|
||||
據美國《紐約時報》報道,美國政府高官當地時間12日表示,總統奧巴馬介入了美國情報機構內部的激烈爭論,並且決定,如果國家安全局(NSA)發現網絡安全存在重要漏洞,大多數情況下就應該公開信息,確保漏洞獲得修復,而不是保持沉默,以便利用這些漏洞開展間諜活動或網絡攻擊。
不過,前述官員表示,奧巴馬也給出了廣泛的例外情況,前提是“國家安全或執法行動存在明確需要”。這樣的例外可能會允許NSA繼續利用安全缺陷破解網絡加密,設計網絡武器。
白宮從未公開詳述奧巴馬的決定,這個決定是他今年1月做出的,當時他剛開始對總統顧問委員會有關如何迴應NSA近期泄密事件的各種建議進行爲期三個月的審查。
但這一決定的內容於上週五(11日)浮出水面,當時白宮否認事先知道“心臟出血”(Heartbleed)漏洞的存在。上週,這個新近爲人所知的網絡安全漏洞促使美國人匆忙修改網絡密碼。白宮發表聲明稱,發現此類漏洞時,政府現在的“傾向”是與電腦及軟件製造商分享信息,以便創建補救措施,並向業內公司及用戶分發。
NSA女發言人海登(Caitlin Hayden)表示,對建議的審查工作現已結束,成果是一個“得到加強”的價值權衡程序,意在確定發現漏洞時是披露信息,還是對發現進行保密,以便情報機構加以利用。
她說,“權衡程序傾向於負責任地披露這些漏洞。”
到目前爲止,白宮拒絕透露奧巴馬對總統顧問委員會的建議採取的行動,該委員會報告更廣爲人知的內容是,要求政府停止收集所有美國人撥打的電話的大量數據。奧巴馬在上個月宣佈,他會終止大量收集電話數據的行爲,讓電信公司來保留這些數據,同時輔以一個相關程序,以便政府在需要時通過法院命令獲得數據。
雖然監控建議值得注意,其他一些有關網絡加密及網絡行動的建議卻在情報機構內部引發了激烈爭論,讓人想起半個世紀前籠罩華盛頓的冷戰紛爭。
其中一個建議要求NSA停止弱化商用加密系統,或嘗試設立“後門”,這類做法會大大降低NSA破解美國對手通訊數據的難度。這類做法能帶來破解密碼的簡便方法,非常誘人——這也是美國前總統杜魯門62年前創立NSA的原因。儘管如此,該委員會還是斷定,這類做法會削弱人們對美國軟件及硬件產品的信任。最近幾個月,硅谷的公司紛紛呼籲美國放棄此類做法,德國、巴西等其他國家也表示,他們正在考慮避免使用美國製造的設備和軟件。它們的動機絕對不算純潔:外國公司將NSA泄密事件看作抑制美國對手的機會。
另一條建議敦促政府只對黑客所謂的“零日”(zero days)進行最有限的臨時利用。“零日”即微軟Windows等軟件中的編碼漏洞,黑客可以利用它進入計算機——以及與它連接的任何企業、政府機構或網絡。這種漏洞之所以被稱爲“零日”,是因爲它們一旦被人發現,在黑客利用這個偶然的漏洞之前,計算機用戶只有“零日”的時間來修復它們。
在對伊朗核濃縮基地發動攻擊時,NSA利用了四個“零日”漏洞。這項行動的代號爲“奧運會”,最終破壞了大約1000臺伊朗離心機,從某種程度上起到了把伊朗推上談判桌的作用。
不足爲奇的是,NSA官員及軍方的美國網絡戰司令部官員警告稱,放棄利用未披露漏洞的能力就等於“單邊裁軍”——這個說法取自關於是否裁減,及在何種程度上裁減美國核武庫的論戰。
“除非俄羅斯也消除核武器,否則我們是不會這樣做的,”一名美國高級情報官員近期表示。上個月,就連一位曾在NSA泄密事件後對大規模改革表示贊同的高級白宮官員也表示,“我無法想象,總統——任何一位總統——會完全放棄這樣的一項技術,因爲說不定哪一天,這項技術會使他有能力通過祕密行動來避免一場熱戰。”
這項技術的核心就是“心臟出血”所造成的此類互聯網隱祕漏洞,它們幾乎都是由錯誤或疏忽引起的。目前尚無任何證據表明NSA在製造“心臟出血”方面負有任何責任。11日下午,白宮否認預先知曉“心臟出血”相關信息,這似乎是NSA第一次說明,某個具體的網絡漏洞在或不在馬里蘭州米德堡祕密數據庫裏。該地是NSA和網絡戰司令部的總部所在地。
然而,前NSA承包商僱員斯諾登披露的文件表明,在“心臟出血”爲人所知兩年之前,NSA正在尋找方法來完成這個漏洞偶然做成的事情。代號布爾河(Bullrun)——這個名字顯然來自華盛頓郊外那個兩次內戰戰役的發生地——的項目是一項長達10年的行動的一部分,該行動的目的是攻破或繞開網絡加密。文件沒有指明這個項目取得了何種程度的成功,但在打開獲得祕密數據的路徑方面,這個項目很可能比利用“心臟出血”更有效率。