Новости
Барак Обама предоставит АНБ право использовать уязвимости нулевого дня

Барак Обама предоставит АНБ право использовать уязвимости нулевого дня


obama.desk

Президент США Барак Обама считает, что любая правительственная организация при обнаружении уязвимости в системах безопасности в Интернете должна обратить внимание общественности на данную проблему, а не использовать ее в своих целях и специальных разведывательных программах. Об этом сообщает онлайн-ресурс издания New York Times (NYT) со ссылкой на слова высокопоставленных чиновников в Белом доме.

Впрочем, несмотря на установленное правило по отношению к обнаруженным уязвимостям, которое существует на данный момент, Барак Обама также предусмотрел исключение из сформировавшегося курса на восстановление доверия пользователей к АНБ в том случае, если «существует очевидный интерес для служб национальной безопасности или правоохранительных органов».

Согласно публикации источника, сообщение о позиции Обамы по отношению к вопросу безопасности Интернета появилось спустя день после того, как Управление директора Национальной разведки ODNI ответило на сообщение Bloomberg News. В частности, ODNI опровергло заявления Bloomberg News, сообщив, что «АНБ или любые другие органы исполнительной власти» не располагали никакими сведениями относительно обнаруженной недавно критической уязвимости Heartbleed. Напомним, недавно в Сети появилась информация о том, что в криптографическом пакете OpenSSL была обнаружена критическая уязвимость, которая позволяет злоумышленникам получать несанкционированный доступ к информации, которая защищена SSL/TLS шифрованием.

Журналисты NYT сообщают, что позиция Обамы по отношению к обнаруженным спецслужбами США уязвимостями в интернет-протоколах и протоколах шифрования стала известна в январе этого года, сразу после того, как президент США приступил к просмотру рекомендаций, предоставленных рабочей группой по проверке разведывательных программ и коммуникационных технологий.

В заявлении ODNI, опубликованном на прошлой неделе, содержится пункт, который освещает позицию правительственных организаций в вопросе предоставления информации об уязвимостях в интернет-протоколах и протоколах шифрования:

«В ответ на рекомендации, предоставленные организованной президентом США рабочей группой по проверке разведывательных программ и коммуникационных технологий, Белый дом пересмотрел свою позицию в этом вопросе и ускорил межведомственный процесс принятия решения, в каких случаях можно делиться информацией о найденных уязвимостях. Сам процесс называется Vulnerabilities Equities Process. Если информация о найденных уязвимостях не представляет интереса для служб национальной безопасности или правоохранительных органов, этот процесс является предпочтительным по направлению к раскрытию таких уязвимостей».

Стоит отметить, что это заявление не противоречит рекомендациям, изложенным на 308 страницах доклада рабочей группы:

«Мы рекомендуем сотрудникам Совета национальной безопасности США организовать управление процессом межведомственного контроля над действиями правительства США в отношении программ, использующих ранее неизвестные уязвимости в компьютерных приложениях или системах, на регулярной основе. Их часто называют уязвимости нулевого дня, в силу того, что уязвимость становится публично известна до момента выпуска разработчиком ПО исправлений ошибки. Законодательство США должно гарантировать быстрое устранение подобных уязвимостей с целью защиты сети правительства США и других сетей. В редких случаях законодательство США должно разрешать использование уязвимостей 0day в рамках разведывательных программ с высоким приоритетом, но только после проведения межведомственного собрания с участием всех соответствующих ведомств».

Несмотря на заявление ODNI и рекомендации рабочей группы Барака Обамы, предыдущие заявления, основанные на предоставленных экс-сотрудником АНБ Эдвардом Сноуденом документах, указывают, что АНБ неоднократно покупало информацию об уязвимостях 0day. В августе 2013 года в публикации Washington Post говорилось, что АНБ самостоятельно разрабатывает большую часть вредоносного ПО, предназначенного для сбора данных, однако в том же году агентство выделило $25,1 млн на закупку информации об уязвимостях и вредоносного ПО, разработанного частными компаниями, расположенных преимущественно в Европе.

Источник: ArsTechnica


Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: