美安全局被黑，黑客高价兜售监视软件

[-]
美国国家安全局总部，米德堡，马里兰州

看起来美国国家安全局确实被黑了。

一群叫做“暗影经纪人”的黑客正在网上拍卖网络监视工具，声称是美国政府的东西。托这帮人福，大家都能用上这款软件了。根据刚刚出来的靠谱性分析，这货是真的，而且很可能是美国国家安全局的软件。

“暗影经纪人”声称他们首次公之于众的该软件所包含的工具可以用来翻越诸如思科系统和捷科网络等公司的防火墙系统。就在几天之后，思科紧急宣布它的防火墙系统有两处漏洞需要打补丁，而且早在2013年，这两处漏洞就可能被人利用了。安全专家们声称这一间谍工具已经有些年头了，然而思科看起来是第一次听说。

同时，俄罗斯网络安全公司卡巴斯基也在调查这一软件。

他们在已经公开的软件代码中发现了不同寻常的数学，他们相信这使得该软件跟所谓的“方程式组织”有关。卡巴斯基实验室去年发现了这一尖端网络犯罪组织，当时路透社怀疑它跟美国国家安全局有联系。去年的分析中出现了一种诡异的数学运算，而同样的运算也出现在最近公开的软件代码里。

前国家安全局雇员告诉《华尔街日报》说，他们相信“暗影经纪人”公开的代码是“真实的”。

[-]
美国国家安全局局长Michael Rogers：让我先喝口水冷静下

种种线索汇聚起来，大家不由得开始怀疑国家安全局为何多年隐藏这些广泛影响网络设备安全的漏洞。他们还认为就隐藏漏洞的合理性而言，该局可能已经违反了白宫的政策。

思科系统的bug是一种零日漏洞，即被发现后立即被恶意利用的安全漏洞，这使得软件作者没有时间想出和采取应对措施。零日漏洞特别容易被罪犯和间谍利用，因为他们可以悄无声息地的潜入系统。

像美国国家安全局这样精通黑客这行的组织会私下积累各种漏洞，从而可以外界不知情的情况下开展行动。该局的批评者们指责他们通过蓄意囤积零日漏洞和阻止公司修复自己产品削弱了互联网安全性。

在2013年，奥巴马政府悄悄地新建了一个流程，规定所有的政府部门必须遵守它以决定对一个零日漏洞保密是否合理。在2014年，国家安全委员会网络安全协调员Michael Daniel告诉《连线》杂志，这一流程使安全局要分享其发现的大部分漏洞。根据哥伦比亚大学研究者Jason Healey的说法，“暗影经纪人”这次泄密暗示安全局没有按章办事。

虽然证据表明免费公开的软件是真实的，但是人们还不清楚“暗影经纪人”在兜售的软件隐藏工具到底是何神器。只有出价最高的人才会知道答案。

本文译自 technologyreview，由 许叔 编辑发布。