АНБ США эксплуатирует бреши в разведывательных целях и не сообщает о них производителям

Впервые АНБ США опубликовало данные, в которых описывается, как Агентство справляется и создает отчеты о неисправленных уязвимостях в программном обеспечении. Не секрет, что у АНБ есть собственная база эксплоитов для брешей, которые спецагенты используют для инфицирования компьютеров и мобильных устройств в разведывательных целях.

Информирование об уязвимостях, а также исправление брешей разработчиками приложений и технологическими компаниями-гигантами может стоить правительству потери как финансов, так и крупнейших источников важной информации. Вполне вероятно, отмечает The Register, что АНБ публично сообщает о брешах, когда они уже были успешно проэксплуатированы Агентством.

Благодаря запросу Фонда электронных рубежей на получение общественной информации, согласно закону США о свободе информации, общественности удалось узнать некоторые данные о правительственной политике эксплуатации уязвимостей нулевого дня.

В полученном документе описывается, как правительственным учреждениям исправлять и сообщать об обнаруженных уязвимостях в программном обеспечении, используемом агентствами и компаниями-подрядчиками.

Часть текста документа, обозначенная как секретная, объясняет, каким образом агентства могут выполнять задания, связанные с кибербезопасностью, координируемые Министерством внутренней безопасности. Некоторые пункты документа предназначены только для США, часть из них – для американских партнеров из разведывательного альянса «Пять глаз» (Five Eyes). В данных пунктах говорится о том, что правительственные агентства не должны сообщать об выявленных уязвимостях производителям, вместо этого незамедлительно уведомить о брешах АНБ. О найденных уязвимостях в программном обеспечении и алгоритмах шифрования АНБ также необходимо сразу же докладывать Агентству. 

Штатный юрист Фонда электронных рубежей Эндрю Крокер (Andrew Crocker) отметил, что документ раскрывает некоторые интересные подробности касательно правительственной политики безопасности по отношению к выявленным уязвимостям. В случае, если правительство решит воспользоваться брешами в разведывательных целях, производителям не сообщат об обнаруженных ошибках, с целью избежать скорого выпуска обновлений.