NSA je otkrila koliko često, ali ne i kada obelodanjuje bezbednosne propuste

Vesti, 10.11.2015, 00:30 AM

NSA je otkrila koliko često, ali ne i kada obelodanjuje bezbednosne propuste

Nastojeći da pobije optužbe da skriva informacije o slabostima u kompjuterskom softveru, ostavljajući tako američke kompanije otvorenim za sajber napade, američka Agencija za nacionalnu bezbednost (NSA) je saopštila da obaveštava američke tehnološke kompanije o najozbiljnijim bezbednosnim propustima u više od 90% slučajeva.

Prema tvrdnjama sadašnjih i bivših američkih zvaničnika, NSA često i sama koristi ranjivosti u softveru u svojim sajber napadima da bi tek onda obavestila o njima tehnološke kompanije tako da one mogu ispraviti bezbednosne propuste i isporučiti korisnicima ažuriranja.

Takozvani “zero-day” propusti su ozbiljni propusti u softveru koji imaju veliku vrednost kako za hakere tako i za špijune zbog toga što za njih niko ne zna.

Najpoznatiji zero-day propusti su oni koji su korišćeni u napadu kompjutersklog crva Stuxnet koji je razvila NSA u saradnji sa Izraelom da bi se infiltritala u iranski nuklearni program i sabotirala centrifuge u postrojenjima za obogaćivanje uranijuma.

Pre nego što je otkriven 2010. godine, Stuxnet je koristio ranije nepoznate propuste u softveru kompanija Microsoft i Siemens AG da bi se infiltrirao u iranska postrojenja za obogaćivanje uranijuma a da ga pri tom ne otkriju zaštitni programi.

NSA je najveći kupac zero-day propusta na tajanstvenom ali snažnom tržištu na kome se trguje zero-day propustima. NSA i sama otkriva propuste zahvaljujući činjenici da agencija ima i sopstvene programe za otkrivanje bagova, koje koristi za upade u kompjuterske i telekomunikacione sisteme u inostranstvu što je deo njene prvenstveno špijunske misije.

Neki zero day bagovi su skuplji od drugih, u zavisnosti od različitih faktora, kao što je na primer to koliko ih je bilo teško pronaći ili koliko je raširen softver koji ima propust. Za neke zero-day propuste plaća se 50000 dolara, a istaknuti zero-day broker prošle nedelje je saopštio da će platiti milion dolara timu hakera koji je pronašao način da hakuje potpuno ažurirani Appleov iPhone. Chaouki Bekrar, iz firme Zerodium, izjavio je za Rojters da će ta tehnika napada na iPhone verovatno biti prodavana samo američkim kupcima, uključujući vladine agencije i neke veoma velike kompanije.

Američki zvaničnici kažu da postoji prirodna tenzija oko toga da li zero-day propusti treba da budu korišćeni za ofanzivne operacije ili da o njima treba obaveštavati tehnološke kompanije i njihove korisnike da bi se odbranili.

U svetlu otkrića Edvarda Snoudena, bivšeg agenta NSA, i izveštaja Rojtersa o tome kako je vlada platila kompaniji RSA da uključi “NSA enrkipciju” u svoj softver, Bela kuća je dala preporuke da vladina politika bude više krenuta prema odbrani.

NSA na svom sajtu kaže da razume potrebu da se većina propusta koristi za odbranu i da je u većini slučajeva, odgovorno objavljivanje informacija o novootkrivenim slabostima u softveru od nacionalnog interesa.

“Ali ima legitimnih za i protiv odluke da se ranjivosti obelodanjuju, a balansiranje između zahteva za objavljivanjem i zadržavanja saznanja o nekim ranjivostima određene vreme može imati značajne konsekvence.

“Otkrivanje ranjivosti može značiti da se odričemo prilike da prikupimo ključne strane obaveštajne informacije koje mogu sprečiti teroristički napad, zaustaviti krađu naše državne intelektualne svojine, i čak otkriti još više opasnih ranjivosti, koji se koriste za iskorišćavanje naših mreža.”

NSA na svom sajtu tvrdi i da je agencija objavila informacije o više od 91% ranjivosti otkrivenih u proizvodima koji su prošli internu proveru i koji se proizvode ili koriste u SAD.

Jedan bivši zvaničnik Bele kuće primetio je da NSA nije rekla kada je otkrivala ranjivosti, dodajući da bi bila razumna pretpostavka da se zaključi da je te propuste NSA koristila za prikupljanje informacija pre nego što je upozorila kompanije. On je rekao i da taj broj uključuje i one propuste koje je NSA kupila od trećih lica. NSA je dobila da komentariše ove tvrdnje.

Koliki je, u proseku, vremenski razmak između ofanzivne upotrebe i odbrambenog otkrivanja, može se samo nagađati.

Što je vremenski razmak veći, veća je i verovatnoća da su druge države ili hakeri koristeći slične tehnike takođe otkrili propuste za koje NSA zna. Čak i da to nije slučaj, meta sajber napada koji dolazi iz SAD može otkriti koja je tehnika korišćena i da je iskoristi protiv SAD i drugih zemalja.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Google poremetio rad jednog od najvećih botneta sa oko dva miliona uređaja

Google poremetio rad jednog od najvećih botneta sa oko dva miliona uređaja

Google je saopštio da je značajno poremetio rad jednog od najvećih rezidencijalnih proksi botneta na svetu, poznatog pod nazivom NetNut, koji je pr... Dalje

Apple menja način objavljivanja bezbednosnih ažuriranja zbog AI pretnji

Apple menja način objavljivanja bezbednosnih ažuriranja zbog AI pretnji

Apple menja način objavljivanja bezbednosnih ažuriranja kako bi brže odgovorio na sajber pretnje koje ubrzava razvoj veštačke inteligencije. Komp... Dalje

Microsoft uklonio 119 Edge ekstenzija koje su potajno preuzimale malver

Microsoft uklonio 119 Edge ekstenzija koje su potajno preuzimale malver

Microsoft je uklonio 119 zlonamernih ekstenzija iz prodavnice dodataka za Edge nakon što je otkriveno da su bile deo velike kampanje nazvane StegoAd,... Dalje

ClickFix postao najčešći način isporuke malvera

ClickFix postao najčešći način isporuke malvera

Tehnika socijalnog inženjeringa ClickFix postala je najčešći način isporuke malvera, pokazuje analiza kompanije ReliaQuest koja je obuhvatila saj... Dalje

AI pregledači mogu da odaju vaše podatke ako ih napadač ubedi da igraju igru

AI pregledači mogu da odaju vaše podatke ako ih napadač ubedi da igraju igru

Istraživači kompanije LayerX predstavili su tehniku pod nazivom BioShocking, kojom su uspeli da prevare AI pregledače i asistente da otkriju korisn... Dalje