close
企業趨勢資訊保安

為了「國家安全」  美國國家安全局保留 9% 漏洞用於取得情報

最近美國國家安全局(NSA) 被指控拿發現的資安漏洞來入侵取得情報,讓美國的科技公司曝露在被攻擊的風險中,但 NSA 回應他們已回報 91% 的漏洞。NSA 的回應有誤導之嫌,因為關鍵其實在回報的時間,即使有回報但先拿來運用就很有爭議了。

nsa

 

利用零時差漏洞獲得情報

這類型還沒被廣泛注意的漏洞,由於軟體公司還未推出修補程式,而稱為「零時差漏洞」。通常軟體公司或是資安專家都還未意識到其存在,對駭客或是間諜來說卻是不可多得的好情報,能夠神不知鬼不覺的潛入系統獲得想要的情報。

運用零時差漏洞最有名的大概是 Stuxnet 電腦病毒,由 NSA 與以色列情報部門合作,運用還未揭露的微和西門子 AG 公司的漏洞,拿來對付伊朗的核子設施,最後成功破壞伊朗的核子設施。

身為美國的頭號情報機關,NSA 自然也會好好善加運用手上發現的零時漏洞來獲得情報。只是 NSA 其實也有擔任美國國內資訊安全的顧問工作,放任旗下間諜利用零時漏洞,讓不少美國公司的軟體有未修補的漏洞,造成自己國內的資安風險。

nas-zero-day-infographic

 NSA 的回應著重在數字,但是知道漏洞到公布的時間差也挺重要。

 

 

先前路透社曾報導,NSA 是全球零時差漏洞情報的最大買主。有些便宜的零時差漏洞情報只有 5 萬美元,有些像是最新 iPhone 的漏洞,則要價 100 萬美元。最後大概會在 NSA 出手,或是科技大公司買下。

NSA 如何決定哪些漏洞要回報,哪些漏洞則因「國家安全」而保留,相關機關組成資安委員會決定,而 NSA 下面的資訊保障局 (Information Assurance Directorate) 擔任執行祕書工作。

委員會則有職司美國國內安全的國土安全部,可以預期雖然情報單位想要盡可能利用漏洞,但揭露漏洞符合國家利益,最好得知漏洞到漏洞公開、發佈修補程式的時間差越短越好。如今轉向更防禦的角度,NSA 能做的手腳就少了,最重要的將是資安委員會決定漏洞存在的時間差長短了。

(本文由 TechNews 授權轉載)

 

Tags :USusaZero day
Technews

The authorTechnews

科技新報 (TechNews)於 2013 年下半年成立,是一群對資訊科技、能源、半導體、行動運算、網際網路、醫療、生物科技具有高度熱忱與興趣的產業與新媒體人士所共同組成的時代新媒體,以產出有觀點與特色的原創文章為主要任務。

Leave a Response