美國「0Day漏洞披露法案」已獲得眾議院通過
E安全1月12日訊 美國眾議院將於當地時間2018年1月9日討論了一項法案,要求美國國土安全部(DHS)提交網路漏洞披露報告,描述網路漏洞披露的政策和程序,即美國政府如何決定是否利用新發現的計算機軟體漏洞攻擊美國對手或向製造商披露漏洞。
這項名為「網路漏洞披露報告法案」於2017年9月通過美國國土委員會的投票表決,它將為特朗普政府計劃發布的「漏洞公平裁決程序(Vulnerabilities Equities Process,VEP)」年度報告提供法律保障。
目前這項法案已經獲得眾議院通過,下一步將提交美國參議院審議。
漏洞公平裁決程序——VEP
VEP是一個複雜而重要的程序,它決定了美國政府是否通知數字技術公司,告知其產品或服務中存在網路安全漏洞,或選擇不披露漏洞,以便用來在今後實施黑客入侵或達到情報收集的目的。VEP中包含漏洞囤積和披露漏洞支持方的意見,包括最可能支持囤積漏洞的情報機構,以及最可能支持披露漏洞的安全機構。
民主黨籍眾議員希拉-傑克遜-李在特朗普VEP年度報告計劃之前就已提出這項法案。美國政府官員表示,照例來講,美國政府會披露約90%的軟體漏洞。如果發現最易被犯罪分子發現並用來攻擊美國消費者的漏洞,美國政府會選擇披露。
VEP存在的缺陷
受保密協議等的限制:
VEP指出,美國政府決定披露或限制漏洞信息可能受制於外國或私有部門合夥夥伴提出的限制條件,例如保密協議(Non-disclosure agreement,簡稱NDA)、理解備忘錄或其它限制美國政府披露漏洞信息的限制條件。
缺乏漏洞風險評級:
軟體漏洞通常會根據潛在危險性進行評級。例如,微軟設置了4個風險等級:低危(Low)、中危(Moderate)、重要(Important)和嚴重(Critical)。然而,VEP政策中卻未提及漏洞評級。這樣一來,其它人將必須評估漏洞的嚴重程度,似乎造成了不必要的延遲。缺乏風險評級將難以評估VEP政策的實際效果:NSA可能會公開披露999個低危和中危漏洞,但卻手握5個嚴重的漏洞而不披露。
美國關於VEP程序的其他相關文件
美國白宮於2017年11月發布一份章程,表示將為安全漏洞公平裁決程序(VEP)帶來更理想的明確性與透明度。
這份章程列出了美國政府在決定是否秘密保留零日漏洞這類特定安全漏洞相關信息時,所應考慮到的核心影響因素——包括利用其進行秘密間諜活動,或決定向相關軟體開發商公開以確保軟體得到補丁修復。該章程指出,要高度重視安全漏洞管理。涵蓋政府方面從私營部門僱用黑客人士以解決零日漏洞的問題。
考慮到了「外交公布」問題,其中主要涵蓋國外產品中的安全漏洞,以及聯合情報機構可能對美國政府所披露的安全漏洞信息的使用。該章程還涉及到網路安全領域的一場巨大爭論,即重新發現——是指其他人發現並秘密保留此類漏洞的可能性。
註:本文由E安全編譯報道,轉載請註明原文地址
https://www.easyaq.com/news/951590875.shtml
TAG:E安全 |