0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

漏洞裁定流程该如何?一起来看看英国国家安全机构GCHQ怎么做

pIuy_EAQapp 来源:YXQ 2019-06-16 11:08 次阅读

美国对于“漏洞裁定”一直都存在争议——而争论的焦点在于政府是否应该向厂商披露漏洞。披露的话,用户就可以打上补丁,从而避免漏洞被利用;如果不披露,那么漏洞就可以为政府所用。具体流程应该如何操作,其实还缺乏数据支持。但美国可以了解一下英国是怎么处理同类问题的。

最近,英国国家网络安全中心NCSC——英国国家安全机构GCHQ的一个下属部门,向微软披露了一个主要漏洞。微软将这一漏洞命名为“BlueKeep” (漏洞代码CVE-2019-0708),该漏洞严重到需要为已经停止支持WindowsXP和Windows2003系统提供补丁。尽管该漏洞对Windows 8和Windows 10没有影响,但据说这个漏洞还是相当严重的,因为未经验证的攻击者可以利用该漏洞完全控制远程系统。这是受到情报机构青睐的漏洞利用方式,因为情报机构可以以此入侵高安全级别的目标。

其实在这件事情的处理上是存在多种可能性的,但无论是哪种可能性,GCHQ都是赢家。有可能GCHQ发现这个漏洞后就披露该漏洞。也可能该机构发现该漏洞后,秘密利用了这个漏洞,后来由于发现对手捕获该漏洞后也留作己用,又或者GCHQ发现有人已经在利用此漏洞,随即公开这一漏洞。这三种可能性都很好地说明了GCHQ的内部处理流程,但是我们希望该机构可以正式披露漏洞:这样的披露信息有助于各方就漏洞披露的政策进行磋商。

在第一种情况中,GCHQ发现漏洞后,经内部流程后才决定通知微软公司。这意味着其漏洞裁定流程是一种高度防御倾向的流程——而这是各种情报机构的批评者们想要的流程类型。如果是这样,人们就会因为GCHQ在发现如此严重的漏洞后,及时作出回应,且确保无人利用漏洞,从而对其更信任。这样的处理方式也向政策制定者和其他人表明,至少在英国,目前的漏洞裁定流程是极为偏向防御的。

在第二种可能性中,GCHQ发现了这个漏洞,将其作为武器利用。考虑到这种漏洞利用的威力,估计任何情报机构都想要利用这样的漏洞,以便攻击特别困难的目标。或许,GCHQ有理由相信其对手随后也会发现这一漏洞,或许是通过对攻击实施逆向工程来发现漏洞。一个NOBUS(只有自己知道)漏洞就是具备这种特性,但是如果其他人也知道漏洞的存在,危险就极大增加了。所以,干脆通知微软,让其大白于天下,就变得很关键。

这样的做法也能体现GCHQ的高度责任感。因为在这种情况下,该机构发现了一个漏洞,利用了这个漏洞(毕竟,GCHQ的工作就是入侵其他电脑),而后,当危险增加时,又公开了漏洞。这样以来,该机构其实是隐晦地告知了知晓此漏洞的人,GCHQ已经知道有人捕获了此漏洞。如果是这样,GCHQ就会因其负责任的行为而获得赞誉。

而这样还表明,GCHQ所遵循的漏洞裁定流程虽然倾向于防御,但是会监控事态的变化情况。就像NSA知道“影子经纪人”得到漏洞副本后,向微软披露“永恒之蓝”一样(影子经纪人在拍卖中告知了工具名称,NSA随后则通知了微软,而微软也在黑客发布漏洞利用工具之前及时打上了补丁),英国应该也做着同样的事情。

在这种情况下,GCHQ会遵循“不单方面解除武装,双方同时解除”的原则:如果找到一个NOBUS漏洞,则其保持防御状态。但一旦发现它不再是NOBUS漏洞,则要修补漏洞。如果掌管NSA或是GCHQ,这也可能是我要采取的姿态。

在最后一种可能性中,GCHQ发现对手正在利用此漏洞,所以,一发现漏洞就报告给了微软。这里要高度评价GCHQ的防御工作。这种防御上的胜利值得称赞。如果是这样,对手已知晓GCHQ发现了攻击后,所以向公众披露漏洞并不会向对手泄露什么新情况,但却能让政策制定者和公众了解到GCHQ的防御操作。同时,能让该机构以胜利姿态出现。

上述三种可能性都能树立GCHQ的正面形象,而且都不会向对手透露什么隐秘信息。在第一种情况中,都不存在对手,而第二和第三种情况中,对手早已知晓漏洞情况。但是公开漏洞会让公众有所防御,从而告诉公众一个有责任感的情报机构是怎么做事的。希望GCHQ能明白,在这种情况中,其保密的属性最好让位于公众利益。

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 微软
    +关注

    关注

    4

    文章

    6565

    浏览量

    103945
  • 信息安全
    +关注

    关注

    5

    文章

    649

    浏览量

    38876

原文标题:GCHQ的漏洞裁定流程

文章出处:【微信号:EAQapp,微信公众号:E安全】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    测速电机的工作原理和种类与性能 目前见过最全的 一起来看看

    测速电机的工作原理和种类与性能:测速电机是种特殊的电机,主要由电机和测速器两部分组成。其中测速器通常采用霍尔元件、磁敏感元件或光电传感器等。其作用主要是测量和控制电机转速,通过感应电机转子的位置
    的头像 发表于 11-20 15:57 102次阅读
    测速电机的工作原理和种类与性能 目前见过最全的 <b class='flag-5'>一起来看看</b>吧

    无线压力传感器应用广泛,那么让我们一起来看看他都在哪些领域应用吧!

    无线压力传感器应用广泛,以下是些主要的应用领域:   1. 工业自动化领域: - 生产流程监控:在石油、化工、制药、食品加工等行业,用于监测各种气体、液体和固体在生产过程中的压力,确保生产的安全
    的头像 发表于 11-18 10:01 119次阅读

    放大器带宽直不够,怎么做

    我司直采用厂商的称重传感器和放大器,最近我们工程师在开发放大器,节省成本,但是开发的放大器带宽直不够,怎么做? 谢谢!
    发表于 09-26 07:26

    选2088还是3051?一起来说说TA们的不同~

    作为工业实践中最常用的现场仪表,变送器被广泛应用于各种工业自控环境,涉及水利水电、铁路交通、智能建筑、生产自控、航空航天、石化、油井、电力、船舶、机床、管道等众多行业。今天我们一起来看看「2088压力变送器」、「3051差压变送器」这两款变送器有啥区别?
    的头像 发表于 09-02 10:40 475次阅读
    选2088还是3051?<b class='flag-5'>一起来</b>说说TA们的不同~

    莱迪思助力构建安全和有弹性的数字生态系统

    随着复杂的勒索软件、固件攻击以及AI和ML的广泛使用等威胁不断增加,新的法规和标准(如国家安全局的商业国家安全算法(CNSA)套件)激增,以帮助组织解决关键漏洞并建立弹性,同时对数据泄露负责。然而,对于具有复杂设计
    的头像 发表于 09-02 09:33 277次阅读
    莱迪思助力构建<b class='flag-5'>安全</b>和有弹性的数字生态系统

    电厂人员定位怎么做?分享电厂人员定位系统解决方案

    人员定位技术广泛应用在各个行业,对于电厂来说,人员定位能够提升电厂人员管理效率,保障电厂员工人身安全。电厂人员定位怎么做呢?我们一起来看看。 电厂人员定位系统解决方案 基于电厂环境打造电厂人员定位
    的头像 发表于 07-29 11:46 621次阅读
    电厂人员定位<b class='flag-5'>怎么做</b>?分享电厂人员定位系统解决方案

    AI传感器市场的未来有哪些趋势?一起来看

    来源:荣格智能制造 编辑:感知芯视界 Link 尽管面临成本高昂和技能人才短缺的挑战,人工智能传感器市场依然显示出强劲的增长潜力。 根据市场研究机构MarketsandMarkets预测,人工智能
    的头像 发表于 07-03 09:26 332次阅读

    影响国家安全的十大新兴技术,感知技术在列

    来源:远望智库开源情报中心,谢谢 编辑:感知芯视界 Link 近日,美Booz Allen Hamilton咨询公司发布研究报告,提出影响国家安全的十大新兴技术,主要包括: 1.用于人工智能的半导体
    的头像 发表于 05-20 09:23 307次阅读

    六类网线可以和强电一起走吗

    六类网线理论上不建议和强电一起走。从布线规范的角度来看,弱电线路和强电线路通常不建议共用同桥架,以避免潜在的电磁干扰。然而,多年的施工经验表明,在某些情况下,强电线和弱电网线可能一起
    的头像 发表于 04-19 09:55 5131次阅读

    知语云智能科技揭秘:无人机威胁如何破解?国家安全新防线!

    方法,为国家安全筑起新的防线。 、无人机威胁的现状与挑战 近年来,无人机滥用事件频发,从非法航拍到侵犯隐私,再到恐怖袭击和走私活动,无人机的潜在威胁不容忽视。这些事件不仅侵犯了公民的合法权益,也
    发表于 02-27 10:41

    能否使用普通IO口模拟PWM波?怎么做

    能否使用普通IO口模拟PWM波?怎么做? 使用普通IO口模拟PWM波是种常见的嵌入式系统应用技术,它通过控制GPIO(通用输入输出)口的电平,实现对外设的模拟PWM(脉宽调制)波的模拟。在本文
    的头像 发表于 01-15 14:43 5651次阅读

    再获认可,聚铭网络入选国家信息安全漏洞库(CNNVD)技术支撑单位

    近日,国家信息安全漏洞库(CNNVD)公示2023年度新增技术支撑单位名单。经考核评定,聚铭网络正式入选并被授予《国家信息安全漏洞库(CNNVD)三级技术支撑单位证书》。    
    的头像 发表于 12-21 10:14 598次阅读
    再获认可,聚铭网络入选<b class='flag-5'>国家</b>信息<b class='flag-5'>安全漏洞</b>库(CNNVD)技术支撑单位

    消除VCR电阻电压系数影响,你怎么做

    消除VCR电阻电压系数影响,你怎么做
    的头像 发表于 12-15 16:40 569次阅读
    消除VCR电阻电压系数影响,你<b class='flag-5'>该</b><b class='flag-5'>怎么做</b>?

    PCBA打样的七点流程

    如今很多电子企业会把自己产品交给专业的加工厂家来生产,再批量生产之前般都会先进行PCBA打样。客户需要了解PCBA打样的流程一起来看看吧。
    的头像 发表于 12-15 10:15 677次阅读

    电源地和设备地连一起了造成USB信号不稳定,怎么解决?

    提个问题: 背景描述:PCB上设备地和电源地连一起了,导致信号转接板输出USB信号,传输不稳定,经常连不上/断开。重新插拔或重启就又可以继续工作。 使用垫片和尼龙螺丝把设备外壳和PCB物理隔离,有
    发表于 12-04 18:26