安迪·格林伯格（Andy Greenburg）

魏尚新/譯

美國國家安全局藏匿零日漏洞之時，影子經(jīng)紀人混亂之日

安迪·格林伯格（Andy Greenburg）

魏尚新/譯

選自美國《連線》雜志 2016年8月17日

每當美國國家安全局（NSA）發(fā)現(xiàn)一種入侵軟件或硬件的新方法時，就會置身在兩難的境地。將其開發(fā)利用的安全缺陷通報給產(chǎn)品生產(chǎn)商進行修復，或是對漏洞進行保密（在安保行業(yè)被稱為“零日漏洞”），并利用它對目標進行攻擊，收集有價值的情報。有的數(shù)據(jù)明顯是從美國國家安全局黑客團隊偷盜而來，如今，一項有關該類數(shù)據(jù)的案例似乎表明了當該機構選擇進攻或防御時，隨之而來的風險：其秘密黑客工具會落入未知人員的手中。

近日，一個自稱“影子經(jīng)紀人”（Shadow Brokers）的匿名團體在網(wǎng)上張貼了一些數(shù)據(jù)；網(wǎng)絡設備公司思科（Cisco）和飛塔（Fortinet）便就其中披露的漏洞向客戶發(fā)出了提醒。該團體聲稱：已通過攻擊一個著名的精英間諜團隊“方程式組織”（Equation Group）獲取數(shù)據(jù)，并將其連接到了美國國家安全局。“影子經(jīng)紀人”將其所獲贓物描述為加密的“網(wǎng)絡武器”緩存，想要將其拍賣給出價最高的競買者。該數(shù)據(jù)轉儲還包含了一個非加密的樣本，含包括黑客軟件在內(nèi)的300兆字節(jié)的信息；該黑客軟件名為“漏洞利用”，旨在將來自思科、飛塔、瞻博（Juniper）和天融信（TopSec）等公司的網(wǎng)絡設備作為攻擊目標。

基于飛塔和思科應對漏洞利用泄露的緊急警報來看，其中一些漏洞利用似乎其實已經(jīng)成為隱秘的零日漏洞了。這也提高了數(shù)據(jù)實際上是從美國國家安全局黑客手里盜取的可能性——對數(shù)據(jù)進行分析的安全專家日益相信該觀點。

美國國家安全局對零日漏洞進行保密，而非將其通報給受影響的公司；更廣泛地說，該行為也引發(fā)了新的質疑?！翱傆幸环N微妙的平衡：他們?nèi)绾瓮瓿勺约旱氖姑?，攻擊對手，同時保護到其他人？”SentinelOne公司經(jīng)驗豐厚的網(wǎng)絡安全研究員兼安全策略主管耶利米·格羅斯曼（Jeremiah Grossman）這么問道?！澳阄从柰▓蟮臅r間越長，它最終泄露的可能性也就越大?！?/p>

盡管被盜數(shù)據(jù)緩存包含很多漏洞利用，很多可以與愛德華·斯諾登（Edward Snowden）泄露的資料里提到的美國國家安全局黑客技術相匹敵，但思科公司還是只就其中的兩項對客戶發(fā)出了提醒，并推薦了更改配置來阻止兩件更嚴重情況的發(fā)生，因為它們可能使得攻擊者在某種情境下控制自己的網(wǎng)絡安全用具。飛塔公司對客戶發(fā)出警告：另一個泄露了的漏洞利用影響到了其2012年以前售出的安全設備，并建議客戶對軟件進行升級。

思科公司發(fā)言人確認：美國國家安全局之前并未就公司目前正在處理的漏洞發(fā)出通報?？紤]到“影子經(jīng)紀人”所偷盜的數(shù)據(jù)可能是三年前的舊數(shù)據(jù)，那就可能意味著，美國國家安全局或許已經(jīng)秘密使用黑客技術很多年了——可能使它落入敵手也已達如此之久。

格羅斯曼認為，這同時也表明：關于美國國家安全局何時應該藏匿零日漏洞、何時應該將其披露給供應商以提高互聯(lián)網(wǎng)的整體安全性，還需要更加公開的討論?！拔艺J為，應該鼓勵他們獲取零日漏洞的處理權，以便完成使命，”格羅斯曼說，“但他們應該具備清晰的時間界限，并在之后將其發(fā)布出去，這樣我們才能適當?shù)乇Ｗo自己?！?/p>

美國國家安全局局長邁克爾·羅杰斯（Michael Rogers）在2014年底曾表達過這樣的看法：國家安全局通報了它所發(fā)現(xiàn)的大多數(shù)漏洞?！鞍凑諗?shù)量級，我們發(fā)現(xiàn)的最大數(shù)目的漏洞，就會共享出去?！彼@么告訴斯坦福大學的聽眾。不久后，國家安全委員會（National Security Council）網(wǎng)絡安全協(xié)調(diào)員及奧巴馬的顧問邁克爾·丹尼爾（Michael Daniel）告訴《連線》（Wired）雜志，“總會有這種感覺——政府花費很多時間和精力去查找我們大量積攢的漏洞……但事實卻遠沒有那么樸實、有趣?！?/p>

但影子經(jīng)紀人所泄露的內(nèi)容似乎成了這種零日積存的證明，即使其數(shù)目大小尚不明確。除此之外，它或許已經(jīng)被盜用很多年這一事實也加深了人們對美國國家安全局的苛責。正如伯克利安全研究員尼古拉斯·韋弗（Nicholas Weaver）在推特上寫的那樣:“如果國家安全局2013年就發(fā)現(xiàn)了這個缺口，卻沒有告知思科公司或是飛塔公司，那是極其糟糕的。如果它們不知道，那也是很糟糕的?！泵绹褡杂陕?lián)盟（ACLU）首要技術專家克里斯·索菲安（Chris Soghoian）甚至認為：這種事件將會招致國會調(diào)查。來自電子前線基金會（Electronic Frontier Foundation）的安德魯·克羅克（Andrew Crocker），曾就聯(lián)邦政府對零日漏洞的收集和使用對其進行調(diào)查，在更多有關影子經(jīng)紀人攻擊事件的來源和本質的資料得到證實之前，不愿妄加評述。但他一再說明，“對漏洞，是保留，還是披露，應該有一場公開的對話。”

對思科公司來說，這個事件或許是對2014年斯諾登事件的不快重溯；彼時，愛德華·斯諾登所泄露的內(nèi)容表明：美國國家安全局對設備運送進行攔截，安裝間諜軟件。那個時候，當時的思科公司首席總裁約翰·錢伯斯（John Chambers）給奧巴馬寫了一封信，爭辯說國家安全局的行為使自己的生意遭到了連累?！拔覀儧Q不能這么做，”錢伯斯寫道，“我們需要一些行為準則……以確保能有適當?shù)谋Ｕ洗胧﹣頌閲业陌踩繕诉M行服務，同時還要滿足全球商業(yè)的需求?！?/p>

2014年，奧巴馬當局告訴《紐約時報》（New York Times），當局命令國家安全局披露在大部分案件中發(fā)現(xiàn)的電腦系統(tǒng)安全缺陷，而非在這些缺陷能夠用來服務“一個明確的國家安全或執(zhí)法需求”時將其私藏起來。戴夫·艾特爾（Dave Aitel）是美國國家安全局前分析師，現(xiàn)在運營了一家叫“ImmunitySec”的安全公司；依他之見，影子經(jīng)紀人攻擊事件中顯露的漏洞利用確實掌握了國家安全價值?！皩ξ襾碚f，對思科設備的遠程存取聽起來像是已經(jīng)具備了國家安全級別的價值，”艾特爾說；此外，艾特爾還在博客中斷定：數(shù)據(jù)事實上是從國家安全局盜來的，影子經(jīng)紀人這個組織很可能是俄羅斯的?！拔覀儾恢滥男┯袃r值的情報是通過這種技術獲取的，但你能確定，它還是值得花費時間創(chuàng)造的。當你擁有300兆字節(jié)精細制作的代碼，你當然不是鬧著玩的?！?/p>

艾特爾認為，爭議性還是很大的，美國國家安全局正是需要這些網(wǎng)絡開發(fā)能力來進行工作。“想象一下，如果你沒有任何思科漏洞利用，你就不能對恐怖行動進行通報……在當今時代，這是做情報工作的必需品。我們需要習慣它?！?/p>

原文標題：The Shadow Brokers Mess Is What Happens When the NSA Hoards Zero-Days