Американские спецслужбы отказались сообщать об имеющихся в их распоряжении эксплоитах

Как сообщает Американский союз защиты гражданских свобод (American Civil Liberties Union, ACLU), федеральные правоохранительные агентства отказываются разглашать информацию о приобретенных и используемых ими эксплоитах для уязвимостей в разнообразном ПО. В результате этого американцы остаются безоружными перед угрозой, которая может подорвать безопасность всего интернета.

Эффективность таких уязвимостей и эксплоитов к ним зависит от того, знают ли об их существовании изготовители затронутого ПО. Узнав о том, что в их продукте есть та или иная брешь, они выпускают обновление, устраняющее уязвимость. В связи с этим правительство не намерено разглашать информацию о том, какие именно уязвимости в ПО им известны.

5 февраля нынешнего года ACLU получил ответ от управления директора Национальной разведки США (Office of the Director of National Intelligence, ODNI) на запрос, поданный организацией относительно приобретения, использования и разглашения эксплоитов. Правительственное агентство отказалось сообщать подробную информацию на эту тему, поскольку согласно Раздела 1.4(с) Исполнительного приказа №13526 Президента США (Executive Order 13526, Section 1.4(c)), разглашение этих данных может нанести урон государственной безопасности.

Формальная политика США, касающаяся эксплоитов для уязвимостей, гласит, что федеральные агентства должны раскрывать детали всех крупных уязвимостей компаниям-производителям в целях скорейшего их устранения. Тем не менее, исключением из этого правила являются бреши, эксплуатирующиеся в целях обеспечения национальной безопасности или правопорядка. Это значит, что правительство США может без всяких уведомлений эксплуатировать любые бреши, не уведомляя производителей ПО об их существовании.

Несомненно, эксплуатация уязвимостей приносит большую пользу правоохранительным органам и разведслужбам, но это связано с серьезными проблемами и рисками. Те же бреши могут эксплуатироваться правительствами враждебных государств, хакерами и простыми преступниками. Это значит, что решение американских властей оставлять информацию об уязвимостях в тайне подвергает риску весь интернет и его пользователей.