Die US-Marine will Zero-Day-Sicherheitslücken bei Ihnen kaufen
Identifiziert eine Sicherheitslücke in einem Stück von bekannten Software? Sie konnte den Hersteller damit jeder sicher zu warnen – oder Sie könnte es an der US-Marine, die die Informationen bei Ihnen kaufen wird, um die Software zu nutzen, das Loch zu bauen zu verkaufen.
Bekannter Adlerauge und EFF Investigative Forscher Dave Maass geschah auf einen interessanten Artikel von Anfang dieser Woche auf FedBizOpps, der Website für Regierungsbehörden zusammen, um die vertragliche Möglichkeiten post. Die Marine eine Aufforderung, die erklären, dass die Regierung will "zu Anfälligkeit Intelligenz, Exploit-Berichte und operativen Exploit Binärdateien beeinflussen häufig verwendet und stützte sich auf kommerzielle Software Zugang" einschließlich Microsoft, Adobe, Apple, Android Aufmachungen "und alle anderen." Wenn das nicht klar genug wäre, die Aufforderung erklärt, dass "der Anbieter erbringt die Regierung mit einer vorgeschlagenen Liste der verfügbaren Schwachstellen, 0- oder N-Tag (nicht älter als 6 Monate alt).... Die Regierung wird wählen Sie aus der beiliegenden Liste und direkte Entwicklung der Exploit Binärdateien."
Obwohl diese Aufforderung auf einer öffentlich zugänglichen Website veröffentlicht wurde, scheint es der Marine wollte nicht, dass die Aufmerksamkeit und der Tag, nachdem Dave darüber getwittert abgerissen. (Wir haben die zwischengespeicherte Kopie von Google hochgeladen.) Trotzdem ist die Tatsache, dass die Regierung der Vereinigten Staaten ist auf der Suche nach Lieferanten zu Software-Schwachstellen verkaufen nicht nur Nachrichten – wir haben seit einiger Zeit, dass die Regierung Software-Schwachstellen verwendet, manchmal auch als Null-Tage für offensive nachrichtendienstlichen und Spionage bekannt. Medien berichtete auch über die öffentlichen Beschaffungen von Null-Tage von externen Anbietern.
Bemerkenswert ist darüber wie wenig Rücksicht die Regierung für den Prozess scheint des Entscheidens, Sicherheitslücken auszunutzen. Wie wir bereits die Entscheidung für eine Anfälligkeit für "offensive" Zwecke anstatt Offenlegung erklärt habe gehört es dem Entwickler, die Überwachung über die Sicherheit von Millionen von Nutzern priorisiert. Zu seinem Kredit hat die Regierung bestätigt, dass diese Entscheidung in jedem Fall außerordentlich wichtig ist. Es hat sogar angeblich "etabliert einen disziplinierten, strengen und auf hohem Niveau Entscheidungsprozess für Anfälligkeit Offenlegung," die es Schwachstellen Aktien Prozess (VEP) nennt. Die Regierung sagt VEP ist vollständig klassifiziert und EFF klagt um es veröffentlicht zu bekommen.
Wir sind skeptisch, dass jede VEP, die Ergebnisse in den "meisten Fällen, verantwortungsvolle Offenlegung" behauptet, die Anfälligkeit für den Verkäufer, als Sprecher des weißen Hauses Michael Daniels, möglicherweise eine Aufforderung wie entsprechen könnte die Marine in dieser Woche veröffentlicht. Es erscheint uns als unwahrscheinlich, dass die Marine eine große Summe Geld zu Heldentaten nur um umzudrehen und offen zu legen, dass die zugrunde liegenden Schwachstellen an den Lieferanten zurück zu verbringen. Um es einfach auszudrücken, ist die Regierung Hereinholen Informationen zu Sicherheitsrisiken niemand kennt in Produkten, die jeder hängt davon ab, jeden Tag – aber offenbar nicht, sie zu beheben.
Die Marine versucht, dieses besondere Aufforderung das Speicher-Loch hinunter zu schicken, aber wir sind zuversichtlich, dass durch unsere FOIA-Anzug, können wir mehr Licht auf den Konflikt zwischen öffentlichen Erklärungen der Regierung und ihre scheinbaren Praktiken rund um die Bevorratung von Null-Tage Schuppen.
Dieser Artikel erschien auf der Electronic Frontier Foundation und hier unter Creative Commons Lizenz veröffentlicht. Bild von US Navy unter Creative Commons Lizenz.