整个星期，安全界都在为一个新发现的进入Juniper的VPN软件的后门感到困惑。这个软件并不流行，但它经常被用于高安全性的公司工作，这使得它正是情报机构急于打破的那种软件。不同的线索指向中国、英国或美国的****局，后者与后门中使用的随机数发生器密切相关——但到目前为止，还没有人发现与任何一家机构有可靠联系。

现在，截获提供了一个更多的理由，认为****局参与。根据来自斯诺登文件的最新文件，美国****局早在2011年就知道同一款Juniper产品中存在漏洞。它不可能完全是同一个后门，因为许多有问题的代码直到第二年才发布，但它可能至少预示着新发现的bug。如果NSA当时向Juniper报告了它的漏洞，那么这个补丁很可能已经关闭了整个后门。

即使后门是中国栽赃的，国安局仍要负责

正如截获者小心地注意到的，这并不是****局设置了新发现的后门的证据——但他们知道如何利用它的某些版本，而且他们并不羞于分享这些知识。这给我们留下了两种可能性。其中一个例子是，美国国安局继续设置后门，并在接下来的三年里一直敞开着。这很糟糕——但另一种可能性，即后门是由中国这样的外国势力或自由球员栽赃的，则更糟糕。

在这种情况下，美国****局创造了后门可能存在的条件——开发Dual-EC-DRBG的后门属性，并引导其通过NIST认证，确保任何想要加入的开发者都可以使用。一旦美国****局发现电力可以用来破坏一个关键的安全软件，该机构没有采取任何措施阻止它。这不是主动与外国势力勾结，但最终结果是一样的。美国和中国都获得了妥协一个安全通道的能力，双方都没有采取行动关闭对方的通道。

这不是主动勾结外国势力，但最终结果是一样的

这种勾结是一种风险，不管是谁先埋下了后门。中国可以在我们的后门上绊倒，就像我们可以在他们的后门上绊倒一样。在这个特定的例子中，情况归结为一个单一的数字，研究人员称之为Q，它作为一种骨架密钥来破坏这种加密方式。理论上，只有植入漏洞的力量才应该知道Q的价值——但一旦Q存在，妥协的可能性就不可能完全消除。

当然，修复VPN系统不是国安局的工作，很多人已经指出，根据该组织的使命，国安局没有做错什么。该机构的任务是收集信号和情报，它这样做了。国安局的特工会破坏软件，就像中情局的雇员有时会对人撒谎一样。我们不能称之为判断失误甚至错误。这个组织完全按照它的创始章程去做它的使命。

但这种逻辑是一张空头支票，其成本正变得难以忍受。我们无法评估Juniper后门的全部损害——我们可能永远不会——但我们已经看到了安全缺陷在其他情况下可能造成的损害。美国****局的任务不是防范索尼影业（Sony Pictures）或Target，甚至是今年夏天泄露1400万联邦工作人员敏感数据的灾难性漏洞(由于人事管理办公室是一个民间机构，这项任务落在了国土安全部的肩上。）这些攻击超出了****局的范围，因此当出现是否报告后门的问题时，这种可能性没有考虑在内。美国****局发现保持杜松后门的开放是非常有价值的，而且它没有吸收任何成本。

当我们谈论网络战争时，我们通常从国家的角度来思考：北约或是一角的五只眼，面对中国、俄罗斯或伊朗。但是我们所知道的关于刺柏后门的事情却违背了我们的想法。我们看到的不是一个国家与另一个国家的对抗，而是由**资助的组织组成的国际骨干组织相互勾结，在软件上打一个洞，让它保持开放，不管是谁使用的。另一方面，我们看到一小群安全研究人员在努力寻找后门并关闭它：美国的学者，来自加利福尼亚、伦敦和阿姆斯特丹的私人安全公司。战斗线很清晰，但并不是你所期望的那样。我们看到的不是美国对中国，而是虫子对补丁，靴子对脸。不管国安局是不是在杜松的后门设下圈套，都是站在错误的一边。