《赫芬頓郵報》網(wǎng)站發(fā)表文章稱，美國政府情報機構(gòu)會專門搜索消費者產(chǎn)品中的漏洞信息，然后在政府內(nèi)部進行評估，哪些漏洞信息可以通知相關(guān)企業(yè)，讓其開發(fā)相應(yīng)安全補丁，哪些漏洞信息應(yīng)進行保密，并用于間諜活動，從而為更廣大的公眾利益服務(wù)。

但是，WannaCry勒索病毒的大規(guī)模攻擊活動讓人們開始思考政府機構(gòu)這樣做是否存在問題。專家指出，情報機構(gòu)也需要監(jiān)督和審查機制，涉及到自身產(chǎn)品漏洞的科技企業(yè)應(yīng)該參與情報監(jiān)督。

據(jù)外媒報道，WannaCry勒索病毒肆虐全球已有好幾天了，它影響了150個國家的20萬個用戶和1萬個組織。而且，它在未來繼續(xù)作惡的威脅依然存在。

WannaCry病毒的普遍性表明了大規(guī)模勒索病毒攻擊有多么可怕。它威脅到了公共基礎(chǔ)設(shè)施、商業(yè)活動和人們的生活。但是，這個事件的意義遠(yuǎn)不止如此。此次勒索病毒攻擊活動不僅彰顯了安全專家必須面對的嚴(yán)峻問題，而是顯示了網(wǎng)絡(luò)安全保護措施有多么重要，以及當(dāng)系統(tǒng)和設(shè)備沒有安全保障的時候后果有多么嚴(yán)重。

WannaCry病毒的影響范圍讓人們又開始了探討一個由來已久的問題：在政府情報機構(gòu)悄悄利用消費者產(chǎn)品中的安全漏洞時，公眾將會面臨多大的安全威脅？

搜集和儲備漏洞

WannaCry利用了Windows服務(wù)器中存在的一個名為EternalBlue的漏洞。NSA（美國國家安全局）發(fā)現(xiàn)了這個漏洞，并悄悄儲備了起來。但是，有關(guān)這個漏洞的信息以及如何利用它的信息被一個名為Shadow Brokers的黑客組織竊走，并公之于眾。 微軟 在3月中旬發(fā)布了漏洞補丁，但是很多電腦和服務(wù)器實際并沒有接到這個補丁，依然暴露在危險之中。

保留漏洞信息，而不是直接告知企業(yè)，這是NSA進行間諜活動的通常做法，它的出發(fā)點也是為了保護公眾的安全。但是，它實際上造成了很大的危害。現(xiàn)在沒有跡象表明像NSA這樣的政府機構(gòu)會在未來停止這種做法。

“即使NSA和美國政府這樣做是正確的，我們也有權(quán)對此表示憤怒。這就好比警察弄丟了槍支，結(jié)果被不法分子用于犯罪。這讓我們感到憤慨。”哥倫比亞大學(xué)的網(wǎng)絡(luò)沖突研究員杰森-希利（Jason Healey）說。他的研究方向是美國政府現(xiàn)有的漏洞披露機制。“我想，政府的通常反應(yīng)就是：‘瞧，這是間諜活動。這就是游戲的玩法。不要大驚小怪了。’但是，人們感到憤怒是情有可原的，政府需要想出處理這個問題的更好辦法。”

當(dāng)然，很多人憤怒的是NSA間諜工具怎么就被竊走、泄露，然后被利用來危害全世界的組織和個人。“這就好比美國軍方的戰(zhàn)斧導(dǎo)彈失竊。”微軟總裁兼首席法務(wù)官布拉德-史密斯（Brad Smith）說，“此次勒索病毒攻擊再次證明政府儲備漏洞信息的做法是有問題的。我們需要政府考慮儲備和利用這些漏洞信息給公眾造成的危害。”

與此同時，同樣重要的是科技公司應(yīng)及時發(fā)布漏洞補丁，并確保用戶（組織和個人）安裝這些補丁。專家認(rèn)為，科技行業(yè)及其用戶也應(yīng)該對此次勒索病毒攻擊事件負(fù)責(zé)，因為微軟發(fā)布了安全補丁，但是很多用戶并沒有安裝它。全球情報機構(gòu)保留漏洞信息妨礙了企業(yè)開發(fā)相應(yīng)補丁，以及用戶安裝補丁。俄羅斯總統(tǒng)普京稱，“像這樣的妖魔鬼怪一旦跑出瓶子，它們就會傷害很多人，甚至它們的創(chuàng)造者。尤其是情報機構(gòu)自己創(chuàng)造的妖怪。”

誰來決定是否有利于更廣大的公眾利益

從2010年以來，美國政府一直在推行一項名為Vulnerabilities Equities Process的項目。這個項目要求獲得漏洞信息的情報機構(gòu)在政府內(nèi)部分享相關(guān)信息，以進行評估。然后，根據(jù)每個漏洞的情況來決定是告知企業(yè)這個漏洞，以便它們發(fā)布安全補丁，保護用戶的安全，還是保留這個漏洞用于進行間諜活動，以謀求更廣大公眾的利益。

迄今為止，這個項目被證明并不完善。事實上，有證據(jù)表明，一些政府機構(gòu)甚至阻擾解決這些漏洞。“一方面，情報機構(gòu)宣稱要保留這些漏洞信息，將它們用于間諜活動，另一方面他們又不斷地泄露這些漏洞信息，或者被黑客竊走這些信息，而且它們似乎不用為這樣給公眾造成的危害負(fù)責(zé)。”電子前線基金會（Electronic Frontier Foundation）的律師安得烈-克羅克（Andrew Crocker）說，“我們需要改革Vulnerabilities Equities Process項目或類似的項目，確保相關(guān)機構(gòu)對其安全威脅負(fù)責(zé)。”

專家稱，一個可能的辦法就是創(chuàng)造一個機制，讓牽扯到自身產(chǎn)品漏洞的科技公司參與情報監(jiān)督。這樣做可能悖逆了情報機構(gòu)早已習(xí)慣的獨立性和保密性，但是這些科技公司可以牽制情報機構(gòu)，因為一旦利用其漏洞的間諜工具泄露，這些公司將要承擔(dān)很大的責(zé)任。“這里必須有一個平衡。”康奈爾大學(xué)電腦工程教授史蒂芬-維克（Stephen Wicker）說，“科技企業(yè)必須參與進來。”

我們沒有理由相信，情報機構(gòu)將會停止搜集和利用尚未曝光的漏洞信息。但是，WannaCry勒索病毒攻擊事件對于情報機構(gòu)來說是一個警鐘，這個警鐘要比以往任何事件都令人振聾發(fā)聵。因為它對于重要公共服務(wù)如醫(yī)院的影響面太大了。“它是否會導(dǎo)致情報機構(gòu)內(nèi)部出現(xiàn)改變，我們公眾不得而知。但是，應(yīng)該有像議會監(jiān)督和匯報等外部監(jiān)督機制。”電子前線基金會的克羅克說，“現(xiàn)在，人們似乎都認(rèn)為，情報行業(yè)也很需要透明度、匯報、監(jiān)督和審查機制。”

政府機構(gòu)減少類似事件發(fā)生的一個辦法就是投入更多人力物力來保護其數(shù)字間諜工具的安全。當(dāng)然，絕對的安全是不可能的，但是情報機構(gòu)的控制力度越大，那么這些間諜工具構(gòu)成的危害就會越少。

“沒有這些工具，你就無法從事現(xiàn)代間諜活動。”哥倫比亞大學(xué)的希利說，“如果你希望知道伊斯蘭國組織在做什么，如果你希望跟蹤中亞的核武器，如果你希望打擊販賣钚的走私者，這就是你需要的核心間諜工具。但是，公共政策的最低要求就是，如果你準(zhǔn)備將美國企業(yè)開發(fā)的、美國國民依賴的IT技術(shù)變成武器，那么你至少要保護好這種武器，不要輕易就被黑客偷走了。”（編譯/樂學(xué)）