安迪·格林伯格（Andy Greenburg）

魏尚新/译

美国国家安全局藏匿零日漏洞之时，影子经纪人混乱之日

安迪·格林伯格（Andy Greenburg）

魏尚新/译

选自美国《连线》杂志 2016年8月17日

每当美国国家安全局（NSA）发现一种入侵软件或硬件的新方法时，就会置身在两难的境地。将其开发利用的安全缺陷通报给产品生产商进行修复，或是对漏洞进行保密（在安保行业被称为“零日漏洞”），并利用它对目标进行攻击，收集有价值的情报。有的数据明显是从美国国家安全局黑客团队偷盗而来，如今，一项有关该类数据的案例似乎表明了当该机构选择进攻或防御时，随之而来的风险：其秘密黑客工具会落入未知人员的手中。

近日，一个自称“影子经纪人”（Shadow Brokers）的匿名团体在网上张贴了一些数据；网络设备公司思科（Cisco）和飞塔（Fortinet）便就其中披露的漏洞向客户发出了提醒。该团体声称：已通过攻击一个著名的精英间谍团队“方程式组织”（Equation Group）获取数据，并将其连接到了美国国家安全局。“影子经纪人”将其所获赃物描述为加密的“网络武器”缓存，想要将其拍卖给出价最高的竞买者。该数据转储还包含了一个非加密的样本，含包括黑客软件在内的300兆字节的信息；该黑客软件名为“漏洞利用”，旨在将来自思科、飞塔、瞻博（Juniper）和天融信（TopSec）等公司的网络设备作为攻击目标。

基于飞塔和思科应对漏洞利用泄露的紧急警报来看，其中一些漏洞利用似乎其实已经成为隐秘的零日漏洞了。这也提高了数据实际上是从美国国家安全局黑客手里盗取的可能性——对数据进行分析的安全专家日益相信该观点。

美国国家安全局对零日漏洞进行保密，而非将其通报给受影响的公司；更广泛地说，该行为也引发了新的质疑。“总有一种微妙的平衡：他们如何完成自己的使命，攻击对手，同时保护到其他人？”SentinelOne公司经验丰厚的网络安全研究员兼安全策略主管耶利米·格罗斯曼（Jeremiah Grossman）这么问道。“你未予通报的时间越长，它最终泄露的可能性也就越大。”

尽管被盗数据缓存包含很多漏洞利用，很多可以与爱德华·斯诺登（Edward Snowden）泄露的资料里提到的美国国家安全局黑客技术相匹敌，但思科公司还是只就其中的两项对客户发出了提醒，并推荐了更改配置来阻止两件更严重情况的发生，因为它们可能使得攻击者在某种情境下控制自己的网络安全用具。飞塔公司对客户发出警告：另一个泄露了的漏洞利用影响到了其2012年以前售出的安全设备，并建议客户对软件进行升级。

思科公司发言人确认：美国国家安全局之前并未就公司目前正在处理的漏洞发出通报。考虑到“影子经纪人”所偷盗的数据可能是三年前的旧数据，那就可能意味着，美国国家安全局或许已经秘密使用黑客技术很多年了——可能使它落入敌手也已达如此之久。

格罗斯曼认为，这同时也表明：关于美国国家安全局何时应该藏匿零日漏洞、何时应该将其披露给供应商以提高互联网的整体安全性，还需要更加公开的讨论。“我认为，应该鼓励他们获取零日漏洞的处理权，以便完成使命，”格罗斯曼说，“但他们应该具备清晰的时间界限，并在之后将其发布出去，这样我们才能适当地保护自己。”

美国国家安全局局长迈克尔·罗杰斯（Michael Rogers）在2014年底曾表达过这样的看法：国家安全局通报了它所发现的大多数漏洞。“按照数量级，我们发现的最大数目的漏洞，就会共享出去。”他这么告诉斯坦福大学的听众。不久后，国家安全委员会（National Security Council）网络安全协调员及奥巴马的顾问迈克尔·丹尼尔（Michael Daniel）告诉《连线》（Wired）杂志，“总会有这种感觉——政府花费很多时间和精力去查找我们大量积攒的漏洞……但事实却远没有那么朴实、有趣。”

但影子经纪人所泄露的内容似乎成了这种零日积存的证明，即使其数目大小尚不明确。除此之外，它或许已经被盗用很多年这一事实也加深了人们对美国国家安全局的苛责。正如伯克利安全研究员尼古拉斯·韦弗（Nicholas Weaver）在推特上写的那样:“如果国家安全局2013年就发现了这个缺口，却没有告知思科公司或是飞塔公司，那是极其糟糕的。如果它们不知道，那也是很糟糕的。”美国公民自由联盟（ACLU）首要技术专家克里斯·索菲安（Chris Soghoian）甚至认为：这种事件将会招致国会调查。来自电子前线基金会（Electronic Frontier Foundation）的安德鲁·克罗克（Andrew Crocker），曾就联邦政府对零日漏洞的收集和使用对其进行调查，在更多有关影子经纪人攻击事件的来源和本质的资料得到证实之前，不愿妄加评述。但他一再说明，“对漏洞，是保留，还是披露，应该有一场公开的对话。”

对思科公司来说，这个事件或许是对2014年斯诺登事件的不快重溯；彼时，爱德华·斯诺登所泄露的内容表明：美国国家安全局对设备运送进行拦截，安装间谍软件。那个时候，当时的思科公司首席总裁约翰·钱伯斯（John Chambers）给奥巴马写了一封信，争辩说国家安全局的行为使自己的生意遭到了连累。“我们决不能这么做，”钱伯斯写道，“我们需要一些行为准则……以确保能有适当的保障措施来为国家的安全目标进行服务，同时还要满足全球商业的需求。”

2014年，奥巴马当局告诉《纽约时报》（New York Times），当局命令国家安全局披露在大部分案件中发现的电脑系统安全缺陷，而非在这些缺陷能够用来服务“一个明确的国家安全或执法需求”时将其私藏起来。戴夫·艾特尔（Dave Aitel）是美国国家安全局前分析师，现在运营了一家叫“ImmunitySec”的安全公司；依他之见，影子经纪人攻击事件中显露的漏洞利用确实掌握了国家安全价值。“对我来说，对思科设备的远程存取听起来像是已经具备了国家安全级别的价值，”艾特尔说；此外，艾特尔还在博客中断定：数据事实上是从国家安全局盗来的，影子经纪人这个组织很可能是俄罗斯的。“我们不知道哪些有价值的情报是通过这种技术获取的，但你能确定，它还是值得花费时间创造的。当你拥有300兆字节精细制作的代码，你当然不是闹着玩的。”

艾特尔认为，争议性还是很大的，美国国家安全局正是需要这些网络开发能力来进行工作。“想象一下，如果你没有任何思科漏洞利用，你就不能对恐怖行动进行通报……在当今时代，这是做情报工作的必需品。我们需要习惯它。”

原文标题：The Shadow Brokers Mess Is What Happens When the NSA Hoards Zero-Days