《赫芬頓郵報》網站發表文章稱，美國政府情報機構會專門搜索消費者產品中的漏洞信息，然后在政府內部進行評估，哪些漏洞信息可以通知相關企業，讓其開發相應安全補丁，哪些漏洞信息應進行保密，并用于間諜活動，從而為更廣大的公眾利益服務。

但是，WannaCry勒索病毒的大規模攻擊活動讓人們開始思考政府機構這樣做是否存在問題。專家指出，情報機構也需要監督和審查機制，涉及到自身產品漏洞的科技企業應該參與情報監督。

據外媒報道，WannaCry勒索病毒肆虐全球已有好幾天了，它影響了150個國家的20萬個用戶和1萬個組織。而且，它在未來繼續作惡的威脅依然存在。

WannaCry病毒的普遍性表明了大規模勒索病毒攻擊有多么可怕。它威脅到了公共基礎設施、商業活動和人們的生活。但是，這個事件的意義遠不止如此。此次勒索病毒攻擊活動不僅彰顯了安全專家必須面對的嚴峻問題，而是顯示了網絡安全保護措施有多么重要，以及當系統和設備沒有安全保障的時候后果有多么嚴重。

WannaCry病毒的影響范圍讓人們又開始了探討一個由來已久的問題：在政府情報機構悄悄利用消費者產品中的安全漏洞時，公眾將會面臨多大的安全威脅？

搜集和儲備漏洞

WannaCry利用了Windows服務器中存在的一個名為EternalBlue的漏洞。NSA（美國國家安全局）發現了這個漏洞，并悄悄儲備了起來。但是，有關這個漏洞的信息以及如何利用它的信息被一個名為Shadow Brokers的黑客組織竊走，并公之于眾。 微軟 在3月中旬發布了漏洞補丁，但是很多電腦和服務器實際并沒有接到這個補丁，依然暴露在危險之中。

保留漏洞信息，而不是直接告知企業，這是NSA進行間諜活動的通常做法，它的出發點也是為了保護公眾的安全。但是，它實際上造成了很大的危害。現在沒有跡象表明像NSA這樣的政府機構會在未來停止這種做法。

“即使NSA和美國政府這樣做是正確的，我們也有權對此表示憤怒。這就好比警察弄丟了槍支，結果被不法分子用于犯罪。這讓我們感到憤慨。”哥倫比亞大學的網絡沖突研究員杰森-希利（Jason Healey）說。他的研究方向是美國政府現有的漏洞披露機制。“我想，政府的通常反應就是：‘瞧，這是間諜活動。這就是游戲的玩法。不要大驚小怪了。’但是，人們感到憤怒是情有可原的，政府需要想出處理這個問題的更好辦法。”

當然，很多人憤怒的是NSA間諜工具怎么就被竊走、泄露，然后被利用來危害全世界的組織和個人。“這就好比美國軍方的戰斧導彈失竊。”微軟總裁兼首席法務官布拉德-史密斯（Brad Smith）說，“此次勒索病毒攻擊再次證明政府儲備漏洞信息的做法是有問題的。我們需要政府考慮儲備和利用這些漏洞信息給公眾造成的危害。”

與此同時，同樣重要的是科技公司應及時發布漏洞補丁，并確保用戶（組織和個人）安裝這些補丁。專家認為，科技行業及其用戶也應該對此次勒索病毒攻擊事件負責，因為微軟發布了安全補丁，但是很多用戶并沒有安裝它。全球情報機構保留漏洞信息妨礙了企業開發相應補丁，以及用戶安裝補丁。俄羅斯總統普京稱，“像這樣的妖魔鬼怪一旦跑出瓶子，它們就會傷害很多人，甚至它們的創造者。尤其是情報機構自己創造的妖怪。”

誰來決定是否有利于更廣大的公眾利益

從2010年以來，美國政府一直在推行一項名為Vulnerabilities Equities Process的項目。這個項目要求獲得漏洞信息的情報機構在政府內部分享相關信息，以進行評估。然后，根據每個漏洞的情況來決定是告知企業這個漏洞，以便它們發布安全補丁，保護用戶的安全，還是保留這個漏洞用于進行間諜活動，以謀求更廣大公眾的利益。

迄今為止，這個項目被證明并不完善。事實上，有證據表明，一些政府機構甚至阻擾解決這些漏洞。“一方面，情報機構宣稱要保留這些漏洞信息，將它們用于間諜活動，另一方面他們又不斷地泄露這些漏洞信息，或者被黑客竊走這些信息，而且它們似乎不用為這樣給公眾造成的危害負責。”電子前線基金會（Electronic Frontier Foundation）的律師安得烈-克羅克（Andrew Crocker）說，“我們需要改革Vulnerabilities Equities Process項目或類似的項目，確保相關機構對其安全威脅負責。”

專家稱，一個可能的辦法就是創造一個機制，讓牽扯到自身產品漏洞的科技公司參與情報監督。這樣做可能悖逆了情報機構早已習慣的獨立性和保密性，但是這些科技公司可以牽制情報機構，因為一旦利用其漏洞的間諜工具泄露，這些公司將要承擔很大的責任。“這里必須有一個平衡。”康奈爾大學電腦工程教授史蒂芬-維克（Stephen Wicker）說，“科技企業必須參與進來。”

我們沒有理由相信，情報機構將會停止搜集和利用尚未曝光的漏洞信息。但是，WannaCry勒索病毒攻擊事件對于情報機構來說是一個警鐘，這個警鐘要比以往任何事件都令人振聾發聵。因為它對于重要公共服務如醫院的影響面太大了。“它是否會導致情報機構內部出現改變，我們公眾不得而知。但是，應該有像議會監督和匯報等外部監督機制。”電子前線基金會的克羅克說，“現在，人們似乎都認為，情報行業也很需要透明度、匯報、監督和審查機制。”

政府機構減少類似事件發生的一個辦法就是投入更多人力物力來保護其數字間諜工具的安全。當然，絕對的安全是不可能的，但是情報機構的控制力度越大，那么這些間諜工具構成的危害就會越少。

“沒有這些工具，你就無法從事現代間諜活動。”哥倫比亞大學的希利說，“如果你希望知道伊斯蘭國組織在做什么，如果你希望跟蹤中亞的核武器，如果你希望打擊販賣钚的走私者，這就是你需要的核心間諜工具。但是，公共政策的最低要求就是，如果你準備將美國企業開發的、美國國民依賴的IT技術變成武器，那么你至少要保護好這種武器，不要輕易就被黑客偷走了。”（編譯/樂學）