NSA je otkrila koliko često, ali ne i kada obelodanjuje bezbednosne propuste

Vesti, 10.11.2015, 00:30 AM

NSA je otkrila koliko često, ali ne i kada obelodanjuje bezbednosne propuste

Nastojeći da pobije optužbe da skriva informacije o slabostima u kompjuterskom softveru, ostavljajući tako američke kompanije otvorenim za sajber napade, američka Agencija za nacionalnu bezbednost (NSA) je saopštila da obaveštava američke tehnološke kompanije o najozbiljnijim bezbednosnim propustima u više od 90% slučajeva.

Prema tvrdnjama sadašnjih i bivših američkih zvaničnika, NSA često i sama koristi ranjivosti u softveru u svojim sajber napadima da bi tek onda obavestila o njima tehnološke kompanije tako da one mogu ispraviti bezbednosne propuste i isporučiti korisnicima ažuriranja.

Takozvani “zero-day” propusti su ozbiljni propusti u softveru koji imaju veliku vrednost kako za hakere tako i za špijune zbog toga što za njih niko ne zna.

Najpoznatiji zero-day propusti su oni koji su korišćeni u napadu kompjutersklog crva Stuxnet koji je razvila NSA u saradnji sa Izraelom da bi se infiltritala u iranski nuklearni program i sabotirala centrifuge u postrojenjima za obogaćivanje uranijuma.

Pre nego što je otkriven 2010. godine, Stuxnet je koristio ranije nepoznate propuste u softveru kompanija Microsoft i Siemens AG da bi se infiltrirao u iranska postrojenja za obogaćivanje uranijuma a da ga pri tom ne otkriju zaštitni programi.

NSA je najveći kupac zero-day propusta na tajanstvenom ali snažnom tržištu na kome se trguje zero-day propustima. NSA i sama otkriva propuste zahvaljujući činjenici da agencija ima i sopstvene programe za otkrivanje bagova, koje koristi za upade u kompjuterske i telekomunikacione sisteme u inostranstvu što je deo njene prvenstveno špijunske misije.

Neki zero day bagovi su skuplji od drugih, u zavisnosti od različitih faktora, kao što je na primer to koliko ih je bilo teško pronaći ili koliko je raširen softver koji ima propust. Za neke zero-day propuste plaća se 50000 dolara, a istaknuti zero-day broker prošle nedelje je saopštio da će platiti milion dolara timu hakera koji je pronašao način da hakuje potpuno ažurirani Appleov iPhone. Chaouki Bekrar, iz firme Zerodium, izjavio je za Rojters da će ta tehnika napada na iPhone verovatno biti prodavana samo američkim kupcima, uključujući vladine agencije i neke veoma velike kompanije.

Američki zvaničnici kažu da postoji prirodna tenzija oko toga da li zero-day propusti treba da budu korišćeni za ofanzivne operacije ili da o njima treba obaveštavati tehnološke kompanije i njihove korisnike da bi se odbranili.

U svetlu otkrića Edvarda Snoudena, bivšeg agenta NSA, i izveštaja Rojtersa o tome kako je vlada platila kompaniji RSA da uključi “NSA enrkipciju” u svoj softver, Bela kuća je dala preporuke da vladina politika bude više krenuta prema odbrani.

NSA na svom sajtu kaže da razume potrebu da se većina propusta koristi za odbranu i da je u većini slučajeva, odgovorno objavljivanje informacija o novootkrivenim slabostima u softveru od nacionalnog interesa.

“Ali ima legitimnih za i protiv odluke da se ranjivosti obelodanjuju, a balansiranje između zahteva za objavljivanjem i zadržavanja saznanja o nekim ranjivostima određene vreme može imati značajne konsekvence.

“Otkrivanje ranjivosti može značiti da se odričemo prilike da prikupimo ključne strane obaveštajne informacije koje mogu sprečiti teroristički napad, zaustaviti krađu naše državne intelektualne svojine, i čak otkriti još više opasnih ranjivosti, koji se koriste za iskorišćavanje naših mreža.”

NSA na svom sajtu tvrdi i da je agencija objavila informacije o više od 91% ranjivosti otkrivenih u proizvodima koji su prošli internu proveru i koji se proizvode ili koriste u SAD.

Jedan bivši zvaničnik Bele kuće primetio je da NSA nije rekla kada je otkrivala ranjivosti, dodajući da bi bila razumna pretpostavka da se zaključi da je te propuste NSA koristila za prikupljanje informacija pre nego što je upozorila kompanije. On je rekao i da taj broj uključuje i one propuste koje je NSA kupila od trećih lica. NSA je dobila da komentariše ove tvrdnje.

Koliki je, u proseku, vremenski razmak između ofanzivne upotrebe i odbrambenog otkrivanja, može se samo nagađati.

Što je vremenski razmak veći, veća je i verovatnoća da su druge države ili hakeri koristeći slične tehnike takođe otkrili propuste za koje NSA zna. Čak i da to nije slučaj, meta sajber napada koji dolazi iz SAD može otkriti koja je tehnika korišćena i da je iskoristi protiv SAD i drugih zemalja.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Još jedna zemlja EU protiv upotrebe Google analitike zbog kršenja evropskih propisa o zaštiti podataka

Još jedna zemlja EU protiv upotrebe Google analitike zbog kršenja evropskih propisa o zaštiti podataka

Još jedan udarac za Google stiže iz Evrope. Posle Austrije i Francuske, italijanska agencija za zaštitu podataka utvrdila je da upotreba Google ana... Dalje

Microsoft upozorio korisnike da se približava datum ukidanja podrške za Windows 8.1

Microsoft upozorio korisnike da se približava datum ukidanja podrške za Windows 8.1

Microsoft će povući Windows 8.1 10. januara sledeće godine, tako da će se kompanija u potpunosti fokusirati na Windows 10 i Windows 11. Kompan... Dalje

NSO Grupa priznala da je njihov softver za nadzor koristilo najmanje pet evropskih zemalja

NSO Grupa priznala da je njihov softver za nadzor koristilo najmanje pet evropskih zemalja

Izraelski proizvođač softvera za nadzor NSO Grupa priznao je ove nedelje evropskim zakonodavcima da je njihov softver Pegaz koristilo najmanje pet z... Dalje

Google Chrome ekstenzije se mogu koristiti za praćenje korisnika

Google Chrome ekstenzije se mogu koristiti za praćenje korisnika

Programer „z0ccc“ napravio je veb sajt (https://z0ccc.github.io/extension-fingerprints/) dizajniran da generiše „otisak prsta&ldquo... Dalje

Popularni WordPress dodatak hitno ažuriran zbog hakerskih napada na ranjive sajtove

Popularni WordPress dodatak hitno ažuriran zbog hakerskih napada na ranjive sajtove

Kritična ranjivost u WordPress dodatku koji se koristi na više od milion veb sajtova je zakrpljena, nakon što su se pojavili dokazi da je hakeri is... Dalje