Президент США Барак Обама считает, что любая правительственная организация при обнаружении уязвимости в системах безопасности в Интернете должна обратить внимание общественности на данную проблему, а не использовать ее в своих целях и специальных разведывательных программах. Об этом сообщает онлайн-ресурс издания New York Times (NYT) со ссылкой на слова высокопоставленных чиновников в Белом доме.
Впрочем, несмотря на установленное правило по отношению к обнаруженным уязвимостям, которое существует на данный момент, Барак Обама также предусмотрел исключение из сформировавшегося курса на восстановление доверия пользователей к АНБ в том случае, если «существует очевидный интерес для служб национальной безопасности или правоохранительных органов».
Согласно публикации источника, сообщение о позиции Обамы по отношению к вопросу безопасности Интернета появилось спустя день после того, как Управление директора Национальной разведки ODNI ответило на сообщение Bloomberg News. В частности, ODNI опровергло заявления Bloomberg News, сообщив, что «АНБ или любые другие органы исполнительной власти» не располагали никакими сведениями относительно обнаруженной недавно критической уязвимости Heartbleed. Напомним, недавно в Сети появилась информация о том, что в криптографическом пакете OpenSSL была обнаружена критическая уязвимость, которая позволяет злоумышленникам получать несанкционированный доступ к информации, которая защищена SSL/TLS шифрованием.
Журналисты NYT сообщают, что позиция Обамы по отношению к обнаруженным спецслужбами США уязвимостями в интернет-протоколах и протоколах шифрования стала известна в январе этого года, сразу после того, как президент США приступил к просмотру рекомендаций, предоставленных рабочей группой по проверке разведывательных программ и коммуникационных технологий.
В заявлении ODNI, опубликованном на прошлой неделе, содержится пункт, который освещает позицию правительственных организаций в вопросе предоставления информации об уязвимостях в интернет-протоколах и протоколах шифрования:
«В ответ на рекомендации, предоставленные организованной президентом США рабочей группой по проверке разведывательных программ и коммуникационных технологий, Белый дом пересмотрел свою позицию в этом вопросе и ускорил межведомственный процесс принятия решения, в каких случаях можно делиться информацией о найденных уязвимостях. Сам процесс называется Vulnerabilities Equities Process. Если информация о найденных уязвимостях не представляет интереса для служб национальной безопасности или правоохранительных органов, этот процесс является предпочтительным по направлению к раскрытию таких уязвимостей».
Стоит отметить, что это заявление не противоречит рекомендациям, изложенным на 308 страницах доклада рабочей группы:
«Мы рекомендуем сотрудникам Совета национальной безопасности США организовать управление процессом межведомственного контроля над действиями правительства США в отношении программ, использующих ранее неизвестные уязвимости в компьютерных приложениях или системах, на регулярной основе. Их часто называют уязвимости нулевого дня, в силу того, что уязвимость становится публично известна до момента выпуска разработчиком ПО исправлений ошибки. Законодательство США должно гарантировать быстрое устранение подобных уязвимостей с целью защиты сети правительства США и других сетей. В редких случаях законодательство США должно разрешать использование уязвимостей 0day в рамках разведывательных программ с высоким приоритетом, но только после проведения межведомственного собрания с участием всех соответствующих ведомств».
Несмотря на заявление ODNI и рекомендации рабочей группы Барака Обамы, предыдущие заявления, основанные на предоставленных экс-сотрудником АНБ Эдвардом Сноуденом документах, указывают, что АНБ неоднократно покупало информацию об уязвимостях 0day. В августе 2013 года в публикации Washington Post говорилось, что АНБ самостоятельно разрабатывает большую часть вредоносного ПО, предназначенного для сбора данных, однако в том же году агентство выделило $25,1 млн на закупку информации об уязвимостях и вредоносного ПО, разработанного частными компаниями, расположенных преимущественно в Европе.
Источник: ArsTechnica