Νωρίτερα αυτή την εβδομάδα, μια ομάδα η οποία αυτοαποκαλείται Σκιά Μεσίτες κυκλοφόρησε ένα χώρο προσωρινής αποθήκευσης στρατιωτικής ποιότητας εργαλεία hacking υπολογιστή. Από τότε, οι εμπειρογνώμονες και οι πρώην εργαζόμενοι γραφείων έχουν τεκμηριωμένα ότι η δόση των custom-made malware προέρχεται από την Εθνική Υπηρεσία Ασφαλείας.
Τώρα, η χωματερή εγείρει σοβαρά ερωτήματα σχετικά με τη φύση των cyberweapons οπλοστάσιο της κυβέρνησης των ΗΠΑ. Η σημαντικότερη από αυτές τις ερωτήσεις είναι εάν ή όχι η κυβέρνηση των ΗΠΑ θα πρέπει να αποκρύπτουν πληροφορίες σχετικά με δυνητικά καταστροφικές ρωγμές στα προγράμματα λογισμικού που χρησιμοποιούνται ευρέως από τις αμερικανικές εταιρείες.
Ένα από τα πιο δυνητικά επιζήμια εκμεταλλεύεται ότι η σκιά Μεσίτες αποκαλύπτεται είναι το λεγόμενο "zero-day" τρωτά σημεία σε ένα προϊόν ασφάλειας της Cisco κοινή σε πολλές αμερικανικές κρίσιμες εγκαταστάσεις υποδομής. Μηδέν-μέρες είναι κενά ασφαλείας που η πληγείσα εταιρεία δεν γνωρίζουν.
Πόσο ασφαλή είναι τα δεδομένα σας; Πάρτε το κουίζ μας και μάθετε
Είναι ότι το είδος της ελάττωμα που η NSA θα πρέπει να κρατήσει μυστικό από αμερικανικές επιχειρήσεις; Θα πρέπει να το έχουν πει Cisco;
Κατά την πρόσφατη σύμβαση CON χάκερ DEF στο Λας Βέγκας, θα παρουσιαστεί έρευνα που διεξάγεται με τους φοιτητές στο Πανεπιστήμιο Columbia Σχολή Διεθνών και Δημοσίων Υποθέσεων σχετικά με τη διαδικασία της ευπάθειας Μετοχές (VEP), μια διαδικασία Λευκό Οίκο για να καθορίσει πότε η κυβέρνηση θα πρέπει να διατηρεί - και πότε θα πρέπει να αναφέρει - όπως τρωτά σημεία.
καλύτερη εκτίμηση μας είναι ότι η κυβέρνηση διατηρεί πιθανώς ένα μικρό οπλοστάσιο από δεκάδες τέτοια μηδενικής ημέρες, πολύ λιγότερα από τα εκατοντάδες ή χιλιάδες που υπολογίζεται πολλοί ειδικοί. Φαίνεται προσθέτουν σε αυτό το οπλοστάσιο μόνο από στάζει και βασανιστικό τρόπο, ίσως με μονοψήφια κάθε χρόνο.
Ωστόσο, πριν ο Πρόεδρος Ομπάμα "αναζωογόνησε" το VEP τον Ιανουάριο του 2014, η NSA κράτησε πιθανώς πολλά περισσότερα: πιθανώς δεκάδες ανά έτος, και όχι μόνο ψηφία. Σε εκείνες τις ημέρες, η NSA έκανε σε μεγάλο βαθμό τις δικές της αποφάσεις, χωρίς να χρειάζεται να διαβουλεύονται με τα άλλα τμήματα της κυβέρνησης.
Σήμερα, ωστόσο, ο πρόεδρος κατέστησε σαφές η προεπιλογή απόφαση θα πρέπει να είναι να αποκαλύψει ελαττώματα. Ενώ οι αποκαλύψεις των Σκιών Brokers »δεν έχουν αλλάξει την εκτίμησή μας για τον αριθμό των μηδενικών ημερών στο οπλοστάσιο της NSA, ένας πρώην διαχειριστής του κυβερνοχώρου NSA δήλωσε στην Washington Post υπήρχαν" εκατοντάδες "των εν λόγω τρωτά σημεία στο γραφείο και κανένας από αυτούς δεν αποκαλύφθηκαν σε εταιρείες.
Αλλά πέρα από τον συγκεκριμένο αριθμό των τρωτών σημείων που έχει στη διάθεσή της NSA, η χωματερή δημιουργεί αμφιβολίες για την αποτελεσματικότητα της διαδικασίας VEP της κυβέρνησης. Είναι πραγματικά επαρκής;
Με βάση τις πολιτικές στην χώρα σήμερα, η NSA είναι σχεδόν βέβαιο ότι θα έπρεπε να ανακοινώσει την ευπάθεια Cisco - όπως ακριβώς FBI θα έπρεπε να πει η Apple για το iPhone ευπάθεια που προβάλλονται για να ξεκλειδώσετε το τηλέφωνο ανακτήθηκε μετά το San Bernardino, Καλιφόρνια, τρομοκρατική επίθεση..
Αν κάθε οργανισμός θέλει να κρατήσει ένα zero-day, πρέπει να υποστηρίξει την υπόθεσή του στο Συμβούλιο Εθνικής Ασφάλειας (NSC) και άλλους φορείς, όπως το Υπουργείο Εσωτερικής Ασφάλειας και του Υπουργείου Εμπορίου που αφορά κατά κύριο λόγο με την εξασφάλιση των ΗΠΑ υποδομών ζωτικής σημασίας.
Σύμφωνα με πολλούς ανθρώπους που ερωτήθηκαν για το zero-day έρευνά μας, οι συμμετέχοντες στη διαδικασία μετοχές αναθεώρησης είναι ανώτερα στελέχη της διοίκησης και συναντώνται συχνά. Είναι μια ενεργητική διαδικασία.
Επιπλέον, η διοίκηση Ομπάμα κριτήρια είναι σαφές ότι η προεπιλεγμένη θέση είναι για να πει πωλητές και το NSC. Αν μια ευπάθεια επηρεάζει ΗΠΑ κρίσιμες υποδομές ή επιβάλλει υψηλό κίνδυνο, η κυβέρνηση δεν θα πρέπει να το κρατήσει. Αυτή είναι σίγουρα η περίπτωση με το μικρόβιο της ασφάλειας της Cisco.
Η πολιτική του προέδρου δεν ισχύει για σφάλματα που ανακαλύφθηκε πριν από το 2010. Έτσι, η NSA δεν ήταν κατά παράβαση της διατύπωσης της πολιτικής, αλλά φαίνεται σίγουρα κατά την πρόθεση του προέδρου.
Η καλύτερη περίπτωση για Σχέσεις διατηρώντας την ευπάθεια Cisco είναι ότι ήταν παρακολουθεί τα σήματα πληροφοριών για τα σημάδια που οι άλλοι γνώριζαν γι 'αυτό. Και, ενδεχομένως, αν ο οργανισμός ανακάλυψε ότι είχε αναπτυχθεί, θα ενημερώσει Cisco.
Ακόμα, η διαρροή Σκιά Μεσίτες καθιστά πιο σαφές από ποτέ ότι ο πρόεδρος πρέπει να ενισχύσει τη διαδικασία μετοχές επανεξέτασης για να κλείσουν τα εμφανή κενά ότι η NSA και FBI μπορεί να στηριχθεί για να κρατήσει το μηδέν ημέρες της κρύβονται.
Ο πρώην επιτελικά στελέχη του Λευκού Οίκου Rob Knake και Ari Schwartz έχουν δημοσιευθεί ένα μεγάλο κατάλογο συστάσεων: επισημοποιήσει τη διαδικασία ως ένα εκτελεστικό διάταγμα, κάνουν περισσότερη διαφάνεια μέσω μιας ετήσιας έκθεσης, επανεξετάζει περιοδικά διατήρησε τα τρωτά σημεία (συμπεριλαμβανομένων και εκείνων που προέρχονται από πριν από το 2010), και να δημιουργήσει ένα φύλακα παρόμοια με την Προστασία Προσωπικών Δεδομένων και Ελευθεριών συμβουλίου Επιτήρησης της Δημόσιας Διοίκησης.
Οι αποκαλύψεις Σκιά Μεσίτες δίνουν την εντύπωση μιας NSA που είναι εκτός ελέγχου. Η διαδικασία Equities ευπάθεια έχει ως στόχο να θέσει κάποιες περιορισμούς για τον οργανισμό, όταν πρόκειται για εργαλεία hacking του - είναι μια καλή διαδικασία σχεδιαστεί για να διέπουν ένα απίστευτα κρίσιμη λειτουργία του οργανισμού.
Αλλά η κυβέρνηση θα πρέπει να ενεργήσει γρήγορα - και με διαφάνεια - να μεταρρυθμίσει τη διαδικασία αυτή για να διατηρήσει την εμπιστοσύνη των Αμερικανών τεχνολόγοι, το κοινό των ΗΠΑ και τους συμμάχους μας.
Jason Healey είναι ανώτερος μελετητής της έρευνας στη Σχολή Διεθνών και Δημοσίων Υποθέσεων του Πανεπιστημίου Κολούμπια και ανώτερος συνεργάτης στο Ατλαντικό Συμβούλιο. Ακολουθήστε τον στο Twitter @Jason_Healey .
