211service.com
Vai valdībai jāturpina uzkrāt programmatūras kļūdas?

Augstākie ASV izlūkdienestu kopienas pārstāvji tur muti ciet par programmatūras ievainojamībām.
Tā kā putekļi nosēžas no globālā izpirkuma programmatūras uzbrukuma, kas kopš piektdienas ir kropļojis sistēmas vairāk nekā 150 valstīs, ASV valdības ēnainais process programmatūras ievainojamību vākšanai un atklāšanai atkal tiek rūpīgi pārbaudīts.
Ir daudz vainojamu uzbrukuma mērogā un efektivitātē, kurā izspiedējvīruss ar nosaukumu WannaCry, kā arī WannaCrypt un Wanna Decryptor izmantoja Windows XP ievainojamību. Pirmkārt, Microsoft pārtrauca atbalstīt šo savas operētājsistēmas versiju 2014. gadā , tāpēc ikviens, kas izmanto novecojušu programmatūru, riskēja. (Kad Microsoft uzzināja, ka ievainojamība tiek izmantota, tā ātri izlaida kļūdas labojumu — tas ir neparasts solis tik vecai programmatūrai.)
Breds Smits, Microsoft prezidents un galvenais juridiskais padomnieks, sacīja, ka vainīga ir arī valdība, jo šķiet, ka uzbrucēji izmantoja ekspluatāciju, ko NSA nozaga grupa Shadow Brokers. Iekšā emuāra ieraksts , viņš kritizēja ievainojamību uzkrāšanas praksi. Mums ir nepieciešams, lai valdības apsvērtu kaitējumu civiliedzīvotājiem, ko rada šo ievainojamību uzkrāšana un šo ekspluatāciju izmantošana, viņš rakstīja.
ASV valdībai ir sistēma, lai izvērtētu riskus, kas saistīti ar kritiskas programmatūras ievainojamības izpaušanu vai tās slēpšanu. Taču ļoti maz publiski tiek saprasts, kā darbojas tā sauktais ievainojamības akciju process (VEP). Privātuma aizstāvji jau sen ir aicinājuši nodrošināt lielāku caurskatāmību, bet ar tikai pieticīgiem panākumiem.
Tiek uzskatīts, ka VEP pastāvēja kopš 2010. gada, bet palika noslēpumā līdz 2014. gadam, kad Baltais nams un Nacionālās izlūkošanas direktors katrs izlaida paziņojumus, kas noliedz a Blumbergs Ziņot ka NSA jau gadiem ilgi bija zinājusi un izmantojusi plaši izplatītu ievainojamību saziņas internetā šifrēšanas veidā, ko sauc par Heartbleed. Maikls Daniels, prezidenta Obamas kiberdrošības koordinators, apgalvoja, ka administrācija ir izveidojusi disciplinētu, stingru un augsta līmeņa lēmumu pieņemšanas procesu ievainojamības atklāšanai.
Tas, vai federālajai valdībai ir vai nav jāinformē par šādām ievainojamībām, dažiem var šķist skaidrs, Daniels toreiz teica , bet realitāte ir daudz sarežģītāka. Viņš sacīja, ka ievainojamības atklāšana varētu likt ASV atteikties no iespējas savākt svarīgu izlūkdatu, kas varētu kavēt teroraktu. Neskatoties uz to, valdības lēmumu pieņemšanas process bija neobjektīvs, lai atbildīgi atklātu ievainojamību.
2016. gada janvārī, pateicoties Electronic Frontier Foundation tiesas prāvai par Informācijas brīvības likumu, valdība publicēja daļēji rediģētu dokumentu. dokumentu skaidrojot VEP. Tas palika neskaidrs, kā tieši tiek pieņemts lēmums, kas to pieņem un cik daudz slepenu ievainojamību ir valdības rīcībā. Džeisons Hīlijs , nesen Kolumbijas universitātes pētnieks un Atlantijas padomes vecākais līdzstrādnieks lēsts ka skaitlis ir desmitos.
Nesenie notikumi ir radījuši šaubas, ka sistēma patiešām ir neobjektīva uz izpaušanu, kā apgalvoja Daniels. Iekšā jaunākais pētniecības darbs , Hīlijs, pamatojoties uz intervijām un valdības publiskiem paziņojumiem par VEP, secināja, ka NSA gandrīz noteikti vajadzēja atklāt ievainojamības saistībā ar iepriekšējo Shadow Brokers informācijas noplūdi ietekmētajiem uzņēmumiem, tostarp Cisco, Juniper un Fortinet. FIB vajadzēja arī pastāstīt Apple par ievainojamību, ko tas izmantoja, lai piekļūtu viena no šāvēja iPhone tālrunim pagājušajā gadā Sanbernardino teroristu uzbrukumos, rakstīja Hīlijs.
Diemžēl šķiet, ka labākas caurskatāmības izredzes un līdz ar to saistīta atbildība nav gaidāma. VEP kontrolē federālās valdības izpildvara, bez publiskas uzraudzības. Ja vien Trampa administrācija nenolems to mainīt, mēs, visticamāk, paliksim neziņā. Līdz nākamajam lielajam kiberuzbrukumam, tas ir.