„Zero-day“ je z neznáma bezpečnostná chyba v softvéri alebo online službách, ktorú objavil bezpečnostný analytik a zároveň vývojár zodpovedný za softvér chybu neopravil.
Teraz si predstavte, že vzniká trh, kde sa so zraniteľnosťami bude obchodovať. Prakticky by sa otvorili brány hackerom, na druhej strane medzi kupujúcimi budú aj jednotlivé vlády, kde nechýbajú Spojené štáty. Teoreticky tak akákoľvek vláda získa prístup k počítačom svojich zvolených cieľov. Bohužiaľ toto nie je iba fantázia, ale realita.
Minulý rok Bloomberg zverejnil článok, poukazujúc na fakt, že NSA tajne vložila „Heartbleed“ do kryptografickej knižnice OpenSSL a to celé dva roky predtým, než sa o tom dozvedela verejnosť. Samozrejme vláda takúto činnosť poprela, aj keď všetky fakty poukazujú na NSA. Namiesto toho sa bránila novým pravidlom, tzv. VEP (Vulnerability Equities Process). Tento nový proces umožňuje rozhodnúť, ktoré zraniteľnosti sa budú zdieľať s verejnosťou a medzi spoločnosťami. Koordinátor bezpečnosti z Bieleho domu popísal na svojom blogu, že vláda presne určila zásady pre vedenie agentúry v oblasti zraniteľnosti, a to vrátane rozhodovacieho procesu (vrátane zverejnenia zraniteľností), ktorý má byť prísny a na vysokej úrovni. Skrátka, typická byrokratická odpoveď, avšak bez zverejnenia presného znenia zásad. Nemusím dokonca pripomínať, že špehovacia činnosť NSA bola obnovená a nedávno zlegalizovaná súdom v D.C.
EFF (Electronic Frontier Foundation) sa ale podarilo pritlačiť na americkú vláda s cieľom odhaliť dané dokumenty. Tie sú dostupné na tejto stránke.. Značná časť dokumentu je síce zamazaná, napriek tomu máme možnosť prvýkrát nazrieť na americký program využívania a zdieľania zraniteľnosti.
Pridať nový komentár