Правительство США использовало уязвимости нулевого дня для кибершпионажа

image

Теги: АНБ, США, уязвимость, уязвимость нулевого дня

О многих обнаруженных правительственными службами уязвимостях разработчикам не сообщалось для того, чтобы использовать их в целях государственной безопасности.

В июле 2010 года в качестве рекомендаций Белого дома разведывательным службам США был направлен  документ  под названием «Обычный процесс работы с уязвимостями» («Vulnerability Equities Process»). В ходе этого процесса по каждой обнаруженной или выкупленной у подрядчиков уязвимости правительство США принимало решение – сообщать разработчику о бреши, или ее можно использовать для взлома защитных систем. 

Использование правительством уязвимостей нулевого дня неоднозначно. Когда специальные органы не сообщают разработчику о бреши с целью экспуатации ее в своих интересах, все системы, включая правительственные и критическую инфраструктуру, попадают в зону риска.

Рекомендации были предоставлены после того, как одна из организаций гражданских свобод подала в суд на руководство Национального разведывательного совета (National Intelligence Council). Отредактированная версия документа, полученная правозащитниками, проливает свет на предысторию развития политики правительства касательно уязвимостей нулевого дня. В документе не было найдено никаких подтверждений заявления руководства страны о том, что оно раскрывает «подавляющее большинство» найденных уязвимостей нулевого дня, вместо того, чтобы тайно их экплуатировать.

Согласно документу, «процесс работы с уязвимостями» появился в результате деятельности целевой группы правительства, сформированной в 2008 году для того, чтобы «использовать все наступательные способности для обеспечения защиты информационных систем США».

Использование наступательных способностей может означать одно из двух: либо предоставление сообществу разработчиков и пользователей информации о уязвимостях нулевого дня таким образом, чтобы они могли быть исправлены в правительственных системах и критической инфраструктуре, либо использование АНБ кибершпионажа в случаях, когда уязвимость не затрагивает системы правительства. 

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.