圖片來源: 

維基共享資源;作者:NSA

美國總統特助暨美國白宮網路安全負責人Michael Daniel透過白宮部落格表示,他們會權衡是否揭露所發現安全漏洞的利弊得失,明白表示不一定會公布所有的漏洞訊息。

日前全球爆發OpenSSL中的Heartbleed漏洞時,就曾有媒體把矛頭指向美國國安局(NSA),指稱國安局早知此一漏洞而未對外公開。國安局已否認此事,澄清直到安全專家揭露Heartbleed時才知該漏洞的存在,此事並引起政府是否該隱暪安全漏洞的討論。

Daniel公布了美國情報單位是否公開安全漏洞的決策準則,同時說明在公開與不公開之間的為難。Daniel說,基於各種國家安全問題,政府是否該隱暪安全漏洞的答案也許非常明顯,但現實沒這麼簡單;政府承諾要建立一個公開、互通,安全及可靠的網路,在大部份的情況下,負責任的揭露一個漏洞很明確地是為了國家利益。

然而,是否揭露漏洞各有其優缺點,之間的權衡可能會帶來重大的後遺症。揭露一個漏洞可能代表美國放棄蒐集可阻撓恐怖份子或IP竊盜集團重要情資的機會,或是發現更多可被駭客或對手用來攻擊美國網路的危險漏洞。

Daniel說,保留未公開的漏洞並不屬於國家安全利益,但這並不代表美國應該完全放棄此一可用來蒐集情資或是長期可保護美國的工具,這中間的輕重並不容易拿捏,因此當國安局提出要暫時隱瞞漏洞時他會想知道漏洞所影響的範圍、嚴重性、損害程度、是否已被利用、是否可供國安局短期利用,以及有否其他人發現該漏洞等,並透過上述準則來判斷是否公開漏洞。

美國國安局(National Security Agency)的另一個暱稱為「No Such Agency」,代表它基本上希望自己是個隱形的機構,但近來其機密文件與監控行為的曝光聚集了大眾的目光,也惹來了批評,使得美國政府被迫半公開地討論其決策過程。(編譯/陳曉莉)


Advertisement

更多 iThome相關內容