转载

NSA保留9%漏洞，声称是为了“国家安全”

　　英文原文：NSA says how often, not when, it discloses software flaws

　　最近 NSA 被指控拿发现的资安漏洞来入侵取得情报，让美国的科技公司曝露在被攻击的风险中。但 NSA 回应他们回报 90% 的漏洞。NSA 的回应有误导之嫌，关键其实在回报的时间，即使有回报但先拿来运用就很有争议了。

　　这类型还没被广泛注意的漏洞，由于软件公司还未推出修补程序，而称为“零时差漏洞”。通常对软件公司或是资安专家都还未意识到其存在，对骇客或是间谍来说是不可多得的好情报，能够神不知鬼不觉的潜入系统获得想要的情报。最有名的运用零时差漏大概是 Stuxnet 电脑病毒，由 NSA 与以色列情报部门合作，运用还未揭露的微和西门子 AG 公司的漏洞，拿来对付伊朗的核子设施，最后成功破坏伊朗的核子设施。

　　身为美国的头号情报机关，NSA 自然也会好好善加运用手上发现的零时漏洞，来获得情报。只是 NSA 其实也有担任美国国内资讯安全的顾问工作，放任旗下间谍利用零时漏洞，让不少美国公司的软件有未修补的漏洞，造成自己国内的资安风险。

▲ NSA 的回应着重在数字，但是知道漏洞到公布的时间差也挺重要

　　先前路透社曾报导，NSA 是全球零时差漏洞情报的最大买主。有些便宜的零时差漏洞情报只有 5 万美元，有些像是最新 iPhone 的漏洞，则要价 100 万美元。最后大概会在 NSA 出手，或是科技大公司买下。

　　NSA 如何决定那些漏洞要回报，那些漏洞则因“国家安全”而保留，相关机关组成资安委员会决定，而 NSA 下面的资讯保障局 (Information Assurance Directorate) 担任执行祕书工作。委员会则有职司美国国内安全的国土安全部，可以预期虽然情报单位想要尽可能利用漏洞，但揭露漏洞符合国家利益，最好得知漏洞到漏洞公开、发布修补程序的时间差越短越好。如今转向更防御的角度，NSA 能做的手脚就少了，最重要的将是资安委员会决定漏洞存在的时间差长短了。

正文到此结束