2016年4月12日出版的美国华盛顿邮报刊发了Ellen Nakashima的文章,进一步披露了美国联邦调查局解锁恐怖分子嫌疑人苹果手机的细节。文章称,联邦调查局支付了一笔费用给某些职业黑客,购买了其掌握的苹果手机操作系统漏洞,得以绕过苹果屏幕解锁次数的安全机制,然后根据这一漏洞,制作了某种装置,破解了被锁屏的手机。
如果该报道属实,那么至少会延伸出三个问题:这个漏洞的影响范围有多大?美国执法机构将如何使用此类漏洞?如何从国家网络安全战略框架的视角出发,认识和理解此类漏洞的挖掘、交易和相应的管理机制?
根据目前的信息,FBI称,此漏洞仅影响使用IOS 9系统的iPhone 5c手机,而不是无条件地适用于更高端的苹果手机,影响范围有限。美国政府4月13日向路透社表示,此解锁方法的所有权归发现此漏洞的公司,无法通过美国政府迫使其提交给苹果公司,也无法在美国政府部门之间共享。画外音似乎是用一次就要买一次。
但是,关键的第三个问题,也就是如何看待此类具有国家安全战略意义的漏洞,包括挖掘、交易和管理的整体性的机制安排,可能才是真正需要认真关注的焦点。
如果联邦调查局真的是利用漏洞解锁了苹果手机,那就从侧面展示了,美国政府已经形成了一套管理和使用网络安全系统漏洞的有效机制。结合非常有限的披露资料看,这个机制是高度市场化的。这也是当下网络安全具有的显著特性:在一个开放的市场化环境中,与系统安全相关的漏洞,已经被市场化了。发现漏洞的公司,至少在美国,可以通过对这种漏洞的市场化交易获利。取缔或者限制这种交易,不见得完全不可能,但成本高昂,执行困难,且有效性必然大打折扣。
那么,换一个视角来看,如何在开放的市场环境下,形成一套符合国家安全利益需求的工作机制,就成为首要的任务。具体来说,这一机制至少需要实现如下目标:
首先,能够有效地阻断被发现的漏洞以损害国家安全和公众权益的方式扩散和传播,也就是说,要为漏洞的挖掘、交易和使用设置某种红线。
其次,为政府部门使用这种漏洞解决国家安全问题设置正确的规范。无限制地允许政府部门使用这类漏洞,将构成对个人数据和隐私的潜在风险。上述案例中的一次性买断与限定使用部门的安排,折射了避免购买后被滥用风险的尝试。
第三,有足够的供给,以及恰当的交易机制,保障在满足国家安全条件下,供求双方可以顺利地达成交易。
在这样一个交易机制中,政府关注的是降低保障国家网络安全的技术成本;挖掘方关注的是安全可靠便捷地获取经济收益;产品的相关制造商则关注如何避免损失扩大,并及时进行修补和完善;而直接间接相关的个人,更多关注如何有效保障合法权益免受类似风险的损害。
对其他国家来说,使用苹果手机的是一个庞大的群体,类似的漏洞挖掘、交易和管理机制,同样是国家安全框架中亟待解决的全新挑战。除了手机漏洞之外,与民生有关的关键基础设施的安全如何有效保障,如何避免这类可能产生“网络空间珍珠港事件”的潜在不稳定因素得到有效的控制,会是践行国家网络安全战略的重要新任务。如何在开放环境下,有效提升自身获得漏洞信息、弥补安全漏洞、应对非传统威胁带来的冲击和挑战,构成了一项全新的命题。
中国是一个网络大国,以建设网络强国为己任,为了保障国家安全和现代化,中国也应该着手推进相关工作,包括但不限于:第一,建设并完善与国家安全相关的、不可共享的、广泛传播的战略级漏洞库,从攻防能力体系建设角度入手,推动相关工作的展开。
第二,建设并完善与国家安全相关、同时可以广泛共享的信息通报与协调机制,与其他主权国家、非国家行为体等就相关信息、资源和情报进行共享,同时有效阻断网络霸权国家切断相关信息、知识与能力扩散的消极战略意图与实践。
第三,鼓励相关公司以可负担的方式,有效提升网络安全的防御能力,平衡公司的收益与社会责任,以及国家网络安全战略框架中的安全、自由与秩序,综合考虑维护安全、生活便利与高速发展的需求,这是中国应该着手开展的重要实践。如何尽快有效地建设并完善相关的制度安排,应该成为中短期内建设完善网络强国的关键任务所在。
本文转自d1net(转载)