(fā)利用的安全缺陷通報(bào)給產(chǎn)品生產(chǎn)商進(jìn)行修復(fù)，或是對漏洞進(jìn)行保密（在安保行業(yè)被稱為“零日漏洞”），并利用它對目標(biāo)進(jìn)行攻擊，收集有價(jià)值的情報(bào)。有的數(shù)據(jù)明顯是從美國國家安全局黑客團(tuán)隊(duì)偷盜而來，如今，一項(xiàng)有關(guān)該類數(shù)據(jù)的案例似乎表明了當(dāng)該機(jī)構(gòu)選擇進(jìn)攻或防御時(shí)，隨之而來的風(fēng)險(xiǎn)：其秘密黑客工具會(huì)落入未知人員的手中。

近日，一個(gè)自稱“影子經(jīng)紀(jì)人”（Shadow Brokers）的匿名團(tuán)體在網(wǎng)上張貼了一些數(shù)據(jù)；網(wǎng)絡(luò)設(shè)備公司思科（Cisco）和飛塔（Fortinet）便就其中披露的漏洞向客戶發(fā)出了提醒。該團(tuán)體聲稱：已通過攻擊一個(gè)著名的精英間諜團(tuán)隊(duì)“方程式組織”（Equation Group）獲取數(shù)據(jù)，并將其連接到了美國國家安全局?！坝白咏?jīng)紀(jì)人”將其所獲贓物描述為加密的“網(wǎng)絡(luò)武器”緩存，想要將其拍賣給出價(jià)最高的競買者。該數(shù)據(jù)轉(zhuǎn)儲還包含了一個(gè)非加密的樣本，含包括黑客軟件在內(nèi)的300兆字節(jié)的信息；該黑客軟件名為“漏洞利用”，旨在將來自思科、飛塔、瞻博（Juniper）和天融信（TopSec）等公司的網(wǎng)絡(luò)設(shè)備作為攻擊目標(biāo)。

基于飛塔和思科應(yīng)對漏洞利用泄露的緊急警報(bào)來看，其中一些漏洞利用似乎其實(shí)已經(jīng)成為隱秘的零日漏洞了。這也提高了數(shù)據(jù)實(shí)際上是從美國國家安全局黑客手里盜取的可能性——對數(shù)據(jù)進(jìn)行分析的安全專家日益相信該觀點(diǎn)。

美國國家安全局對零日漏洞進(jìn)行保密，而非將其通報(bào)給受影響的公司；更廣泛地說，該行為也引發(fā)了新的質(zhì)疑。“總有一種微妙的平衡：他們?nèi)绾瓮瓿勺约旱氖姑?，攻擊對手，同時(shí)保護(hù)到其他人？”SentinelOne公司經(jīng)驗(yàn)豐厚的網(wǎng)絡(luò)安全研究員兼安全策略主管耶利米·格羅斯曼（Jeremiah Grossman）這么問道?！澳阄从柰▓?bào)的時(shí)間越長，它最終泄露的可能性也就越大。”

盡管被盜數(shù)據(jù)緩存包含很多漏洞利用，很多可以與愛德華·斯諾登（Edward Snowden）泄露的資料里提到的美國國家安全局黑客技術(shù)相匹敵，但思科公司還是只就其中的兩項(xiàng)對客戶發(fā)出了提醒，并推薦了更改配置來阻止兩件更嚴(yán)重情況的發(fā)生，因?yàn)樗鼈兛赡苁沟霉粽咴谀撤N情境下控制自己的網(wǎng)絡(luò)安全用具。飛塔公司對客戶發(fā)出警告：另一個(gè)泄露了的漏洞利用影響到了其2012年以前售出的安全設(shè)備，并建議客戶對軟件進(jìn)行升級。

思科公司發(fā)言人確認(rèn)：美國國家安全局之前并未就公司目前正在處理的漏洞發(fā)出通報(bào)?？紤]到“影子經(jīng)紀(jì)人”所偷盜的數(shù)據(jù)可能是三年前的舊數(shù)據(jù)，那就可能意味著，美國國家安全局或許已經(jīng)秘密使用黑客技術(shù)很多年了——可能使它落入敵手也已達(dá)如此之久。

格羅斯曼認(rèn)為，這同時(shí)也表明：關(guān)于美國國家安全局何時(shí)應(yīng)該藏匿零日漏洞、何時(shí)應(yīng)該將其披露給供應(yīng)商以提高互聯(lián)網(wǎng)的整體安全性，還需要更加公開的討論?！拔艺J(rèn)為，應(yīng)該鼓勵(lì)他們獲取零日漏洞的處理權(quán)，以便完成使命，”格羅斯曼說，“但他們應(yīng)該具備清晰的時(shí)間界限，并在之后將其發(fā)布出去，這樣我們才能適當(dāng)?shù)乇Ｗo(hù)自己。”

美國國家安全局局長邁克爾·羅杰斯（Michael Rogers）在2014年底曾表達(dá)過這樣的看法：國家安全局通報(bào)了它所發(fā)現(xiàn)的大多數(shù)漏洞?！鞍凑諗?shù)量級，我們發(fā)現(xiàn)的最大數(shù)目的漏洞，就會(huì)共享出去?！彼@么告訴斯坦福大學(xué)的聽眾。不久后，國家安全委員會(huì)（National Security Council）網(wǎng)絡(luò)安全協(xié)調(diào)員及奧巴馬的顧問邁克爾·丹尼爾（Michael Daniel）告訴《連線》（Wired）雜志，“總會(huì)有這種感覺——政府花費(fèi)很多時(shí)間和精力去查找我們大量積攢的漏洞……但事實(shí)卻遠(yuǎn)沒有那么樸實(shí)、有趣。”

但影子經(jīng)紀(jì)人所泄露的內(nèi)容似乎成了這種零日積存的證明，即使其數(shù)目大小尚不明確。除此之外，它或許已經(jīng)被盜用很多年這一事實(shí)也加深了人們對美國國家安全局的苛責(zé)。正如伯克利安全研究員尼古拉斯·韋弗（Nicholas Weaver）在推特上寫的那樣:“如果國家安全局2013年就發(fā)現(xiàn)了這個(gè)缺口，卻沒有告知思科公司或是飛塔公司，那是極其糟糕的。如果它們不知道，那也是很糟糕的。”美國公民自由聯(lián)盟（ACLU）首要技術(shù)專家克里斯·索菲安（Chris Soghoian）甚至認(rèn)為：這種事件將會(huì)招致國會(huì)調(diào)查。來自電子前線基金會(huì)（Electronic Frontier Foundation）的安德魯·克羅克（Andrew Crocker），曾就聯(lián)邦政府對零日漏洞的收集和使用對其進(jìn)行調(diào)查，在更多有關(guān)影子經(jīng)紀(jì)人攻擊事件的來源和本質(zhì)的資料得到證實(shí)之前，不愿妄加評述。但他一再說明，“對漏洞，是保留，還是披露，應(yīng)該有一場公開的對話。”

對思科公司來說，這個(gè)事件或許是對2014年斯諾登事件的不快重溯；彼時(shí)，愛德華·斯諾登所泄露的內(nèi)容表明：美國國家安全局對設(shè)備運(yùn)送進(jìn)行攔截，安裝間諜軟件。那個(gè)時(shí)候，當(dāng)時(shí)的思科公司首席總裁約翰·錢伯斯（John Chambers）給奧巴馬寫了一封信，爭辯說國家安全局的行為使自己的生意遭到了連累。“我們決不能這么做，”錢伯斯寫道，“我們需要一些行為準(zhǔn)則……以確保能有適當(dāng)?shù)谋Ｕ洗胧﹣頌閲业陌踩繕?biāo)進(jìn)行服務(wù)，同時(shí)還要滿足全球商業(yè)的需求?！?/p>

2014年，奧巴馬當(dāng)局告訴《紐約時(shí)報(bào)》（New York Times），當(dāng)局命令國家安全局披露在大部分案件中發(fā)現(xiàn)的電腦系統(tǒng)安全缺陷，而非在這些缺陷能夠用來服務(wù)“一個(gè)明確的國家安全或執(zhí)法需求”時(shí)將其私藏起來。戴夫·艾特爾（Dave Aitel）是美國國家安全局前分析師，現(xiàn)在運(yùn)營了一家叫“ImmunitySec”的安全公司；依他之見，影子經(jīng)紀(jì)人攻擊事件中顯露的漏洞利用確實(shí)掌握了國家安全價(jià)值?！皩ξ襾碚f，對思科設(shè)備的遠(yuǎn)程存取聽起來像是已經(jīng)具備了國家安全級別的價(jià)值，”艾特爾說；此外，艾特爾還在博客中斷定：數(shù)據(jù)事實(shí)上是從國家安全局盜來的，影子經(jīng)紀(jì)人這個(gè)組織很可能是俄羅斯的?！拔覀儾恢滥男┯袃r(jià)值的情報(bào)是通過這種技術(shù)獲取的，但你能確定，它還是值得花費(fèi)時(shí)間創(chuàng)造的。當(dāng)你擁有300兆字節(jié)精細(xì)制作的代碼，你當(dāng)然不是鬧著玩的?！?/p>

艾特爾認(rèn)為，爭議性還是很大的，美國國家安全局正是需要這些網(wǎng)絡(luò)開發(fā)能力來進(jìn)行工作。“想象一下，如果你沒有任何思科漏洞利用，你就不能對恐怖行動(dòng)進(jìn)行通報(bào)……在當(dāng)今時(shí)代，這是做情報(bào)工作的必需品。我們需要習(xí)慣它?！?/p>

原文標(biāo)題：The Shadow Brokers Mess Is What Happens When the NSA Hoards Zero-Days