美國國家安全局藏匿零日漏洞之時，影子經紀人混亂之日

安迪·格林伯格（Andy Greenburg）

魏尚新/譯

美國國家安全局藏匿零日漏洞之時，影子經紀人混亂之日

安迪·格林伯格（Andy Greenburg）

魏尚新/譯

選自美國《連線》雜志 2016年8月17日

每當美國國家安全局（NSA）發現一種入侵軟件或硬件的新方法時，就會置身在兩難的境地。將其開發利用的安全缺陷通報給產品生產商進行修復，或是對漏洞進行保密（在安保行業被稱為“零日漏洞”），并利用它對目標進行攻擊，收集有價值的情報。有的數據明顯是從美國國家安全局黑客團隊偷盜而來，如今，一項有關該類數據的案例似乎表明了當該機構選擇進攻或防御時，隨之而來的風險：其秘密黑客工具會落入未知人員的手中。

近日，一個自稱“影子經紀人”（Shadow Brokers）的匿名團體在網上張貼了一些數據；網絡設備公司思科（Cisco）和飛塔（Fortinet）便就其中披露的漏洞向客戶發出了提醒。該團體聲稱：已通過攻擊一個著名的精英間諜團隊“方程式組織”（Equation Group）獲取數據，并將其連接到了美國國家安全局。“影子經紀人”將其所獲贓物描述為加密的“網絡武器”緩存，想要將其拍賣給出價最高的競買者。該數據轉儲還包含了一個非加密的樣本，含包括黑客軟件在內的300兆字節的信息；該黑客軟件名為“漏洞利用”，旨在將來自思科、飛塔、瞻博（Juniper）和天融信（TopSec）等公司的網絡設備作為攻擊目標。

基于飛塔和思科應對漏洞利用泄露的緊急警報來看，其中一些漏洞利用似乎其實已經成為隱秘的零日漏洞了。這也提高了數據實際上是從美國國家安全局黑客手里盜取的可能性——對數據進行分析的安全專家日益相信該觀點。

美國國家安全局對零日漏洞進行保密，而非將其通報給受影響的公司；更廣泛地說，該行為也引發了新的質疑。“總有一種微妙的平衡：他們如何完成自己的使命，攻擊對手，同時保護到其他人？”SentinelOne公司經驗豐厚的網絡安全研究員兼安全策略主管耶利米·格羅斯曼（Jeremiah Grossman）這么問道。“你未予通報的時間越長，它最終泄露的可能性也就越大。”

盡管被盜數據緩存包含很多漏洞利用，很多可以與愛德華·斯諾登（Edward Snowden）泄露的資料里提到的美國國家安全局黑客技術相匹敵，但思科公司還是只就其中的兩項對客戶發出了提醒，并推薦了更改配置來阻止兩件更嚴重情況的發生，因為它們可能使得攻擊者在某種情境下控制自己的網絡安全用具。飛塔公司對客戶發出警告：另一個泄露了的漏洞利用影響到了其2012年以前售出的安全設備，并建議客戶對軟件進行升級。

思科公司發言人確認：美國國家安全局之前并未就公司目前正在處理的漏洞發出通報。考慮到“影子經紀人”所偷盜的數據可能是三年前的舊數據，那就可能意味著，美國國家安全局或許已經秘密使用黑客技術很多年了——可能使它落入敵手也已達如此之久。

格羅斯曼認為，這同時也表明：關于美國國家安全局何時應該藏匿零日漏洞、何時應該將其披露給供應商以提高互聯網的整體安全性，還需要更加公開的討論。“我認為，應該鼓勵他們獲取零日漏洞的處理權，以便完成使命，”格羅斯曼說，“但他們應該具備清晰的時間界限，并在之后將其發布出去，這樣我們才能適當地保護自己。”

美國國家安全局局長邁克爾·羅杰斯（Michael Rogers）在2014年底曾表達過這樣的看法：國家安全局通報了它所發現的大多數漏洞。“按照數量級，我們發現的最大數目的漏洞，就會共享出去。”他這么告訴斯坦福大學的聽眾。不久后，國家安全委員會（National Security Council）網絡安全協調員及奧巴馬的顧問邁克爾·丹尼爾（Michael Daniel）告訴《連線》（Wired）雜志，“總會有這種感覺——政府花費很多時間和精力去查找我們大量積攢的漏洞……但事實卻遠沒有那么樸實、有趣。”

但影子經紀人所泄露的內容似乎成了這種零日積存的證明，即使其數目大小尚不明確。除此之外，它或許已經被盜用很多年這一事實也加深了人們對美國國家安全局的苛責。正如伯克利安全研究員尼古拉斯·韋弗（Nicholas Weaver）在推特上寫的那樣:“如果國家安全局2013年就發現了這個缺口，卻沒有告知思科公司或是飛塔公司，那是極其糟糕的。如果它們不知道，那也是很糟糕的。”美國公民自由聯盟（ACLU）首要技術專家克里斯·索菲安（Chris Soghoian）甚至認為：這種事件將會招致國會調查。來自電子前線基金會（Electronic Frontier Foundation）的安德魯·克羅克（Andrew Crocker），曾就聯邦政府對零日漏洞的收集和使用對其進行調查，在更多有關影子經紀人攻擊事件的來源和本質的資料得到證實之前，不愿妄加評述。但他一再說明，“對漏洞，是保留，還是披露，應該有一場公開的對話。”

對思科公司來說，這個事件或許是對2014年斯諾登事件的不快重溯；彼時，愛德華·斯諾登所泄露的內容表明：美國國家安全局對設備運送進行攔截，安裝間諜軟件。那個時候，當時的思科公司首席總裁約翰·錢伯斯（John Chambers）給奧巴馬寫了一封信，爭辯說國家安全局的行為使自己的生意遭到了連累。“我們決不能這么做，”錢伯斯寫道，“我們需要一些行為準則……以確保能有適當的保障措施來為國家的安全目標進行服務，同時還要滿足全球商業的需求。”

2014年，奧巴馬當局告訴《紐約時報》（New York Times），當局命令國家安全局披露在大部分案件中發現的電腦系統安全缺陷，而非在這些缺陷能夠用來服務“一個明確的國家安全或執法需求”時將其私藏起來。戴夫·艾特爾（Dave Aitel）是美國國家安全局前分析師，現在運營了一家叫“ImmunitySec”的安全公司；依他之見，影子經紀人攻擊事件中顯露的漏洞利用確實掌握了國家安全價值。“對我來說，對思科設備的遠程存取聽起來像是已經具備了國家安全級別的價值，”艾特爾說；此外，艾特爾還在博客中斷定：數據事實上是從國家安全局盜來的，影子經紀人這個組織很可能是俄羅斯的。“我們不知道哪些有價值的情報是通過這種技術獲取的，但你能確定，它還是值得花費時間創造的。當你擁有300兆字節精細制作的代碼，你當然不是鬧著玩的。”

艾特爾認為，爭議性還是很大的，美國國家安全局正是需要這些網絡開發能力來進行工作。“想象一下，如果你沒有任何思科漏洞利用，你就不能對恐怖行動進行通報……在當今時代，這是做情報工作的必需品。我們需要習慣它。”

原文標題：The Shadow Brokers Mess Is What Happens When the NSA Hoards Zero-Days