政府应不应该囤积零日漏洞?对这个问题的回答见仁见智。有人觉得将软件漏洞秘而不宣会影响所有用户,无论如何都应当披露漏洞。另一方面,零日漏洞在一些人眼中与国家安全挂钩,认为只要能给本国带来战争或情报收集上的优势,就应该保密。
还有一群人持第三种观点,他们清楚政府囤积零日漏洞的优势与后果,认为对待零日漏洞不能非黑即白,应根据当前状况与情势变化充分衡量这么做的利弊,酌情选择是披露还是保密零日漏洞。
美国政府确实设置有衡量漏洞该不该披露的一个过程,名为“漏洞权衡过程(VEP)”。美国联邦政府采用该过程确定每个零日计算机安全漏洞的“待遇”:是向公众披露以改善计算机安全环境,还是加以保密留作对付政府假想敌的杀手锏?VEP在2000年代末期被制定出来,起因是公众对零日漏洞囤积行为的愤怒日益高涨。该过程最初呈保密状态,直到2016年电子前沿基金会(EFF)根据《信息自由法案》(FOIA)申请到了一份经脱密处理的文档。2017年年中,黑客团伙“影子经纪人”的曝光之后,白宫向公众披露了VEP的更新版本,试图提升该过程的透明度。那么,VEP到底是怎么进行的呢?
今天的VEP过程
该过程经白宫授权,由美国国家安全局(NSA)的代表和总统的网络安全协调官共同领导,NSA代表作为该过程的执行秘书听从国防部的指导,总统的网络安全协调官则是该过程的总监。其他参与者还包括来自10个政府机构的代表,他们组成了权衡审核委员会。
该过程要求漏洞发现机构、执行秘书及权衡审核委员会成员之间展开对话。各方就内部披露的漏洞细节提出各自权益,比如“该漏洞可能对自身产生的影响”等等。然后漏洞报告者和权益要求者之间将开启新一轮讨论,确定是建议披露还是建议隐瞒该漏洞。权衡审核委员会最终达成共识,决定接受该建议还是另寻他策。如果达成披露决议,披露动作会在7天内开始。算算时间线的话,从发现漏洞到披露漏洞,整个过程耗时在一星期到一个月不等,已经是相当快速的政府流程了。
VEP还要求做年报,年报至少要有漏洞公开的执行摘要,并包含有该过程整年的统计数据。第一个报告周期截止日期为2018年9月30日,也就是说,新的年报也不远了。
不足与例外
该过程显然不完美。除了时间安排,选择不披露操作的情形也很多,还有各机构间的踢皮球,所有这些都让政府更倾向于维持旧状,而不是努力达成VEP想要交付的公开透明。围绕该过程的一些现实问题如下:
1. 保密及其他协议
VEP在披露时会受到法律限制,比如保密协议、谅解备忘录和涉外国合作伙伴或私营产业合作伙伴的其他协议。这就留下了以这些协议为借口阻止披露的机会。
2. 缺乏风险评估
业界基于多种因素为漏洞打出评分。VEP却没有强制要求此类评估。这种分类或评分过程的缺乏可能导致年终数据失真。比如说,VEP可能公开宣称今年披露了100个漏洞,但由于缺乏漏洞上下文,这些漏洞有可能全都是对私营产业毫无影响的低风险威胁。
3. NSA主导
考虑到NSA实际上是最大的权益持有者,也是最有经验的漏洞处理者,其代表被选为委员会执行秘书毫不意外。该职位让NSA在VEP过程中享有了最大的权力。
4. 不披露选项
虽然公开披露是默认选项,但其他选项还包括:披露缓解信息而非漏洞本身;美国政府限制使用;秘密披露给美国盟友;以及间接披露给供应商。这些选项大多将漏洞瞒下,无视披露可能带来的好处。
缺乏透明性
除此之外,该过程似乎没有纳入来自私营产业的监督。围绕零日漏洞的争论中一直存在信任问题。认为更好的安全需要任何漏洞都应披露的人,几乎不会接受内部人士所谓“因为值得保密而不能披露”的回复。组成权衡审核委员会的10个机构中既有商务部也有国土安全部,有人可能觉得这两个部门应该会将私营产业权益考虑进去。但安全倡导者不这么想,毕竟这些席位也都是政府指定的。
由产业界代表和具安全权限的网络安全专家组成私营产业审核委员会是个不错的办法。这些委员会成员可以在一个月或一个季度的期限内审核VEP过程的结果。如果政府的委员会和业界专家组成的委员会都判定“值得保密”,安全倡导者接受起来也就没那么难了。