首页   国内   国际   产经   财富   体育   文娱   商务   房产   汽车   科技   教育  
  时代商报_电子E报
 
国内国际 Economy
粪便揭古代企鹅灭绝之谜 专
当心民粹主义的高度排他性
中国国际海运集装箱(集团
[路演]飞马国际:已与多家国
家门口就能看足球赛!成都
静待美联储翻云覆雨 国际黄
当实木运动地板成为国际化
日本宫古岛近海6.4级地震未
    
证券理财 Negotiable
[产经]产业技术创新能力十三
马云入选《财富》全球50位领
“陕北七年是近平一生最宝
证券时报多媒体数字报刊平
2017理财佳选:捞财宝、陆金
林志玲父亲否认女儿6月闪嫁
半导体行业二季度投资策略
国家队再一次密集砸盘“纠
    

首页 > 科技 > 美国政府发现了但为何不告知企业软件漏洞?

美国政府发现了但为何不告知企业软件漏洞?


发布时间:2017-05-20 00:23   来源:www.sdshang.com

美国政府发现了但为何不告知企业软件漏洞?

【腾讯科技编者按】 《赫芬顿邮报》网站发表文章称,美国政府情报机构会专门搜索消费者产品中的漏洞信息,然后在政府内部进行评估,哪些漏洞信息可以通知相关企业,让其开发相应安全补丁,哪些漏洞信息应进行保密,并用于间谍活动,从而为更广大的公众利益服务。

但是,WannaCry勒索病毒的大规模攻击活动让人们开始思考政府机构这样做是否存在问题。专家指出,情报机构也需要监督和审查机制,涉及到自身产品漏洞的科技企业应该参与情报监督。

据外媒报道,WannaCry勒索病毒肆虐全球已有好几天了,它影响了150个国家的20万个用户和1万个组织。而且,它在未来继续作恶的威胁依然存在。

WannaCry病毒的普遍性表明了大规模勒索病毒攻击有多么可怕。它威胁到了公共基础设施、商业活动和人们的生活。但是,这个事件的意义远不止如此。此次勒索病毒攻击活动不仅彰显了安全专家必须面对的严峻问题,而是显示了网络安全保护措施有多么重要,以及当系统和设备没有安全保障的时候后果有多么严重。

WannaCry病毒的影响范围让人们又开始了探讨一个由来已久的问题:在政府情报机构悄悄利用消费者产品中的安全漏洞时,公众将会面临多大的安全威胁?

搜集和储备漏洞

WannaCry利用了Windows服务器中存在的一个名为EternalBlue的漏洞。NSA(美国国家安全局)发现了这个漏洞,并悄悄储备了起来。但是,有关这个漏洞的信息以及如何利用它的信息被一个名为Shadow Brokers的黑客组织窃走,并公之于众。微软在3月中旬发布了漏洞补丁,但是很多电脑和服务器实际并没有接到这个补丁,依然暴露在危险之中。

保留漏洞信息,而不是直接告知企业,这是NSA进行间谍活动的通常做法,它的出发点也是为了保护公众的安全。但是,它实际上造成了很大的危害。现在没有迹象表明像NSA这样的政府机构会在未来停止这种做法。

“即使NSA和美国政府这样做是正确的,我们也有权对此表示愤怒。这就好比警察弄丢了枪支,结果被不法分子用于犯罪。这让我们感到愤慨。”哥伦比亚大学的网络冲突研究员杰森-希利(Jason Healey)说。他的研究方向是美国政府现有的漏洞披露机制。“我想,政府的通常反应就是:‘瞧,这是间谍活动。这就是游戏的玩法。不要大惊小怪了。’但是,人们感到愤怒是情有可原的,政府需要想出处理这个问题的更好办法。”

当然,很多人愤怒的是NSA间谍工具怎么就被窃走、泄露,然后被利用来危害全世界的组织和个人。

“这就好比美国军方的战斧导弹失窃。”微软总裁兼首席法务官布拉德-史密斯(Brad Smith)说,“此次勒索病毒攻击再次证明政府储备漏洞信息的做法是有问题的。我们需要政府考虑储备和利用这些漏洞信息给公众造成的危害。”

与此同时,同样重要的是科技公司应及时发布漏洞补丁,并确保用户(组织和个人)安装这些补丁。专家认为,科技行业及其用户也应该对此次勒索病毒攻击事件负责,因为微软发布了安全补丁,但是很多用户并没有安装它。全球情报机构保留漏洞信息妨碍了企业开发相应补丁,以及用户安装补丁。俄罗斯总统普京称,“像这样的妖魔鬼怪一旦跑出瓶子,它们就会伤害很多人,甚至它们的创造者。尤其是情报机构自己创造的妖怪。”

谁来决定是否有利于更广大的公众利益

从2010年以来,美国政府一直在推行一项名为Vulnerabilities Equities Process的项目。这个项目要求获得漏洞信息的情报机构在政府内部分享相关信息,以进行评估。然后,根据每个漏洞的情况来决定是告知企业这个漏洞,以便它们发布安全补丁,保护用户的安全,还是保留这个漏洞用于进行间谍活动,以谋求更广大公众的利益。

迄今为止,这个项目被证明并不完善。事实上,有证据表明,一些政府机构甚至阻扰解决这些漏洞。“一方面,情报机构宣称要保留这些漏洞信息,将它们用于间谍活动,另一方面他们又不断地泄露这些漏洞信息,或者被黑客窃走这些信息,而且它们似乎不用为这样给公众造成的危害负责。”电子前线基金会(Electronic Frontier Foundation)的律师安得烈-克罗克(Andrew Crocker)说,“我们需要改革Vulnerabilities Equities Process项目或类似的项目,确保相关机构对其安全威胁负责。”

专家称,一个可能的办法就是创造一个机制,让牵扯到自身产品漏洞的科技公司参与情报监督。这样做可能悖逆了情报机构早已习惯的独立性和保密性,但是这些科技公司可以牵制情报机构,因为一旦利用其漏洞的间谍工具泄露,这些公司将要承担很大的责任。“这里必须有一个平衡。”康奈尔大学电脑工程教授史蒂芬-维克(Stephen Wicker)说,“科技企业必须参与进来。”


上一篇:云聚政务,数领未来 | 2017中国政府信息化峰会即将扬帆启航

下一篇:继续迎击Apple Muisc Spotify收购AI公司
    
      关于时代商报 | 网站导航 | 诚聘英才 | 广告服务 | 法律支持 | 投诉建议

    友情链接/网站合作咨询:

    map1 map2 map3 map4 map5 map6 map7 map8 map9 map10 map11 map12