文章分类

当前位置:首页>文章中心>行业新闻> 美国政府发现了但为何不告知企业软件漏洞?

美国政府发现了但为何不告知企业软件漏洞?

发布时间:2017-05-20 点击数:118

【腾讯科技编者按】 《赫芬顿邮报》网站发表文章称,美国政府情报机构会专门搜索消费者产品中的漏洞信息,然后在政府内部进行评估,哪些漏洞信息可以通知相关企业,让其开发相应安全补丁,哪些漏洞信息应进行保密,并用于间谍活动,从而为更广大的公众利益服务。

   但是,WannaCry的大规模攻击活动让人们开始思考政府机构这样做是否存在问题。专家指出,情报机构也需要监督和审查机制,涉及到自身产品漏洞的科技企业应该参与情报监督。

   据外媒报道,WannaCry勒索病毒肆虐全球已有好几天了,它影响了150个国家的20万个用户和1万个组织。而且,它在未来继续作恶的威胁依然存在。

WannaCry病毒的普遍性表明了大规模勒索病毒攻击有多么可怕。它威胁到了公共基础设施、商业活动和人们的生活。但是,这个事件的意义远不止如此。此次勒索病毒攻击活动不仅彰显了安全专家必须面对的严峻问题,而是显示了网络安全保护措施有多么重要,以及当系统和设备没有安全保障的时候后果有多么严重。

WannaCry病毒的影响范围让人们又开始了探讨一个由来已久的问题:在政府情报机构悄悄利用消费者产品中的安全漏洞时,公众将会面临多大的安全威胁?

搜集和储备漏洞

   WannaCry利用了Windows服务器中存在的一个名为EternalBlue的漏洞。NSA(美国国家安全局)发现了这个漏洞,并悄悄储备了起来。但是,有关这个漏洞的信息以及如何利用它的信息被一个名为Shadow Brokers的黑客组织窃走,并公之于众。微软在3月中旬发布了漏洞补丁,但是很多电脑和服务器实际并没有接到这个补丁,依然暴露在危险之中。

   保留漏洞信息,而不是直接告知企业,这是NSA进行间谍活动的通常做法,它的出发点也是为了保护公众的安全。但是,它实际上造成了很大的危害。现在没有迹象表明像NSA这样的政府机构会在未来停止这种做法。

   “即使NSA和美国政府这样做是正确的,我们也有权对此表示愤怒。这就好比警察弄丢了枪支,结果被不法分子用于犯罪。这让我们感到愤慨。”哥伦比亚大学的网络冲突研究员杰森-希利(Jason Healey)说。他的研究方向是美国政府现有的漏洞披露机制。“我想,政府的通常反应就是:‘瞧,这是间谍活动。这就是游戏的玩法。不要大惊小怪了。’但是,人们感到愤怒是情有可原的,政府需要想出处理这个问题的更好办法。”

当然,很多人愤怒的是NSA间谍工具怎么就被窃走、泄露,然后被利用来危害全世界的组织和个人。

   “这就好比美国军方的战斧导弹失窃。”微软总裁兼首席法务官布拉德-史密斯(Brad Smith)说,“此次勒索病毒攻击再次证明政府储备漏洞信息的做法是有问题的。我们需要政府考虑储备和利用这些漏洞信息给公众造成的危害。”

   与此同时,同样重要的是科技公司应及时发布漏洞补丁,并确保用户(组织和个人)安装这些补丁。专家认为,科技行业及其用户也应该对此次勒索病毒攻击事件负责,因为微软发布了安全补丁,但是很多用户并没有安装它。全球情报机构保留漏洞信息妨碍了企业开发相应补丁,以及用户安装补丁。俄罗斯总统普京称,“像这样的妖魔鬼怪一旦跑出瓶子,它们就会伤害很多人,甚至它们的创造者。尤其是情报机构自己创造的妖怪。”

在线客服
  • 销售热线
    0746-8414498