Die US-Marine will Zero-Day-Sicherheitslücken bei Ihnen kaufen


Identifiziert eine Sicherheitslücke in einem Stück von bekannten Software? Sie konnte den Hersteller damit jeder sicher zu warnen – oder Sie könnte es an der US-Marine, die die Informationen bei Ihnen kaufen wird, um die Software zu nutzen, das Loch zu bauen zu verkaufen.

Bekannter Adlerauge und EFF Investigative Forscher Dave Maass geschah auf einen interessanten Artikel von Anfang dieser Woche auf FedBizOpps, der Website für Regierungsbehörden zusammen, um die vertragliche Möglichkeiten post. Die Marine eine Aufforderung, die erklären, dass die Regierung will "zu Anfälligkeit Intelligenz, Exploit-Berichte und operativen Exploit Binärdateien beeinflussen häufig verwendet und stützte sich auf kommerzielle Software Zugang" einschließlich Microsoft, Adobe, Apple, Android Aufmachungen "und alle anderen." Wenn das nicht klar genug wäre, die Aufforderung erklärt, dass "der Anbieter erbringt die Regierung mit einer vorgeschlagenen Liste der verfügbaren Schwachstellen, 0- oder N-Tag (nicht älter als 6 Monate alt).... Die Regierung wird wählen Sie aus der beiliegenden Liste und direkte Entwicklung der Exploit Binärdateien."

Obwohl diese Aufforderung auf einer öffentlich zugänglichen Website veröffentlicht wurde, scheint es der Marine wollte nicht, dass die Aufmerksamkeit und der Tag, nachdem Dave darüber getwittert abgerissen. (Wir haben die zwischengespeicherte Kopie von Google hochgeladen.) Trotzdem ist die Tatsache, dass die Regierung der Vereinigten Staaten ist auf der Suche nach Lieferanten zu Software-Schwachstellen verkaufen nicht nur Nachrichten – wir haben seit einiger Zeit, dass die Regierung Software-Schwachstellen verwendet, manchmal auch als Null-Tage für offensive nachrichtendienstlichen und Spionage bekannt. Medien berichtete auch über die öffentlichen Beschaffungen von Null-Tage von externen Anbietern.

Bemerkenswert ist darüber wie wenig Rücksicht die Regierung für den Prozess scheint des Entscheidens, Sicherheitslücken auszunutzen. Wie wir bereits die Entscheidung für eine Anfälligkeit für "offensive" Zwecke anstatt Offenlegung erklärt habe gehört es dem Entwickler, die Überwachung über die Sicherheit von Millionen von Nutzern priorisiert. Zu seinem Kredit hat die Regierung bestätigt, dass diese Entscheidung in jedem Fall außerordentlich wichtig ist. Es hat sogar angeblich "etabliert einen disziplinierten, strengen und auf hohem Niveau Entscheidungsprozess für Anfälligkeit Offenlegung," die es Schwachstellen Aktien Prozess (VEP) nennt. Die Regierung sagt VEP ist vollständig klassifiziert und EFF klagt um es veröffentlicht zu bekommen.

Wir sind skeptisch, dass jede VEP, die Ergebnisse in den "meisten Fällen, verantwortungsvolle Offenlegung" behauptet, die Anfälligkeit für den Verkäufer, als Sprecher des weißen Hauses Michael Daniels, möglicherweise eine Aufforderung wie entsprechen könnte die Marine in dieser Woche veröffentlicht. Es erscheint uns als unwahrscheinlich, dass die Marine eine große Summe Geld zu Heldentaten nur um umzudrehen und offen zu legen, dass die zugrunde liegenden Schwachstellen an den Lieferanten zurück zu verbringen. Um es einfach auszudrücken, ist die Regierung Hereinholen Informationen zu Sicherheitsrisiken niemand kennt in Produkten, die jeder hängt davon ab, jeden Tag – aber offenbar nicht, sie zu beheben.

Die Marine versucht, dieses besondere Aufforderung das Speicher-Loch hinunter zu schicken, aber wir sind zuversichtlich, dass durch unsere FOIA-Anzug, können wir mehr Licht auf den Konflikt zwischen öffentlichen Erklärungen der Regierung und ihre scheinbaren Praktiken rund um die Bevorratung von Null-Tage Schuppen.

Dieser Artikel erschien auf der Electronic Frontier Foundation und hier unter Creative Commons Lizenz veröffentlicht. Bild von US Navy unter Creative Commons Lizenz.

Verwandte Artikel

Molly Ringwald bitten: meine Eltern rauchen, so will ich nicht meine Kinder bei ihnen zu bleiben. Irre ich mich?

"Es ist einen starken Drang, die, den wir Eltern unsere eigenen Kinder zu retten haben, leiden die gleichen Dinge, die wir haben" My Eltern Raucher sind. Sie rauchte, als ich ein Kind im Auto, im Haus und überall dazwischen war. Ich wurde verwen...

Bericht: Das FBI bezahlt einige zweifelhafte Hacker für einen Zero-Day zum Entsperren des iPhone San Bernardino

Ich war müde von der FBI vs. Apple-Geschichte, aber jetzt hat es ein geheimes Kollektiv von moralisch zweideutigen Hacker, und ich bin wieder hinein. Laut einem Bericht von der Washington Postbezahlt das Federal Bureau of Investigation einer Gruppe von Ha...

United kann nicht einmal die Mühe werden, Geld zu zahlen, für die Suche nach Sicherheitslücken

Bug-Bounty-Programme sind sehr verbreitet unter Tech-Unternehmen: wie Facebook und Google (obwohl insbesondere nicht von Apple) bieten Ihnen Hunderttausende von Dollar in Reihenfolge für die Offenlegung von Sicherheitslücken in ihren Produkten. Es ist ein...

Sogar die ersten Radio-Pioniere hatten Patentkriegen und Sicherheitslücken

[youtube]sP2qqMegNKA[/youtube] In diesen Tagen die nächsten Unternehmen kommen zu kämpfen miteinander ist ein Snarky Diagramm in einer Keynote-Präsentation oder vielleicht ein stark formuliert Tweet. Zurück im Jahr 1903, die Lösung war viel einfacher...

Flash-Treffer durch eine weitere Zero-Day-Schwachstelle

Die Sicherheitsanfälligkeit kann auf den Benutzercomputern gegen ihren Willen Software installieren und der einzige Schutz für den Moment ist Flash deinstallieren Adobes Flash-Plugin ist noch einmal getroffen worden, durch eine "Zero-Day"-Exploi...

NSA verschmelzenden Anti-Hacker-Team, das das behebt Sicherheitslücken mit einem nutzt sie

US-Spione werden entscheiden müssen, zwischen halten Hacker, oder benimmt sich wie sie Intelligenz, sammeln gehen gegen die Empfehlung des Computer-Sicherheitsexperten Eine Reorganisation der National Security Agency könnte Druckerhöhung auf US-Spione zu...

Sony-Hacker verwendet eine Zero-Day-Schwachstelle zu brechen

Dass Hacker Sonys Scheiße wirklich durcheinander ist unbestreitbar, aber wie sie es (und auch, wer sie waren) ist noch in der Luft. Recode Bericht wirft ein Licht auf die ehemalige, aber; Zugang war offenbar durch eine Zero Day-Schwachstelle, ein bisher u...

CyberAuto Herausforderung hilft Auto Sicherheitslücken aufzudecken

Heutige Autos sind anfällig für die Bedrohung durch Computer-Viren oder Hacker gewachsen – Sicherheits-Forscher haben sogar gezeigt, wie man aus der Ferne öffnen Sie ein Fahrzeug oder ein Auto Anlassen mittels einfachen Textnachrichten. Aber eine Gruppe v...

Online-Banking: Weit verbreiteten Sicherheitslücken aufgedeckt

Vorsicht bei Online-Banker. Mehr als 75 Prozent der Bank Websites von einem Forschungsteam Befragten hatte mindestens einen Konstruktionsfehler, die Kunden Internetdiebe anfällig machen könnte. Universität von Michigan Informatiker Atul Prakash und seine...

ESPN Fantasy Football Website voller Sicherheitslücken

ESPN Fantasy Football Website wird durch Mängel geplagt, die Benutzer zu betrügen, nach ein Sicherheitsexperte erleichtern. Die Sicherheitslücken in der URL der Website als eine endgültige verwendetBestätigung, dass die Teilnehmer anklicken muss, wenn ein...

Die philippinische Regierung will die Damen zu lieben (einfach nicht genug, um Geburtenkontrolle benötigen)

Don Draper Psyche ist nichts auf eine politische Strategie basieren So kam die Ankündigung, dass Republikaner, noch eine weitere politische Tätigkeit Ausschuß gezielt weibliche Wähler gebildet hatten – eine Dame-centric Super Pac benannt die Entriege...

Die 6 lustigen Möglichkeiten Mainstream-Medien Fehler bei Google

Seien wir ehrlich: Menschen lieben es, Abkürzungen nehmen. Können man es ihnen verdenken? Die Zeitersparnis durch die Vermeidung von weltlichen Aufgaben einsetzbar für wichtigere Dinge, wie die Entscheidung, welche Instagram-Filter am genauesten die Schwe...

Die konvertierte für iOS: A App, dass gibt Ihnen Konvertierungskontext

Während dies in der Regel ungesagt geht, das Internet ist eine riesige Krücke geworden – aber mehr als das, wir sind so gut wie ohne es blind. Was tun, wenn musst du Meter zu Fuß zu konvertieren? Traf ein paar Tasten auf Ihrer Tastatur und Bam, Google sag...

Bleibt wieviel Geld bei Ihnen zu Hause die Zahnfee?

Anscheinend ist die Familie Zahnfee Olen ein Geizkragen. Meine Kinder erhalten $5 für den ersten verlorenen Zahn und $2 danach. Unsere Zahnfee ist leider hinter der finanziellen Kurve. Umfragedaten aus Visum zeigt, dass das durchschnittliche Kind der Vere...