Praktyki rządu zagrażają bezpieczeństwu użytkowników oprogramowania
Jeśli znaleźliście dziurę w zabezpieczeniach jakiegoś programu, to teraz jest najlepsza pora, by na tym zarobić. Ale nie w ramach jednego z wielu programów fundowanych przez autorów tego oprogramowania – lepiej sprzedać to USA, które wykorzystają tę wiedzę w ramach swojego programu walki w cyberprzestrzeni.
Jak donosi Reuters, USA prowadzą właśnie walkę elektroniczną na ogromną skalę. Tak dużą, że jej echa odbiły się istnym trzęsieniem ziemi na szarym rynku sprzedaży informacji o dziurach w oprogramowaniu. Kiedyś punktem honoru było zgłoszenie takich informacji producentowi, żeby ten mógł załatać dziurę w zabezpieczeniach swojego systemu. Dziś USA starają się kupić jak najwięcej informacji, które mogą zostać wykorzystane w ramach ataku zero-day exploit.
A można na tym całkiem nieźle zarobić. Za informacje o błędach i dziurach w zabezpieczeniach płaci się od 5. tysięcy dolarów wzwyż. Cena oczywiście w dużej mierze zależy od tego, jakiego oprogramowania dotyczą informacje i na jak dużej ilości urządzeń jest ono zainstalowane. W przypadku exploita w iOS cena może osiągnąć nawet 250 tysięcy dolarów.
Po tym, jak rząd USA położy swoje łapy na tej wiedzy, są wykorzystywane do napisania złośliwego oprogramowania i „popychane”. przestępcom albo konkurencyjnym rządom i wykorzystywane do szpiegostwa lub sabotażu. Tymczasem zwykli użytkownicy nadal korzystają z dziurawego oprogramowania, ponieważ producent nie został nigdy poinformowany o luce.
Proceder osiągnął już podobno taką skalę, że pojawiły się obawy o to, czy przypadkiem nie wpłynie on w znacznym stopniu na bezpieczeństwo zwykłych użytkowników. Przynajmniej tak twierdzą byli doradcy Białego Domu do spraw cyberbezpieczeństwa Howard Schmidt i Richard Clarke:
_ - Jeśli rząd USA wie o luce, którą można wykorzystać, w normalnych warunkach powinien poinformować o tym amerykańskich użytkowników - _ powiedział Reutersowi Clarke. _ - Powinien istnieć jakiś mechanizm, który pozwoli zadecydować o tym, jak wykorzystać te informacje – do obrony czy do ataku. Ale coś takiego nie istnieje. _
Oczywiście sam rząd USA nie powie nic na temat swojej aktywności na tym rynku, ale jego byli podwykonawcy są już trochę bardziej rozmowni. Jeden z byłych menadżerów w firmie zbrojeniowej stwierdził nawet, ze jego praca polegała na tym, by mieć zawsze gotowe 2. sztuk „zero-days” dla rządu, który już zamieni je w cyberbroń.
Polecamy w serwisie Giznet.pl: Płatny YouTube stał się faktem