美国正全球抢购软件漏洞库，严防漏洞资源泄露外国

【洞见】漏洞库成维护国家安全的重要战略资源

青砚

按照教科书上的定义，漏洞是在计算机信息系统或网络的硬件、软件、协议的具体实现或系统安全策略上存在的缺陷，从而可以使攻击者能够在未授权的情况下访问或破坏系统。系统存在漏洞，用大白话说就是好比鸡蛋裂了个缝招来了苍蝇，渔网破了个洞捞不到鱼儿，城墙缺了个角防不住敌人。因此，一旦发现漏洞，人们都会相应地采取防护措施，或打上补丁，或更换升级。

而所谓的零日漏洞（0-day）就是尚未被软硬件生产商或协议制定者所知的安全缺陷。既然厂商不知情，有效的防护措施也就无从谈起。因此利用零日漏洞来入侵计算机系统和网络最为有效，能够做到“一招毙命”。

在大多数情况下，安全研究人员发现零日漏洞时会及时通知厂商，使漏洞能得到及时修复。但当有人想要利用一个漏洞进行网络犯罪，或者有政府想借此开展情报收集工作甚至于网络攻击，自然会隐瞒这些信息，让所有含有此缺陷的计算机系统和网络毫不设防。面对漏洞的巨大诱惑，是公开，还是利用？让我们看看美国政府是怎么选择的吧。

美国政府神秘的零日漏洞政策

2013年，前白宫网络安全顾问理查德·克拉克在接受媒体采访时曾说，“如果美国政府掌握了一个可以被利用的漏洞，在通常情况下其首要职责是告诉美国用户。应该有一些机制来决定政府如何使用这一信息，用于进攻还是用于防守。但这样的机制目前并未存在。”

日前，美国联邦调查局公布了一份名为《商业和政府信息技术及工业控制产品或系统漏洞政策及规程》的文件。文件显示，实际上早在2010年2月，美国政府就设立了成型的决策机制，以决定在政府部门发现某一软件漏洞后，是要及时公布使漏洞尽快修复，还是秘而不宣留作他用。由于这份文件仅仅描述了决策流程，美国政府的零日漏洞政策依然被蒙上层层面纱。外界无法确切知道在“情报收集”、“调查事项”和“信息安全保障”三者之间，美国政府是如何做到“对整体利益最好的决策”。

2014年，安全协议OpenSSL被曝存在严重安全漏洞“心脏出血”，可导致用户大量隐私信息，包括登录名甚至是密码等被黑客窃取，在全球互联网掀起一阵巨浪。而彭博社随后的报道更是重磅：美国国家安全局早在2012年就已经掌握了“心脏流血”这一漏洞信息；而奥巴马政府并没有及时将这一消息公布，甚至还将这个漏洞作为自己收集、监视用户网络数据的有力武器之一。

可想而知，奥巴马和美国国安局当然对此坚决否认。可许多人的怀疑并没有因此散去，毕竟即便奥巴马确实要求国家安全局将其发现的网络漏洞等安全隐患公开告诉民众，但他也明确地开了个口子：“出于某些显而易见的需要抑或是保护国家安全的需要”，可以对一些漏洞保持沉默，并加以合理使用。猜猜谁来具体解释“显而易见的需要”和“保护国家安全”？美国政府。

近来，一些美国媒体报道，至少在2015年以前，美政府的零日漏洞政策明显偏向了利用漏洞而非公开漏洞。实际情况是不是这样，外界不得而知，但看看美国政府在其他两个方面的做法，也许就能猜个八九不离十。

美国政府被指是漏洞市场上的大买家

近日，美国海军相关部门在一份请求安全业界协助的文档中表示，希望安全专家能向其出售“软件漏洞情报、漏洞攻击报告以及进行攻击的二进制文件等等”。美国海军表示，这些尚未获得修补的漏洞，一是必须来自于有关大量用户使用和依赖的商用软件，二是零日漏洞或是N日漏洞（漏洞发现时间不超过6个月），因为这些软件漏洞刚被发现，相关的软件企业尚未发布补丁或者升级，因此可被美军网络战部门加以利用。美国海军此次公开对外出资收购未修补的商业软件漏洞，其价格体系尚不得而知。

在今年4月，美国五角大楼对外公布了新版的网络安全战略概要。五角大楼认为，今天美国政府和企业受到网络攻击风险比过去更加严重和复杂，因此美国军方必须能够为美国政府提供应对各种冲突的选项，其中包括利用网络对敌方的指挥和控制系统进行打击。美国媒体据此分析指出，美海军收购软件漏洞的重要目的，是为对其他同样使用这些商用软件的国家和机构发起网络攻击做准备。

而早在2013年5月，路透社就曾发表特别报告指出，美国政府是零日漏洞黑市的最大买家。在黑市上，私营公司雇佣了专业技术人员和开发人员来发现漏洞，并同时开发出利用漏洞的代码，然后兜售。“这些零日漏洞起价5万美金。影响漏洞价格的因素包括漏洞所利用的商业系统的装机量以及漏洞能在多长时间内不被公开。”据路透社的总结：“美国国家安全局和国防部在获取商业系统漏洞的工作上投入了巨大的成本，不断尝试利用这些漏洞的方式。”

美国政府欲定新规堵住漏洞外流

同样是最近，美国商务部下属的工业与安全局提出新的《瓦森纳协定》落实规则的草案，接受公众评议，时间截至今年7月31日。《瓦森纳协定》的全称是《关于常规武器和两用物品及技术出口控制的瓦森纳安排》（The Wassenaar Arrangement on Export Controls for Conventional Arms and Dual-Use Good and Technologies）。它是世界主要的工业设备和武器制造国于1996年成立的一个旨在控制常规武器和高新技术贸易的国际性组织。目前，《瓦森纳协定》有41个成员国，包括美国、日本、英国等。

《瓦森纳协定》规定了两份控制清单：一份是武器控制清单；另一份是涵盖多数高科技成果的所谓“军民两用”技术清单，其中就包含特定类别的计算机软件程序。《瓦森纳协定》通过成员国间的信息通报制度，提高常规武器和双用途物品及技术转让的透明度，以达到监督和控制的目的。《瓦森纳协定》声称不针对任何国家和国家集团，不妨碍正常的民间贸易，也不干涉通过合法方式获得自卫武器的权力，但无论从其成员国的组成还是该机制的现实运行情况看，《瓦森纳协定》成员国在重要的技术出口决策上受到美国的影响，且具有明显的集团性质和针对发展中国家的特点。

对于美国商务部提出的《瓦森纳协定》新落实规则草案，不少信息安全业界人士认为，其中关于入侵软件的定义过于宽泛，合法的漏洞研究和验证将有可能受到监管。而美商务部工业与安全局局长兰迪·惠勒也毫不避讳，于日前公开确认，新规则的确意在对漏洞利用、零日漏洞、入侵软件进行开发、测试、评估、产品化进行限制，即美国企业或个人向境外厂商报告漏洞情况是一种出口行为，需预先申请政府许可，否则将被视为非法。

也就是说，通过推出许可申请的规定，美国政府可以将早于境外厂商掌握漏洞情况，且届时美政府有各种理由可做出不予许可的决定。从这个意义上来说，如果新的实施规则通过，美国政府在掌握漏洞和限制网络攻击工具扩散方面就拥有了十分有利的手段。

漏洞信息已成兵家必争之地

在信息安全领域，美国的实力，包括发现漏洞的能力，首屈一指。现在，美政府一方面斥巨资在全球范围内购买尚未获得修补的常用软件漏洞；另一方面，提出新的《瓦森纳协定》落实规定草案，要求美国的企业和研究人员在发现漏洞后先与政府共享漏洞细节，才能通知境外受影响的厂商，以此限制这些漏洞的有关信息流向境外。

通过这“一收”和“一堵”，美国有效增强了对漏洞“国家掌控”的程度，不断地为自己的网络战武器库“填充弹药”。在最大程度地取得了对漏洞信息的掌控后，美国将会怎么做，相信读者都应该能做出自己的判断了。可以说，漏洞信息已经成为名副其实的兵家必争之地，也成为值得中国政府高度重视的现实课题。