美军公开收购未修补安全漏洞 用于网络战

　　腾讯科技讯 美国五角大楼此前已经公开表示，“网络战”将是美国未来处理军事冲突的战术选项之一，美军将会提高在互联网空间的威慑能力和主动进攻能力。

　　除了表态之外，美军已经开始在为网络战进行各种技术层面的准备。根据美国媒体的报道，美国海军的网络战部门，最近曾经公开向安全行业出资收购尚未获得修补的知名商用软件漏洞，目的是将其作为未来网络中的敌方进攻目标。

　　美国海军相关部门在一份请求安全业界协助的文档中表示，希望安全专家能够向海军出售“软件漏洞情报、漏洞攻击报告、以及进行攻击的二进制文件等等。”

　　美国海军表示，这些尚未获得修补的漏洞，必须是有关大量用户使用和依赖的商用软件。

　　另外，美军表示感兴趣的是“零日漏洞”或是“N日漏洞”(漏洞发现时间不超过六个月)，这意味着这些软件的漏洞刚刚被发现，相关的软件企业并未发布补丁或者升级，因此可以被美国军方的网络战部门加以使用。

　　美国海军此次公开对外出资收购未修补的商业软件漏洞，其价格体系尚不得而知。

　　美国媒体分析指出，美军收购软件漏洞的重要目的，是对其他同样使用这些商用软件的国家和机构发起网络攻击。

　　美国个人隐私保护权利组织“电子阵线基金会”的工作人员大卫·马斯(DaveMaass)发现了这份有关收购软件漏洞的文档，并将其在社交网络Twitter上曝光。

　　在被曝光之后，美国海军相关部门很快撤下了这份收购漏洞的文档。

　　据美国科技新闻网站Engadget报道，美国政府相关监管机构在商业软件的漏洞信息公开方面有着具体规定，不过目前还不清楚政府如何处理军方将软件漏洞作为网络战武器来使用的案例。

　　在网络安全行业，许多安全专家或者安全厂商，会寻找知名软件的可利用漏洞，一般情况下他们会首先把漏洞报告给具体的公司，或是在未获得软件厂商回应的情况下，对媒体曝光，呼吁外界关注这一漏洞，同时借此提高自己在网络安全行业的声望和地位。

　　诸如谷歌(微博)等大型科技公司，会对外部安全行业人士发现的漏洞和软件BUG基于重大奖励。比如据报道，谷歌公司2010年开始推出“有奖捉虫”计划，已经面向发现谷歌软件和互联网服务漏洞的专家提供了共计400多万美元的奖金。

　　今年初，谷歌更是做出了一项慷慨的宣布，将会面向一部分高水平的资深安全专家每人预付三万美元的奖金，鼓励他们寻找出谷歌软件的漏洞。

　　今年四月份，美国五角大楼公布了新版的网络安全战略概要。五角大楼认为，今天美国政府和企业受到了网络攻击风险比过去更加严重和复杂，因此美国军方必须能够提供应对各种冲突的选项，其中包括利用网络对地方的指挥和控制系统进行打击。

　　值得一提的是，早在2007年，美国军方已经组建了网络战司令部。(晨曦)