白宫解释了为什么它可能会对互联网安全漏洞保密
美国****局(nationalsecurityagency)一直在试图解释,在什么情况下,它可能会对公众隐瞒网络安全漏洞,今天,白宫发表了一篇博客文章,试图进一步澄清这一情况。不幸的是,答案仍然不完全清楚:白宫网络安全协调员迈克尔·丹尼尔(Michael Daniel)解释说,**何时披露或不披露发现的漏洞“没有硬性规定”。
“披露漏洞可能意味着我们放弃了机会。”
相反,丹尼尔解释了联邦机构在面对这种情况时的考虑。”披露漏洞可能意味着我们放弃了收集关键情报的机会,这些情报可能会挫败恐怖袭击,阻止窃取我们国家的知识产权,甚至发现黑客或其他对手利用我们网络的更危险的漏洞,”他写道。与此同时,丹尼尔表示,他还认为,美国积累这些脆弱性的储备也符合****的利益,因为这也会使美国人处于危险之中。
当联邦机构建议保留已发现的缺陷时,漏洞似乎是根据具体情况进行评估的。Daniel写道,在做出这一决定时,需要考虑的因素包括:缺陷带来的风险有多大,目前利用缺陷收集情报的重要性有多大,以及**是否可以在披露漏洞之前“短时间内”利用该漏洞丹尼尔写道:“我们通过一个谨慎的过程来权衡这些考虑,这个过程倾向于负责任地披露漏洞,通过分享这个清单,我们希望每个人都明白什么是危险的。”。
丹尼尔总共详述了在决定是否为了收集情报而保留缺陷时要考虑的九个问题:
- How much is the vulnerable system used in the core internet infrastructure, in other critical infrastructure systems, in the U.S. economy, and/or in national security systems?
- Does the vulnerability, if left unpatched, impose significant risk?
- How much harm could an adversary nation or criminal group do with knowledge of this vulnerability?
- How likely is it that we would know if someone else was exploiting it?
- How badly do we need the intelligence we think we can get from exploiting the vulnerability?
- Are there other ways we can get it?
- Could we utilize the vulnerability for a short period of time before we disclose it?
- How likely is it that someone else will discover the vulnerability?
- Can the vulnerability be patched or otherwise mitigated?
就在几周前,这一重大安全漏洞Heartbleed在4月初震撼了网络,使每三台服务器中就有两台面临风险。在发现这一漏洞后,一份报告声称,美国****局知道这一漏洞,并利用这一漏洞已有两年之久——几乎是自该漏洞出现以来。美国****局强烈否认这一指控,白宫在这里继续这样做。”丹尼尔写道:“我们之前并不知道心血的存在。”。
尽管如此,白宫似乎很清楚,目前有关美国****局透明度的问题已经导致网络安全界越来越担忧。丹尼尔的这一举动是使**的想法更加透明的最新尝试。不过,正如奥巴马总统过去所做的那样,他明确表示,在许多情况下,**可能有兴趣保留漏洞。
- 发表于 2021-04-26 09:39
- 阅读 ( 117 )
- 分类:互联网
你可能感兴趣的文章
隐私(privacy)和安全(security)的区别
...私以外的服务。 •侵犯隐私也意味着对安全的破坏。但安全漏洞并不总是意味着对隐私的侵犯。 小结: 隐私与安全 安全是一个广泛的领域,其中保密或隐私是其中的一部分。除了提供隐私,提供安全性意味着提供另外两种服...
通过以下11个基本视频了解网络安全
... 三。为什么大多数网络安全培训失败 ...
《网络情报共享与保护法》:cispa解释
...样的主要网络社区已经促进了对该法案的定期讨论。那么为什么网络日历上没有CISPA停电日呢?尽管有公众的讨论,许多主要的科技公司并没有支持公众的愤怒。目前,该法案的支持者名单包括资金雄厚的组织,如CTIA、美国商会...
美国众议院通过备受争议的cispa网络安全法案,现提交参议院
...法律保护和独立监督,信息共享立法将损害公众对**以及互联网的信任,损害基本隐私、保密、公民自由,不过,白宫已经表示,它对某种形式的网络安全法案感兴趣,因此这不太可能是它的最后行动。 我们将更详细地报道CISPA...
大问题:奥巴马的国情咨文要注意什么
...与该机构、私人公司和国会合作,以维护“自由和开放的互联网”,但据我们所知,他和联邦通信委员会(FCC)仍在权衡各自的选择,委员会主席汤姆·惠勒(Tom Wheeler),暗示他将利用**赋予他的有限权力,而不是推动更大的结...
白宫想知道你有多担心数据隐私
...到筹资,无所不包。这种收集信息的方式与我们今天使用互联网的方式交织在一起,白宫希望了解更多关于公民对信息收集方式的感受。一项简短的全国性调查询问了你对数据信任的人、你喜欢保密的信息类型,以及更多关于网...
国安局泄密一年:我们现在在哪里?
...话记录程序管理不善显然导致了15000人的怀疑搜索。 互联网及其他 在电话记录收集之后,美国国安局讨论最广泛的项目可能是它的互联网监控系统,其中一部分以PRISM和XKeyScore的名义被报道。尽管谷歌、微软和雅虎等公...
“棱镜”是合法的,抨击国家安全局电话间谍的小组说
...央情报局和联邦调查局利用该条,从网络服务或直接通过互联网主干电缆收集电子邮件和其他电子通信内容。这是管理PRISM的规则,它是Edward Snowden最先发现的监视系统之一。不过,根据董事会的说法,这是完全合法的。 ...
美国政府就是这样把人归为恐怖分子的
...,没有任何额外的嫌疑。通过“基于威胁的快速升级”,白宫官员还可以暂时将所有类别的人提升到禁飞名单或入选名单上长达一个月,这一漏洞绕过了合理怀疑的传统标准。
白宫将下令删除监控机构收集的无关私人数据
据《****》报道,白宫预计将在今天对**的监视设置新的限制,并制定一套规则,在隐私和透明度方面提供一些额外的保护。据报道,最大的变化是要求情报机构删除美国公民的任何私人信息,如电子邮件或电话交谈,这些信息...
0 篇文章
