Obama: NSA mora objavljivati informacije o 0-day bagovima, osim ako...

Vesti, 16.04.2014, 10:26 AM

Barak Obama je u januaru doneo odluku da će ubuduće američka Nacionalna bezbednosna agencija (NSA) morati da informacije o velikim softverskim greškama koje bi mogle da ozbiljno ugroze bezbednost interena prosledi proizvođačima, umesto da ih kao do sada, koristi za svoje potrebe.

Ipak, Obama je Nacionalnoj bezbednosnoj agenciji ostavio dovoljno prostora za izuzetke, jer je istom odlukom agenciji dozvoljeno da ne otkriva informacije o bagovima ukoliko su one od značaja za nacionalnu bezbednost, što je izgovor koji je NSA koristila i do sada za sve svoje aktivnosti.

Ova vest dolazi u trenutku kada ceo internet još uvek potresa otkriće Heartbleed baga u OpenSSL i činjenica da sajtovi za koje se mislilo da su sigurni to nisu bili više od dve godine, od kada je u OpenSSL prisutan ovaj bag. Heartbleed je posebno opasan i zbog toga što omogućava napade bez ikakvih tragova, što znači da ne postoji način da se sazna da li je bag korišćen mnogo pre nego što je javnost saznala za njega. Dve trećine web sajtova u svetu su koristile ranjive verzije OpenSSL misleći da njima štite svoje korisnike, a sada je većina preuzela novu verziju sa kojom je problem sa Heartbleed bagom rešen.

NSA je odbacila spekulacije da je znala za Heartbleed i da nije želela da tu informaciju podeli sa ostatkom sveta.

Kancelarija direktora američke Nacionalne obaveštajne službe (ODNI) objavila je u petak odgovor na medijske izveštaje prema kojima je NSA znala za Heartbleed pre nego što je javnost saznala za njega.

“Kao odgovor na preporuke predsednikove Grupe za reviziju obaveštajnih i komunikacijskih tehnologija, Bela kuća je preispitala svoju politiku u ovoj oblasti i obnovila postupak odlučivanja o deljenju informacija o ranjivostima. Taj postupak je nazvan Proces deljenja ranjivosti. Osim ako postoji jasna potreba koja je u vezi nacionalne bezbednosti ili sprovođenja zakona, ovaj proces teži ka odgovornom objavljivanju takvih ranjivosti”, kaže se u saopštenju ODNI.

Sjedinjene Američke Države su najveći kupac informacija o ranjivostima i 0-day exploita koje američke federalne agencije kao što su NSA i FBI već godinama koriste za špijuniranje interneta u celom svetu. Dokumenti do kojih je došao bivši suradnik NSA Edvard Snodeun koji ih je dostavio medijima otkrila su prošle godine da NSA ima budžet od 25 miliona dolara za tajne kupovine softverskih ranjivosti od autora malvera.

Ova preporuka i Obamina odluka upotrebu 0-day ranjivosti praktično čine legalnom u toj meri da ona može biti korišćena protiv bilo koga i bilo kada.