负责任的漏洞披露(VEP-style)是否有望成为国际准则?

前情提要

越来越多的国家仿效美国采取了负责任的漏洞披露&利弊权衡政策,原因之一是因为公众怀疑情报机构囤积了许多未公布的可能造成重大影响的漏洞,并要求情报机构做合理公正的披露。

根据已解密的文件可知,美国在2010年就开始实行一套漏洞披露政策(Vulnerability Equities Process,VEP),但直到2014年才公开披露了VEP的内容,目的是消除民众对国家安全局(National Security Agency,NSA)可能早已经秘密了解了Heartbleed漏洞细节的怀疑。


*注释:Heartbleed漏洞,又被称为“OpenSSL心脏出血漏洞”,2014年爆发,据称当时全球三分之二的网站受到影响,堪称互联网历史上最严重的安全漏洞之一。


现在,其他的民主国家也在效仿国家层面的漏洞公开披露政策,但尚不清楚是否会对“恶意行为者”的国家造成压力,迫使他们也效仿这一做法。

其他国家的漏洞披露进程

本月,根据加拿大国家广播公司CBC的报道,加拿大通信安全局(Communications Security Establishment ,CES,类似于美国的NSA)有一个类似VEP的政策,但目前尚未公布,CES甚至没有说出它的具体名称,机构发言人Ryan Foreman 称“CSE有一个严格的过程来审查和评估软件漏洞,这个长期的评估过程是由一个专家小组进行的。”加拿大新闻媒体报道说,“评估小组会定期开会,但拒绝透露他们在近几年中会谈的频率或次数”。

荷兰公共安全与司法部是主掌荷兰司法的政府部门,根据其网站上公布的消息可知,该部门在荷兰网络专家全球论坛上支持并正在推动由欧洲各国政府相互协调的漏洞披露倡议。在今年夏天举行的欧洲政策研究中心研讨会上,该部的一位官员概述了漏洞披露倡议的内容,称:“荷兰政府正在带头实施这项倡议,法国相关部门也在积极参与,意大利等国家也在积极追赶这一进程…确实需要在国家层面上更好地协调漏洞披露和处理进程。”

英国政府通信总部(Government Communications Headquarters,GCHQ,也相当与美国的NSA)负责人Robert Hannigan称:“GCHQ去年披露了移动端和桌面平台上的主要漏洞,包括那些会对英国企业造成重大影响的漏洞。”

诱因分析

哥伦比亚大学国际与公共事务学院的知名学者Jason Healey称:“有一点需要强调的是,美国与其他国际在履行漏洞披露策略的诱因可能不同。从某种程度上看,美国的情况有些特殊,有太多的公司或组织使用各种各样的软件产品,国家已经进入了全面互联网化的时代,私营企业尤其是大型公司,与美国的经济发展休戚相关,在谈判桌上有一定的话语权……相比而言,荷兰等国的情况就显得没有那么迫切了”。

Mozilla的高级政策经理Heather West说:“每个政府都有不同的考虑,然而,在欧洲,荷兰政府在行动上领先于其他国家”。West还说:“政府有责任帮助维护互联网生态系统中所有利益相关者的利益,美国也不例外。而诸如VEP之类的政策,是履行这一责任的重要组成部分,政府部门需要的是与企业合作,让我们的产品更安全,如果非要给出一个不容拒绝的理由的话,那就是他们也在使用这些产品”。

利弊分析

任何一项国家层面的政策的背后,都必然存在着当局的利弊权衡的考虑。以VEP为例,其背后是美国官员对漏洞披露利弊的权衡:向制造商披露新发现的软件缺陷的好处 VS 政府保留它们以便于监视外国对手的好处。

但现在的问题在于,在 IT市场全球化的进程中,每个企业、组织和个人都依赖相同的软件。囤积安全漏洞可能会提高情报部门监听的能力;但同时也可以导致整个互联网生态系统变得脆弱,被广泛使用的软件中包含未打补丁的漏洞,很可能被其他的黑客发现并加以利用,关于这一点,在现实中已经得到了验证。

前白宫网络安全官员Healey说:“如同企业需要公布一个专门接受安全漏洞报告的电子邮件地址一样,政府也需要一个公开的披露过程。”

把政府想象成一个大公司,其漏洞披露和处理过程应当尽可能的透明化,而且需要具备某种监督和控制程序。

参考美国卡内基梅隆大学软件工程研究所CERT部门推行的 “漏洞协同披露指南”(Coordinated Vulnerability Disclosure,CVD )的发展历程,它因公正和透明而变得愈加成熟,各国政府的VEPs也会因为透明化而变得更加成熟。

VEP-style成为国际规范面临的难题

尽管各国将继续探索负责任的漏洞披露的进程,然而一些美国官员并不看好诸如VEP这类进程能够成为国际规范的一部分,尤其对于网络空间上的那些惯用恶意的攻击伎俩的国家而言,让他们认同并遵从VEP之类的规范是很不现实的。

白宫的网络安全Rob Joyce在最近的一次活动中说:“在一个大型的跨国论坛上,制定和执行网络空间的通用规范是很困难的。我们将与志同道合的国家合作,开始执行我们已经讨论过的准则。”。

美国一位负责这个问题的网络安全官员说:“对于某些国家而言,我认为他们甚至不会承认他们正在寻找漏洞,”。这些VEPs过程需要高度地透明化,实施时需要某种程度上的[法律和政治层面上的]问责和监督,而在某些国家却不存在实现的可能性。” 这位官员拒绝透露自己的姓名,以便可以更自由地谈论一些美国网络安全政策最高级别上的一些非常敏感的进程。“美国正以身作则,权衡风险,了解利弊”。

根据美国官方的说法,美国政府从未试图将VEP-style进程推广为一项国际标准规范,美国通过G20推动的准则都是与“国家和国家”之间行动有关的最重要的准则,但VEP并不是一个详尽的清单,并不是一项希望所有国家都遵循的整套规范。”

匿名的美国官员还说到:“无疑的,让其他国家这样做是有价值的,将有助于使整个互联网生态系统更安全”,但是,也应该清楚有些国家永远不会这样做,这些国家缺乏透明度,尤其是在情报服务方面,他们也不重视生态系统、不尊重其他利益相关者。”

尽管如此,对于那些签署协议的国家来说,即使只是口头上的承诺也是有价值的,如果一些不良行为的国家也同意遵守,无疑是意料之外的收获。

原创文章,作者:猫小编,如若转载,请注明出处:http://www.mottoin.com/106045.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code