美國國家安全局漏洞策略轉換之意涵
2020.01.31
瀏覽數
114
壹、新聞重點
美國國家安全局(National Security Agency, NSA)於2020年1月14日公布其向微軟(Microsoft)通報Windows作業系統重大漏洞的消息。該漏洞之通用漏洞披露(Common Vulnerability Exposure, CVE)編號為CVE-2020-0601,存在於Windows作業系統函式庫核心之加解密應用程式介面CryptoAPI,影響包括HTTPS加密連線在內眾多使用數位憑證驗證之程序。微軟於同日發布修補程式,NSA網路安全處(Cybersecurity Directorate)處長紐柏格(Ann Neuberger)表示,此次漏洞通報展現NSA將改變其漏洞策略,透過分享、主動接觸以至於實際分享資料,共同作為與業界建立信任關係的一環。[1]
貳、安全意涵
一、美國國家安全局試圖重建形象
若利用CVE-2020-0601漏洞進行攻擊,能使攻擊者偽裝成受信任的來源,欺騙目標Windows系統原有的驗證程序,再執行其內藏的程式。對NSA而言,此漏洞顯然極具價值,可用於執行多種任務。但自史諾登(Edward Snowden)2013年揭露稜鏡計畫(PRISM)細節後,NSA已因其大規模網路監控而飽受抨擊。2017年5月於網路廣泛傳播的「想哭」(WannaCry)勒索軟體,即利用NSA遭竊之「永恆之藍」(EternalBlue)漏洞利用程式,至今於全球總計癱瘓超過30萬台電腦,並造成超過80億美元之經濟損失。由於當時NSA發現該Windows系統漏洞後,未主動通報微軟,而是依此開發「永恆之藍」並持續使用長達數年之久,發現遭竊後才通報。這使外界質疑NSA的漏洞管控機制,更認為NSA保留漏洞的作法,已破壞既有基於信任之軟體安全修補機制,對於整體網路安全造成更大威脅。
近年來,NSA為重建其形象展開諸多努力。2019年3月NSA於RSA大會宣布釋出自行開發的軟體逆向工程(Software Reverse Engineering, SRE)工具Ghidra,即為以開源(open source)釋出其惡意程式分析工具來取信於資安社群的嘗試。但主動通報可能用於攻擊之重大漏洞,較釋出工具更具宣示意義,展現其漏洞策略可能已有轉變,願意與業界重新建立信任關係,此將有助於未來推展進一步合作。
二、NSA以公私協力達成整體網路防護
過去NSA以網路監控等情報蒐集行動較為人所知。自中曾根上將(Gen. Paul Nakasone)2018年5月出任NSA局長以來,曾表示整體網路防護亦是NSA的重要任務。然而,整體網路防護需仰賴將威脅情報(threat intelligence)適時解密,並與民間分享以採取因應作為,更需政府單位與業界密切合作。NSA於2019年10月成立網路安全處,即是建立此政府情報單位與業界合作的橋樑。[2] 本次漏洞通報是NSA網路安全處成立後首次重大公布,更意味著NSA未來將無法利用此漏洞進行攻擊。雖然此漏洞評估過程細節並未對外界公開,但訊息之公開揭露已展現NSA自中曾根上將就任以來對於整體網路防護的重視,並將此優先納入考量。
參、趨勢研判
一、NSA網路安全處與業界建立新合作模式
以往NSA主動通報漏洞給業者,均以不揭露發現者的方式秘密進行,這是由於稜鏡計畫的前車之鑑,許多業者擔心,公開其與情報單位合作可能對企業形象有負面影響。另外一個漏洞揭露需保密、不對外公開的理由,則是因為漏洞公開揭露到軟體修補程式發布之間,通常會有數日甚至數周的空窗期,若逕行公開,則空窗期時該漏洞亦有可能遭攻擊者利用。有報導指出,本次漏洞公布前,微軟已為軍事單位及部分重要客戶(如管理網路基礎設施之公司)先行提供修補程式,但各單位需簽署保密協議,在漏洞公開揭露前,不得向外界說明其細節。[3] 此應為NSA之要求,設法同時兼顧其公開揭露責任與重要高價值單位之資安防護,未來應會持續以此模式與業界合作。
二、其他國家是否跟進此漏洞策略仍待觀察
NSA於2017年建立「漏洞公正性評估流程」(Vulnerability Equities Process, VEP),藉此評估是否需主動向業者通報。編號CVE-2020-0601是此流程建立後、NSA首次公開揭露其漏洞通報作為,並且採取應對措施。位階與功能相當於NSA網路安全處的英國通訊總部(Government Communications Headquarters, GCHQ)國家網路安全中心(National Cyber Security Centre, NCSC),在2018年公布其「公正性評估流程」(Equities Process)後,即於2019年5月首次主動向微軟通報包括編號CVE-2019-0708的遠端桌面服務漏洞。[4] 這顯示英美兩國在衡量網路攻擊所造成的重大損失,以及自身利用漏洞進行情報蒐集、網路監控或攻擊之潛在利益後,可能持續採取適時主動通報之策略,提升整體網路防護,也避免漏洞遭敵方利用。
同屬五眼聯盟(Five Eyes)的澳洲,其主管訊號情報、網路作戰與資訊安全的澳洲通訊局(Australian Signals Directorate, ASD)於2019年3月發布類似的評估流程,但目前尚未公開其漏洞通報作為。同時ASD亦於該發布文件表示,雖將以公開揭露為慣例,但仍會以國家利益為由保留漏洞而不進行通報。[5] 對於缺乏資源研究漏洞的國家而言,其發現的任何一個重大漏洞,即是重要資源,因此未來是否會跟進英美兩國主動通報的作法,仍有待觀察。
[1]Ellen Nakashima, “NSA found a dangerous Microsoft software flaw and alerted the firm — rather than weaponizing it,” Washington Post, January 15, 2020, https://wapo.st/3aU1GVC.
[2]Ellen Nakashima, “NSA launches new cyber defense directorate,” Washington Post, October 1, 2019, https://wapo.st/2GCA8G4.
[3]Brian Krebs, “Cryptic Rumbling Ahead of First 2020 Patch Tuesday,” KrebsonSecurity, January 13, 2020, https://bit.ly/2tSL93B.
[4]Liam Tung, “GCHQ’s NSCS finds WannaCry-bad, wormable bug; Microsoft even to patch Windows XP,” CSO, May 14, 2019, https://bit.ly/3aYfs9M.
[5]Kevin Townsend, “Australia’s Intelligence Agency Publishes its Vulnerability Disclosure Process,” SecurityWeek, March 18, 2019, https://bit.ly/2S3IWKx.