天创培训:您身边的信息安全培训专家!
行业动态
专家剖析白宫有必要公开漏洞公平裁决程序VEP哪些信息?

  民主与技术中心自由、安全和技术项目副主任Michelle Richardson(米歇尔·理查森)和美国律师Mike Godwin(迈克·戈德温)在美国法律和政策分析论坛Just Security共同撰文分析白宫应当披露的“漏洞公平裁决程序”(VEP)信息。

  专家剖析白宫有必要公开漏洞公平裁决程序VEP哪些信息?

  白宫网络安全协调员Rob Joyce(罗伯·乔伊斯)10月初在一系列活动上宣布,他正准备发布更多有关漏洞公平裁决程序(Vulnerabilities Equities Process,VEP)的信息。

  VEP是一个复杂而重要的程序,它决定了美国政府是否通知数字技术公司,告知其产品或服务中存在网络安全漏洞,或选择不披露漏洞,以便用来在今后实施黑客入侵或达到情报收集的目的。Richardson和Godwin认为,需要立法解决方案来管理这个高风险程序,而不仅仅是依赖不太正式的机构间审查。这将对网络安全、隐私、信息获取以及美国的经济竞争力产生影响。他们还认为,应向公众披露此程序相关的更多信息。

  Joyce过去也曾表示,他对当前这个程序的运作模式还满意。本月他发表声明表示,十月白宫计划自愿发布信息是可喜的进步,但公众至少会期待有一个“章程”,以及截至目前如何运用VEP来披露(或延迟披露)漏洞的基本统计数据。

  关于VEP公众可能还想知道哪些?

  Richardson、Godwin这两人认为,由于公布信息的目的是为了证明程序的合法性和成功性,白宫应当公布的信息类型如下:

  VEP的参与者:

  为响应《信息自由法》(Freedom of Information Act)发布的机构间备忘录写入VEP的常设参与者。美国国家安全局(NSA)和美国特工处(USSS,美国联邦特勤局)将可能成为VEP的常任成员,国防部(DOD)、国务院、司法部和国土安全部(DHS)会在拥有特定的“权益”(即,决策制定给部门带来利益)时参加VEP。但是,隐瞒决策制定者的身份毫无道理可言。

  专家剖析白宫有必要公开漏洞公平裁决程序VEP哪些信息?

  关于向VEP提交的漏洞:

  美国参议院《情报授权法》(Intelligence Authorization Act)要求VEP参与者共享依据哪些政策规定确定何时将漏洞提交到VEP。这只能提高人们对VEP的理解认识,并理解这个程序必须包括何时以及如何将这些软件漏洞提交供审查。由于不同的机构对其责任有不同的诠释,如果存在实质差异,而不仅仅是程序差异,那么就可能会出现问题。更高的透明度也许可以阐明是否将技术类特定漏洞提交到VEP,或是否只需要将操作性的、端对端的漏洞利用提交至该程序。

  参与者考虑的公平因素:

  有许多利害攸关的公平因素需要考虑,包括非政府公平因素,以及在不同的情况下如何将这些公平因素应用到特定的漏洞。但是,基于要考虑的因素,证实该过程确实支持漏洞披露相当重要。

  基本统计数据:

  NSA表示,90%以上的事件向受影响的技术公司披露了已知漏洞,但其它机构的情况如何?如果存在差距?为何会出现这种差距?关于绝对值,要讨论哪些要素?

  数据背景:

  公开发布的数据可能会在很大程度上掩盖漏洞影响力。例如,法院命令曾被用来每天任意收集数百万条电话记录。信息公开应提供某类特征描述。热门产品或关键基础设施中存在的漏洞可能会影响更多设备和用户。

  考虑VEP遭遇更多安全威胁的情况

  Richardson和Godwin认为,上述披露要素应由法律进行规定,但美国政府还应当利用这种机会采取并共享补救措施,借助过去的VEP决定来解决明显的问题。他们建议政府就VEP过程中出现的问题提供更多解答。

  例如,微软表示,NSA未在“影子经纪人”(Shadow Brokers)披露NSA漏洞利用工具时收到通知。奥巴马执政时期时任网络安全顾问的Michael Daniel(迈克尔·丹尼尔)2014年4月发表博文指出,VEP休眠几年后于2014年重获生机。Richardson和Godwin提出几个疑问:“影子经纪人”披露的NSA黑客工具是否在VEP重启之前经过编译?这些黑客工具是否在VEP重启后经过编译?是否经历了VEP程序?

  Richardson和Godwin认为,即将发布的VEP信息被认为是向公众、技术公司和国会保证VEP程序合法性的方式。解决众所周知的安全问题——即使承认VEP过程中所犯下的错误也是起码的负责任的表现。