美国政府高级官员上周六表示,在美国情报机构内部的激烈辩论之下,美国总统奥巴马已经决定:当美国国家安全局(National Security Agency,简称NSA)发现互联网存在重大安全漏洞时,它在大多数情况下应该披露这些漏洞,以确保漏洞被及时修复,而不应该保持沉默,以便利用这些漏洞从事间谍活动或网络攻击。
但美政府官员同时称,奥巴马也允许一种宽泛的例外情况,只要是出于“国家安全或执法的明确需要。”在这样的情况下,NSA可以利用网络安全漏洞,以破解数据加密或者设计网络武器。
奥巴马的这项决定是在今年1月作出的,白宫还没有公开有关细节。奥巴马是在审查总统咨询委员会关于如何应对最近的NSA泄密事件的建议时作出这一决定的。
上周五,白宫否认事先知道安全漏洞Heartbleed的存在。白宫发表声明说,当这样的漏洞被发现时,政府现在有了一种“偏爱”,即向计算机和软件制造商披露这些漏洞,以避免危害有关行业和消费者。
美国国家安全委员会( National Security Council)发言人凯特琳·海登(Caitlin Hayden)表示,奥巴马对总统咨询委员会的建议的审查工作现已完成,奥巴马决定,当安全漏洞被发现后,政府可以考虑是否披露它们,是否保守秘密以待NSA以后利用它们。
“政府的权衡过程偏向于负责任地披露这些漏洞。”她说。
到现在为止,白宫拒绝透露奥巴马针对总统的咨询委员会的建议采取了什么样的行动。不久前,该委员会在报告中坚决建议政府停止批量收集公民通讯数据的做法。奥巴马上个月宣布,他将结束NSA批量收集公民通讯数据的行为,并将数据保留在电信企业手中,政府只有在得到法院的授权时才能获得它。
不过,虽然有关监控的建议值得关注,但NSA内部的其他建议,——有关网络加密和网络运营,在美国掀起了一场激烈的辩论。
其中一项建议呼吁NSA不要再入侵商业加密系统或试图建立软件“后门”,以破解美国的敌人的通信数据。这种做法是诱人的,因为它是简便的方法,哈里·S·杜鲁门(Harry S Truman )62年前建立NSA就是出于这个原因。总统咨询委员会的结论是,这种做法会削弱人们对美国软件和硬件产品的信任。近几个月来,硅谷的公司已经敦促美国放弃这种做法,而德国和巴西等国家都表示他们正在考虑放弃美国制造的设备和软件。
另一项建议呼吁政府只对所谓的“zero days”漏洞作最有限的临时利用。“zero days”漏洞存在于如微软Windows这样的软件中,可以让攻击者访问安装该软件的计算机,以及与该计算机联网的任何企业和政府机关的计算机。
NSA曾经利用四个“zero day”漏洞攻击了伊朗的核浓缩网点。这次攻击代号为“Olympic Games”,破坏了大约伊朗1千部离心机,并推动了两国政治谈判。
毫不奇怪,NSA和美国网络司令部(United States Cyber Command)官员警告说,放弃对未公开漏洞的利用将意味着“单方面裁军(这个术语来自关于美国是否应该削减或者在多大程度上削减核武库的争论)”。
“我们不消除核武器,直到俄国人做到这一点。”一位高级情报官员最近说。 “你不会看到中国放弃对“zero days”漏洞的利用,即使我们这样做。”另一位白宫高级官员上月表示,“我无法想象任何一位总统会完全放弃一项可以让他采取秘密行动以避免热战的技术。”