Es ist kein Geheimnis, dass die Regierung für "Vergehen" Null Tage benutzt


Stück für Stück erschließt die Regierung über den Einsatz von Computer-Sicherheits-Schwachstellen. Im vergangenen Monat offenbart die NSA hat es historisch "veröffentlicht mehr als 91 % der Sicherheitslücken in Produkten, die unsere internen Review-Prozess durchgemacht haben und sind, hergestellt und verwendet in den Vereinigten Staaten, entdeckt." Da müsste wahrscheinlich ein Sternchen oder vier begleiten diese Aussage. Aber mehr dazu in einer Minute. Erstens ist es Wert untersuchen, warum die Regierung ist auch nur die geringste bevorstehenden zu diesem Thema etwas.

Seit 2014 hat EFF verklagt worden, unter dem Freedom of Information Act zu greifen, was die Regierung die Schwachstellen Aktien Prozess (VEP nennt). Das ist die Politik, mit dem die NSA, FBI und andere entscheiden, ob Sie Hersteller und Softwareentwickler von Schwächen in ihren Produkten zu erzählen oder zu halten und "auszubeuten".

Wir hatten einige echte Erfolge. Die Regierung verschwendet zunächst Monaten behauptet, dass die VEP vollständig klassifiziert wurde. Dann, am Vorabend einer Schlacht Gericht, es änderte Kurs und Thefoundational VEP Dokument veröffentlicht. Wie erwartet, beschreibt VEP ein Verfahren für den Umgang mit widerstreitenden Interessen der Regierung in Sicherheitslücken. Auf der einen Seite wird die Offenlegung der Anfälligkeit US-Systeme vor Hacker-Angriffen schützen. Dies ist besonders wichtig, wenn die Schwachstelle in Systemen oder Produkten, die von der Regierung und der Öffentlichkeit verwendet. Stellt sich heraus, das sehr häufig ist. Das konstante Glied hingewiesen, sogar die NSA supergeheimen XKEYSCORE Tool "stützt sich auf eine komplett open-Source-Stack." Aber manchmal will die Geheimdienste Schwachstellen nutzen, um ihre "offensive" Mission zu verfolgen – Spionage, Strafverfolgung und sogar Cyberangriff. Besonders wertvoll sind null Tage, bisher unbekannte Schwachstellen, die fruchtbare Hacks führen kann. Die bekannteste in dieser Kategorie ist der Stuxnet-Wurm, die die USA und Israel angeblich mit einer Anzahl von Null Tagen gebaut und eingesetzt Zentrifugen in iranischen Atomanlagen zu zerstören.

Doch im VEP Dokument veröffentlicht als Teil EFFs-Klage, die Regierung hat auch coy über diese offensive verwendet. In der Tat geschwärzt es jeden einzelnen Verweis auf sie. Wie die früheren Behauptungen, dass das gesamte Dokument vollständig klassifiziert wurde halten nicht diese Redaktionen. Werfen Sie einen Blick auf diese zwei-Wort-Redaktion auf der ersten Seite des VEP Seite an Seite mit den zuvor veröffentlichten White House Dokument, auf das es verweist:

Geschwärzten Text im VEP Dokument veröffentlicht, EFF

Die gleichen Wörter in ein älteres Dokument redigierter

Das Gesetz lässt nicht einfach die Regierung ungestraft behaupten, dass Informationen, die es bereits anerkannt hat verbatim noch geheim ist. Das gleiche gilt für viele andere geschwärzte Verweise auf offensive Ausnutzung von Sicherheitslücken. Zurück im Jahr 2014 im Zuge der Heartbleed Verletzlichkeit und die Snowden-Enthüllungen war die Regierung viel eifriger zu reden, seine Verfahren für den Umgang mit Sicherheitslücken, einschließlich offensive verwendet. Jetzt angesichts unserer Klage hat es seine Meinung geändert. Am selben Tag veröffentlichte der NSA "91 % Offenbarung" Statistik, die Regierung eine Bewegung für summarisches Urteil abgelegt, in unserem Fall argumentiert, dass die Offenlegung der geschwärzten Daten im VEP Dokument würde dazu führen, dass "schwere Schäden an der nationalen Sicherheit." Aber angesichts der Regierung weitreichende Aussagen über ihre Ausbeutung von Null Tage diese Behauptung nicht stichhaltig. Wir werden einen kurzen Spruch so viel in ein paar Wochen einreichen.

Also, was die NSA 91 % Statistik machen? Es gibt eine Menge Links ungesagt, wie Joseph Menn von Reuters weist darauf hin. Ganz offensichtlich gibt es keine Erklärung, ob die Schwachstellen in den 91 % waren zuerst ausgenutzt und nur dann für das Patchen offengelegt. Dann ist der knifflige Wortlaut der Erklärung selbst. Anhand dieser Bestimmungen musste die Schwachstellen in den 91 % enthalten einige unbestimmte Schwelle der Eingabe der NSA "internen Review-Prozess." Einige wurden somit überhaupt nicht überprüft und sind ungezählt. Schließlich musste die Schwachstellen "hergestellt und verwendet" in den Vereinigten Staaten. Nicht abzusehen, was, dass Mittel für Open-Projekte, bei denen einige Source oder alle der Mitarbeiter waren außerhalb der USA, zum Beispiel.

All dies weist auf die Notwendigkeit für mehr Transparenz auf die Sicherheitsanfälligkeiten. Aus öffentlichen Regierung Aussagen wissen wir, dass von 2010 bis 2014 die VEP war so etwas wie ein toter Buchstabe, und es scheint, dass die NSA stattdessen einfach seine eigene, wahrscheinlich freizügigen internen Review-Prozess verwendet. Seit Heartbleed, die Segmente der Regierung, die Stützung der amerikanischen Sicherheit interessiert sind – die "Verteidigung" – habe angeblich eine wichtigere Rolle in der VEP genommen. Die Öffentlichkeit hat aber noch Beweise davon zu sehen. Volle VEP ohne unhaltbaren Redaktionen die Freigabe ist ein Anfang.

Image via Wikipedia

Andrew Crocker auf Twitter folgen: @agcrocker

Verwandte Artikel

Warum ist jemand überrascht, dass die Regierung uns ausspioniert?

Alle von Tea Party Patriots zu linke Spinner sind empört über PRISM, die Regierung ultra heimliche Überwachung-Programm, das hat hört auf ihre Anrufe und Rechen durch ihre Internetdaten Amerikaner e-Mails gelesen - unter anderem - seit 2007. Details des P...

Björk: "Es ist kein Zufall, dass sich die Porno-Industrie virtuellen Realität angenommen hat"

Vor der Weltpremiere ihrer neuen VR-Arbeit spricht der isländische Musiker über Natur, Technik und ihre Gewohnheiten auf Airbnb Björk trägt etwas des Gens Bowie: mehr Stardust, Regenbogen-Partikel und kreatives Genie als Fleisch und Knochen. Sie ist eine...

Sieben von 10 Australier denken, dass die Regierung mehr für Flüchtlinge tun sollten

Weltweite Umfrage von Amnesty International zählt Australien als fünfte die meisten begrüßen Bevölkerung, mit zwei Dritteln glücklich für Flüchtlinge in ihren Städten niederzulassen Australische Volk gehören zu den freundlichsten der Flüchtlinge in der We...

Bei so vielen Fragen von der Tagesordnung, kein Wunder, dass die Mittelklausuren eine Abzweigung

Wahlen bieten kaum eine Chance der Veränderung, als Republikaner und Demokraten Hände weg hot-Schaltfläche Themen für Partei Vorteil von Zwischenwahlen, oder wie Stephen Colbert "die langweiligste fallen lästige Pflicht aller" sie nennt, sind ei...

Die NHS verkörpert unsere Verbindung an den Staat. Kein Wunder, dass die Tories wollen, es zu brechen

Die Nachfrage steigt für unsere unterfinanziert NHS. Aber Regierung Waffel über Ziele und Effizienz machen nicht steuern, die Wahrheiten zu verschwinden Eine meiner frühesten Erinnerungen ist meine Mutter eine große hölzerne Treppe herunterfallen, wenn wi...

Es ist kein Wunder, dass sie sagen Besitzer und Hunde beginnen gleich aussehen - dies beweist es!

Deutsche Fotografin Ines Opifanti verabschiedet ihre entzückenden Welpen aus einer Laune heraus vor drei Jahren, und wie viele unserer Haustiere neigen dazu, die wenig Cutie total verändert ihre Sicht auf die Welt. Opifanti schnell bemerkt wie ausdrucksst...

Paul Verhoeven auf Elle: "Es ist keine Vergewaltigung Komödie"

Keine weiblichen Schauspieler in Hollywood würde es zu berühren. Aber der Direktor perverse schwarze Komödie mit Isabelle Huppert war der Toast von Cannes. Der umstrittene Film-Maker spricht über seine meisten gewagte arbeiten noch Paul Verhoeven ist nich...

Grüns sind oft kritisch gegenüber dem Status Quo. Kein Wunder, dass die Polizei uns überwachen

Auf Fragen von Luftverschmutzung, bürgerliche Freiheiten Fragen gewählten grünen schwierige – infolgedessen die Einrichtung sieht uns als Bedrohung Gewählten Grüns werden systematisch von der Metropolitan Police überwacht, weil wir nicht kaufen, in d...

Kein Wunder, dass die Tories in Panik sind – David Cameron kann nicht die Wahl gewinnen.

Wenn alles von Camerons Popularität und Milibands Unwahrscheinlichkeit abhängt, ist etwas verlagert. David wächst weiter entfernten wie Ed vertrauter wird Als ich zum ersten Mal David Cameron traf war es mir klar, dass er Ministerpräsident werden würde. V...

Hier ist Video-Beweis, dass die USA ein Erdbeben-Frühwarnsystem brauchen

[youtube]vUkL4V3bOcA[/youtube] Bei einem großen seismischen Gipfel gestern im Weißen Haus bekräftigt die Bundesregierung sein Engagement für die Schaffung eines Frühwarnsystems für Erdbeben. Ein tolles neues Video zeigt genau, wie dies funktionieren könnt...

Kehle-Schließung leiden EoE ist ein Geheimnis, dass gelöst werden muss (Op-Ed)

Dr. Prinzessin Ogbogu Direktor der Allergie und Immunologie Die Ohio State University Wexner Medical Center beigetragen zu dieser Spalte Leben der Wissenschaft Experten stimmen: Op-Ed & Einblicke. Stellen Sie sich zusammensetzen, um eine Mahlzeit, nur...

Sehen dieser Teich? Es ist ein Geheimnis versteckt, die du zu Liebe gehst... Vertraue mir.

Vorbereitung Ihr Haus und Grundstück für die Sommermonate kann eine entmutigende Aufgabe sein, besonders wenn Sie Wartungsarbeiten an Ihrem Becken oder Decks durchführen müssen. Während des Frühlings entscheiden einige Familien auch ihren Höfen in den wär...

Naturhaar ist keine Modeerscheinung – jetzt die Zahlen es beweisen

Einige haben die Naturhaar-Bewegung eine Modeerscheinung geprägt. Andere haben es mit einem Aufruf ein Trend stark vereinfacht. Aber für das Protokoll, ich habe nie Naturhaar fühlte war eine Modeerscheinung. Es hat schon immer etwas mehr als das. Ich fühl...

Die US-Regierung Abschaltung ist ein Spielplatz, dass schlecht Schäden Glaubwürdigkeit spuckte

Die republikanische Partei Manöver setzen einen gefährlichen Präzedenzfall, der schwerwiegende Folgen für die Weltwirtschaft haben könnten Im September 2007 legte Gerrit sechs Belgien auf eBay. Es war Tag 100 seines Landes Versuch, eine Regierung zu bilde...