NSA说,它经常,而不是,它披露软件缺陷
(由Joseph Menn,Reuters) - 美国国家安全机构寻求反驳它的指控,即它囤积有关计算机软件的漏洞信息,从而将美国公司向网络攻击开放,表示,它告诉我们技术公司最严重的它发现超过90%的时间。
根据现任和前美国政府官员的说法,重新保证可能是误导性的,因为NSA经常使用漏洞首先使自己的网络攻击成为自身的网络攻击。官员表示,NSA刚向技术供应商披露了他们的技术供应商,以便他们可以解决问题并将更新的节目更新给客户。
在问题上是美国所谓的“零天”的政策,这是对黑客和间谍的严重软件缺陷,因为没有人对他们不了解。零点术语来自警告用户的数量来保护他们的机器;为期两天的缺陷是不太危险的,因为它在补丁可以后两天出现。
最着名的零天使用零天天,攻击病毒由NSA开发的攻击病毒及其以色列对手渗透伊朗核计划和富含铀的破坏离心机。
在2010年发现之前,Stuxnet利用了Microsoft Corp和Siemens AG的软件中以前未知的缺陷,以穿透设施而不触发安全程序。
一个阴暗而强大的市场已经开发出零天的购买和销售,并且由于2013年5月报告的路透社,NSA是世界上缺陷的世界顶级买家。NSA还通过自己的网络计划发现了缺陷,其中一些将一些人作为其主要间谍使命的一部分闯入海外的计算机和电信系统。
一些零天值比其他日子更有价值,具体取决于这些因素,因为难以找到它们以及目标软件的普遍存在。虽然有些人可以买到50,000美元,但是一位着名的零一天经纪人表示,本周他同意向一支用于闯入完全更新的Apple iPhone的方式支付100万美元。公司Zerodium的Chaouki Bekrar告诉路透社,iPhone技术将“可能被卖给美国客户”,包括政府机构和“非常大的公司”。
政府官员表示,对于零天应用于冒犯业务或披露于科技公司及其客户的防御目的,有自然的紧张关系。
在前NSA承包商Edward Snowden和路透社的启示后,详细说明了政府支付的安全公司RSA如何在其软件中包括NSA污染加密,这是一个白色的房子审查小组推荐倾斜政府政策更多地走向防御。
Barack Obama总统的网络安全协调员Michael Daniel说,他“重新获得了”审查进程,决定了政府关注所作的每个缺陷。该过程的细节仍然是分类的,但面试表明,这一变化大幅提升了国土安全部的作用,负责国防部,并未对该问题的政府间辩论中心。
在Daniel描述了经过改进的过程之后,激进的电子前沿基金会根据信息法行为的自由制成的文件。
该案例中最重要的发布于9月出现,未经规定且部分冗余的13页备忘录概述了代理商如何处理软件漏洞的知识。备忘录指出,NSA的防守臂,信息保障局担任该过程的执行秘书处。
国土安全
备忘录的一部分列出了作为当然参与该过程的代理商。未解冻的部分是指可以要求逐一案例参与的其他机构,以及国土安全部门出现在该科,以及国家部门,司法,库房和商业部门。
两位前白宫官员说,丹尼尔在一年半前重组了这款旧系统的备忘录。
在采访中,丹尼尔告诉路透社认为DHS是新系统的关键部分,由白宫的国家安全理事会经营。
“DHS在我跑步的过程中在桌子上,”丹尼尔说。
NSA发言人将关于其政策的问题提出了对NSC的问题,发言人将路透社返回NSA。
NSA在其网站上表示,它理解需要大多数缺陷进行防御。
“在绝大多数案件中,负责任地披露新发现的脆弱性显然是国家利益,”根据该网站。
“但是,决定披露漏洞的决定有合法的优缺点,而迅速披露与限时一些漏洞的知识之间的权衡可能产生重大后果。
“披露脆弱性可能意味着我们放弃了一个机会,收取可能挫败恐怖袭击的至关重要的外国情报,阻止我们国家知识产权的盗窃,或发现更危险的漏洞被用于利用我们的网络。”
该机构表示:“历史上看,NSA已经发布了超过91%的脆弱性,这些产品已经通过了我们的内部审查过程,并在美国制造或使用或使用。”
它表示,剩下的包括一些已经固定的东西以及遭到国家安全原因的那些。“
一位前白宫官员指出,NSA在提出披露时没有说,这将是“合理的假设”得出结论,其中大部分91%的涵盖缺陷在提醒公司之前已经过去常常收集情报。他还表示,P包括从外部购买的那些。NSA和NSC官员拒绝解决这些断言。
Denelle Dixon-Thayer,Firefox浏览器制造商Mozilla Foundation的首席法律和商务人员表示,这是猜测平均差距与防守披露之间多长时间的猜测。
差距越大,其他国家或黑客使用类似的狩猎技术的可能性也越大。即使他们没有,U.S.网络攻击的目标也可以检测到哪种技术被使用并将其抵御美国和其他技术。
“如果它在已经被执行之后披露,那是一个非常重要的问题,”迪克森 - Thayer说。
在改变的美国评估过程中,另一名前官员表示,国土安全部门往往是讨论中最有力的“鸽子”,争论其他人发现同样的缺陷和利用它。
现任官方行政官员表示,在NSC控制该过程后,向供应商披露的严重缺陷的比例没有跳跃。“这还是早期,但趋势并没有显着改变,”官方说道。
关于美国脆弱性泄露的讨论越来越多的讨论是众议院和参议院领导人准备在网络安全信息共享上进行微调三个相关的账单,这些账单旨在为公司提供对政府攻击的法律保护。
Mozilla和许多其他技术公司反对这些账单,因为他们将为政府提供有关客户和攻击的更多信息,而无需政府向公司提供更多信息。
Dixon-Thayer表示,官员甚至可以采取他们了解行业的新技术,以推动自己的攻击而不是帮助防守者。
(在标题中修复印刷错误)
(由Joseph Menn在华盛顿报告;由Jonathan Weber和John Pickering编辑)