漏洞裁定流程該如何?一起來看看英國國家安全機構(gòu)GCHQ怎么做

美國對于“漏洞裁定”一直都存在爭議——而爭論的焦點在于政府是否應該向廠商披露漏洞。披露的話，用戶就可以打上補丁，從而避免漏洞被利用；如果不披露，那么漏洞就可以為政府所用。具體流程應該如何操作，其實還缺乏數(shù)據(jù)支持。但美國可以了解一下英國是怎么處理同類問題的。

最近，英國國家網(wǎng)絡安全中心NCSC——英國國家安全機構(gòu)GCHQ的一個下屬部門，向微軟披露了一個主要漏洞。微軟將這一漏洞命名為“BlueKeep” （漏洞代碼CVE-2019-0708），該漏洞嚴重到需要為已經(jīng)停止支持WindowsXP和Windows2003系統(tǒng)提供補丁。盡管該漏洞對Windows 8和Windows 10沒有影響，但據(jù)說這個漏洞還是相當嚴重的，因為未經(jīng)驗證的攻擊者可以利用該漏洞完全控制遠程系統(tǒng)。這是受到情報機構(gòu)青睞的漏洞利用方式，因為情報機構(gòu)可以以此入侵高安全級別的目標。

其實在這件事情的處理上是存在多種可能性的，但無論是哪種可能性，GCHQ都是贏家。有可能GCHQ發(fā)現(xiàn)這個漏洞后就披露該漏洞。也可能該機構(gòu)發(fā)現(xiàn)該漏洞后，秘密利用了這個漏洞，后來由于發(fā)現(xiàn)對手捕獲該漏洞后也留作己用，又或者GCHQ發(fā)現(xiàn)有人已經(jīng)在利用此漏洞，隨即公開這一漏洞。這三種可能性都很好地說明了GCHQ的內(nèi)部處理流程，但是我們希望該機構(gòu)可以正式披露漏洞：這樣的披露信息有助于各方就漏洞披露的政策進行磋商。

在第一種情況中，GCHQ發(fā)現(xiàn)漏洞后，經(jīng)內(nèi)部流程后才決定通知微軟公司。這意味著其漏洞裁定流程是一種高度防御傾向的流程——而這是各種情報機構(gòu)的批評者們想要的流程類型。如果是這樣，人們就會因為GCHQ在發(fā)現(xiàn)如此嚴重的漏洞后，及時作出回應，且確保無人利用漏洞，從而對其更信任。這樣的處理方式也向政策制定者和其他人表明，至少在英國，目前的漏洞裁定流程是極為偏向防御的。

在第二種可能性中，GCHQ發(fā)現(xiàn)了這個漏洞，將其作為武器利用?？紤]到這種漏洞利用的威力，估計任何情報機構(gòu)都想要利用這樣的漏洞，以便攻擊特別困難的目標?；蛟S，GCHQ有理由相信其對手隨后也會發(fā)現(xiàn)這一漏洞，或許是通過對攻擊實施逆向工程來發(fā)現(xiàn)漏洞。一個NOBUS（只有自己知道）漏洞就是具備這種特性，但是如果其他人也知道漏洞的存在，危險就極大增加了。所以，干脆通知微軟，讓其大白于天下，就變得很關鍵。

這樣的做法也能體現(xiàn)GCHQ的高度責任感。因為在這種情況下，該機構(gòu)發(fā)現(xiàn)了一個漏洞，利用了這個漏洞（畢竟，GCHQ的工作就是入侵其他電腦），而后，當危險增加時，又公開了漏洞。這樣以來，該機構(gòu)其實是隱晦地告知了知曉此漏洞的人，GCHQ已經(jīng)知道有人捕獲了此漏洞。如果是這樣，GCHQ就會因其負責任的行為而獲得贊譽。

而這樣還表明，GCHQ所遵循的漏洞裁定流程雖然傾向于防御，但是會監(jiān)控事態(tài)的變化情況。就像NSA知道“影子經(jīng)紀人”得到漏洞副本后，向微軟披露“永恒之藍”一樣（影子經(jīng)紀人在拍賣中告知了工具名稱，NSA隨后則通知了微軟，而微軟也在黑客發(fā)布漏洞利用工具之前及時打上了補丁），英國應該也做著同樣的事情。

在這種情況下，GCHQ會遵循“不單方面解除武裝，雙方同時解除”的原則：如果找到一個NOBUS漏洞，則其保持防御狀態(tài)。但一旦發(fā)現(xiàn)它不再是NOBUS漏洞，則要修補漏洞。如果掌管NSA或是GCHQ，這也可能是我要采取的姿態(tài)。

在最后一種可能性中，GCHQ發(fā)現(xiàn)對手正在利用此漏洞，所以，一發(fā)現(xiàn)漏洞就報告給了微軟。這里要高度評價GCHQ的防御工作。這種防御上的勝利值得稱贊。如果是這樣，對手已知曉GCHQ發(fā)現(xiàn)了攻擊后，所以向公眾披露漏洞并不會向?qū)κ中孤妒裁葱虑闆r，但卻能讓政策制定者和公眾了解到GCHQ的防御操作。同時，能讓該機構(gòu)以勝利姿態(tài)出現(xiàn)。

上述三種可能性都能樹立GCHQ的正面形象，而且都不會向?qū)κ滞嘎妒裁措[秘信息。在第一種情況中，都不存在對手，而第二和第三種情況中，對手早已知曉漏洞情況。但是公開漏洞會讓公眾有所防御，從而告訴公眾一個有責任感的情報機構(gòu)是怎么做事的。希望GCHQ能明白，在這種情況中，其保密的屬性最好讓位于公眾利益。