Es ist kein Geheimnis, dass die Regierung für "Vergehen" Null Tage benutzt
Stück für Stück erschließt die Regierung über den Einsatz von Computer-Sicherheits-Schwachstellen. Im vergangenen Monat offenbart die NSA hat es historisch "veröffentlicht mehr als 91 % der Sicherheitslücken in Produkten, die unsere internen Review-Prozess durchgemacht haben und sind, hergestellt und verwendet in den Vereinigten Staaten, entdeckt." Da müsste wahrscheinlich ein Sternchen oder vier begleiten diese Aussage. Aber mehr dazu in einer Minute. Erstens ist es Wert untersuchen, warum die Regierung ist auch nur die geringste bevorstehenden zu diesem Thema etwas.
Seit 2014 hat EFF verklagt worden, unter dem Freedom of Information Act zu greifen, was die Regierung die Schwachstellen Aktien Prozess (VEP nennt). Das ist die Politik, mit dem die NSA, FBI und andere entscheiden, ob Sie Hersteller und Softwareentwickler von Schwächen in ihren Produkten zu erzählen oder zu halten und "auszubeuten".
Wir hatten einige echte Erfolge. Die Regierung verschwendet zunächst Monaten behauptet, dass die VEP vollständig klassifiziert wurde. Dann, am Vorabend einer Schlacht Gericht, es änderte Kurs und Thefoundational VEP Dokument veröffentlicht. Wie erwartet, beschreibt VEP ein Verfahren für den Umgang mit widerstreitenden Interessen der Regierung in Sicherheitslücken. Auf der einen Seite wird die Offenlegung der Anfälligkeit US-Systeme vor Hacker-Angriffen schützen. Dies ist besonders wichtig, wenn die Schwachstelle in Systemen oder Produkten, die von der Regierung und der Öffentlichkeit verwendet. Stellt sich heraus, das sehr häufig ist. Das konstante Glied hingewiesen, sogar die NSA supergeheimen XKEYSCORE Tool "stützt sich auf eine komplett open-Source-Stack." Aber manchmal will die Geheimdienste Schwachstellen nutzen, um ihre "offensive" Mission zu verfolgen – Spionage, Strafverfolgung und sogar Cyberangriff. Besonders wertvoll sind null Tage, bisher unbekannte Schwachstellen, die fruchtbare Hacks führen kann. Die bekannteste in dieser Kategorie ist der Stuxnet-Wurm, die die USA und Israel angeblich mit einer Anzahl von Null Tagen gebaut und eingesetzt Zentrifugen in iranischen Atomanlagen zu zerstören.
Doch im VEP Dokument veröffentlicht als Teil EFFs-Klage, die Regierung hat auch coy über diese offensive verwendet. In der Tat geschwärzt es jeden einzelnen Verweis auf sie. Wie die früheren Behauptungen, dass das gesamte Dokument vollständig klassifiziert wurde halten nicht diese Redaktionen. Werfen Sie einen Blick auf diese zwei-Wort-Redaktion auf der ersten Seite des VEP Seite an Seite mit den zuvor veröffentlichten White House Dokument, auf das es verweist:
Geschwärzten Text im VEP Dokument veröffentlicht, EFF
Die gleichen Wörter in ein älteres Dokument redigierter
Das Gesetz lässt nicht einfach die Regierung ungestraft behaupten, dass Informationen, die es bereits anerkannt hat verbatim noch geheim ist. Das gleiche gilt für viele andere geschwärzte Verweise auf offensive Ausnutzung von Sicherheitslücken. Zurück im Jahr 2014 im Zuge der Heartbleed Verletzlichkeit und die Snowden-Enthüllungen war die Regierung viel eifriger zu reden, seine Verfahren für den Umgang mit Sicherheitslücken, einschließlich offensive verwendet. Jetzt angesichts unserer Klage hat es seine Meinung geändert. Am selben Tag veröffentlichte der NSA "91 % Offenbarung" Statistik, die Regierung eine Bewegung für summarisches Urteil abgelegt, in unserem Fall argumentiert, dass die Offenlegung der geschwärzten Daten im VEP Dokument würde dazu führen, dass "schwere Schäden an der nationalen Sicherheit." Aber angesichts der Regierung weitreichende Aussagen über ihre Ausbeutung von Null Tage diese Behauptung nicht stichhaltig. Wir werden einen kurzen Spruch so viel in ein paar Wochen einreichen.
Also, was die NSA 91 % Statistik machen? Es gibt eine Menge Links ungesagt, wie Joseph Menn von Reuters weist darauf hin. Ganz offensichtlich gibt es keine Erklärung, ob die Schwachstellen in den 91 % waren zuerst ausgenutzt und nur dann für das Patchen offengelegt. Dann ist der knifflige Wortlaut der Erklärung selbst. Anhand dieser Bestimmungen musste die Schwachstellen in den 91 % enthalten einige unbestimmte Schwelle der Eingabe der NSA "internen Review-Prozess." Einige wurden somit überhaupt nicht überprüft und sind ungezählt. Schließlich musste die Schwachstellen "hergestellt und verwendet" in den Vereinigten Staaten. Nicht abzusehen, was, dass Mittel für Open-Projekte, bei denen einige Source oder alle der Mitarbeiter waren außerhalb der USA, zum Beispiel.
All dies weist auf die Notwendigkeit für mehr Transparenz auf die Sicherheitsanfälligkeiten. Aus öffentlichen Regierung Aussagen wissen wir, dass von 2010 bis 2014 die VEP war so etwas wie ein toter Buchstabe, und es scheint, dass die NSA stattdessen einfach seine eigene, wahrscheinlich freizügigen internen Review-Prozess verwendet. Seit Heartbleed, die Segmente der Regierung, die Stützung der amerikanischen Sicherheit interessiert sind – die "Verteidigung" – habe angeblich eine wichtigere Rolle in der VEP genommen. Die Öffentlichkeit hat aber noch Beweise davon zu sehen. Volle VEP ohne unhaltbaren Redaktionen die Freigabe ist ein Anfang.
Image via Wikipedia
Andrew Crocker auf Twitter folgen: @agcrocker