在網(wǎng)絡(luò)安全領(lǐng)域，零日漏洞（0day漏洞）的處理一直備受關(guān)注。零日漏洞，指的是那些軟件中已存在，但軟件制造商尚未察覺，因而在被發(fā)現(xiàn)時(shí)仍未得到修復(fù)的安全漏洞。任何使用含有這類漏洞軟件的系統(tǒng)，都如同在黑客面前 “裸奔”，隨時(shí)可能遭受攻擊，數(shù)據(jù)泄露、系統(tǒng)癱瘓等嚴(yán)重后果都可能接踵而至。

為了應(yīng)對(duì)這一棘手的問題，美國(guó)政府早在 2010 年就設(shè)立了 “漏洞公平處理程序”（VEP）。并在最近發(fā)布的一份首創(chuàng)報(bào)告透露，2023 年他們向軟件供應(yīng)商或公眾披露了39個(gè)零日軟件漏洞，目的是讓這些漏洞得以修復(fù)或緩解，而非保留它們用于黑客行動(dòng)。

但VEP的披露一直存在數(shù)字缺失與公眾疑慮的問題，在特朗普政府執(zhí)政期間，這種信息不透明的問題可能會(huì)變得更嚴(yán)重。

VEP過往披露迷霧：數(shù)字缺失與公眾疑慮

過去，美國(guó)政府對(duì)外宣稱，經(jīng)過 VEP 審查的漏洞，有 90% 以上都會(huì)被披露。然而，這一說法始終缺乏具體數(shù)字的支撐，使得公眾難以確切判斷政府實(shí)際儲(chǔ)備的零日漏洞數(shù)量，也無法確定這個(gè)所謂的公平處理程序，是否真的如政府所宣稱的那樣，更傾向于披露漏洞，而非利用漏洞。

直到上個(gè)月，美國(guó)國(guó)家情報(bào)總監(jiān)辦公室發(fā)布了一份單頁非機(jī)密文件，披露 2023 年向軟件供應(yīng)商或公眾披露了 39 個(gè)零日漏洞，目的是讓這些漏洞得以修復(fù)或緩解 ，然而，這份文件并未說明 2023 年到底有多少漏洞經(jīng)過了 VEP 裁決，也沒提及當(dāng)年政府保密了多少漏洞。

在披露的39個(gè)漏洞里，有10個(gè)之前就已經(jīng)過裁決程序，這意味著VEP審查委員會(huì)的成員在前一年或幾年投票決定將它們保密，然后在2023年決定披露它們。根據(jù)VEP政策，一旦委員會(huì)就零日漏洞做出決定，該決定將一直有效，直到委員會(huì)在第二年重新審查該決定，或者政府了解到犯罪黑客或民族國(guó)家對(duì)手正在利用該漏洞。

雖然文件未提及在 2023 年披露這10個(gè)漏洞之前，政府隱瞞了多少年，但2017年蘭德公司的一項(xiàng)研究發(fā)現(xiàn)，對(duì)于第三方賣家提供給美國(guó)政府的一組漏洞，通常要過七年甚至更久，才會(huì)有人把漏洞披露給軟件制造商進(jìn)行修復(fù)，或者軟件制造商在發(fā)布新版本程序時(shí)無意中修復(fù)，政府的零日漏洞可能也存在類似的時(shí)間跨度。

特朗普政府執(zhí)政對(duì) VEP 的影響

這種缺乏透明度的問題在特朗普政府執(zhí)政期間可能會(huì)變得更加嚴(yán)重。特朗普政府上臺(tái)后，承諾要加大政府的網(wǎng)絡(luò)攻擊行動(dòng)，這意味著美國(guó)政府對(duì)零日漏洞的需求可能會(huì)在未來四年內(nèi)增加。如果出現(xiàn)這種情況，政府之前關(guān)于VEP更傾向于披露和防御而不是隱瞞和攻擊的說法可能不再成立。

特朗普政府或許覺得之前披露的漏洞過多，其理念可能從過去默認(rèn)的 “除非有充分理由保留，否則就披露”，轉(zhuǎn)變?yōu)?“除非有充分理由披露，否則就保留” 。這種轉(zhuǎn)變使得零日漏洞披露時(shí)間被拉長(zhǎng)，帶來了諸多風(fēng)險(xiǎn)。

一方面，軟件系統(tǒng)長(zhǎng)時(shí)間暴露在已知漏洞的威脅之下，黑客利用這些未及時(shí)披露修復(fù)的漏洞進(jìn)行攻擊的可能性大增，無論是個(gè)人用戶的數(shù)據(jù)安全，還是企業(yè)、政府機(jī)構(gòu)的關(guān)鍵信息基礎(chǔ)設(shè)施，都面臨更高的安全風(fēng)險(xiǎn)。例如，企業(yè)的核心業(yè)務(wù)系統(tǒng)可能因零日漏洞被攻擊，導(dǎo)致業(yè)務(wù)中斷，造成巨大的經(jīng)濟(jì)損失；政府機(jī)構(gòu)的敏感數(shù)據(jù)也可能被竊取，威脅國(guó)家安全。

另一方面，這也嚴(yán)重影響了公眾對(duì)政府網(wǎng)絡(luò)安全政策的信任。民眾會(huì)質(zhì)疑政府在網(wǎng)絡(luò)安全保障方面的誠(chéng)意和能力，進(jìn)而對(duì)政府的其他政策舉措也產(chǎn)生不信任感。

VEP 程序的運(yùn)行機(jī)制與爭(zhēng)議

此外，VEP 程序本身還存在一些其他問題。例如，不是所有漏洞都要經(jīng)過 VEP 審查。政府機(jī)構(gòu)根據(jù)保密協(xié)議，從賣家那里購(gòu)買的漏洞，就可以不用經(jīng)過 VEP 審查。要是賣家不是獨(dú)家銷售，還想把零日漏洞賣給其他客戶，就會(huì)要求簽訂保密協(xié)議。根據(jù)諒解備忘錄，從外國(guó)政府機(jī)構(gòu)獲得的零日漏洞，也可以不經(jīng)過 VEP 審查。就算漏洞不用審查，也得報(bào)告給委員會(huì)主席，每個(gè)機(jī)構(gòu)不用審查的漏洞數(shù)量，也得向所有成員公開。

2016 年，為了回應(yīng)一起訴訟，VEP 章程被公開，公民自由組織對(duì)此表示擔(dān)憂，因?yàn)橹挥姓畽C(jī)構(gòu)能參與決策，看起來沒有任何人代表公眾利益。而且除了成員機(jī)構(gòu)，好像也沒有獨(dú)立的監(jiān)督機(jī)制。委員會(huì)本來應(yīng)該每年發(fā)布一份報(bào)告，說明所有經(jīng)過審查的零日漏洞情況，但并沒有規(guī)定要把這份報(bào)告交給國(guó)會(huì)或者公眾。

2017 年，政府發(fā)布了修訂后的章程，讓國(guó)家安全委員會(huì)來監(jiān)督這個(gè)程序。之前的章程主要強(qiáng)調(diào)美國(guó)政府的利益，修訂后的章程則表示，只要沒有 “明顯的、壓倒性的利益，需要把漏洞用于合法的情報(bào)、執(zhí)法或國(guó)家安全目的”，這個(gè)程序就應(yīng)該優(yōu)先考慮公眾利益，以及關(guān)鍵信息和基礎(chǔ)設(shè)施系統(tǒng)的安全。

章程還說，在 “絕大多數(shù)情況下”，披露漏洞 “符合國(guó)家利益”。后來才增加了向情報(bào)界提供報(bào)告，以便監(jiān)督的要求，這也是 VEP 唯一被編纂成法的部分。這就意味著，只要這個(gè)程序還只是政策，沒變成法律，現(xiàn)任政府就可以隨意更改。不過要是真改了，就得通知情報(bào)界。

風(fēng)險(xiǎn)評(píng)估難題與未來隱憂

Luta Security 公司的創(chuàng)始人兼首席執(zhí)行官凱蒂?穆蘇里斯（Katie Moussouris），曾擔(dān)任政府現(xiàn)已解散的網(wǎng)絡(luò)安全審查委員會(huì)顧問。她一直對(duì)這個(gè)程序有個(gè)疑問，那就是審查委員會(huì)到底是怎么評(píng)估零日漏洞的風(fēng)險(xiǎn)，進(jìn)而決定是否披露的。她以前是微軟的首席高級(jí)安全策略師，她表示，目前還沒有可靠的評(píng)估方法，就連微軟自己，也很難準(zhǔn)確判斷很多漏洞帶來的風(fēng)險(xiǎn)。微軟可能知道有多少直接客戶在使用有漏洞的代碼，但很難估算有多少經(jīng)銷商，還有其他方面，把有漏洞的代碼嵌入到了關(guān)鍵基礎(chǔ)設(shè)施組件、醫(yī)療設(shè)備、銀行機(jī)器，還有其他系統(tǒng)里。“要是連軟件供應(yīng)商自己都很難評(píng)估相對(duì)風(fēng)險(xiǎn)，那聯(lián)邦政府又該怎么評(píng)估呢？” 她的質(zhì)疑也反映出 VEP 在風(fēng)險(xiǎn)評(píng)估方面的困境。

參考來源：https://www.zetter-zeroday.com/u-s-government-disclosed-39-zero-day-vulnerabilities-in-2023-per-first-ever-report/