В США создана госпрограмма по сокрытию от общественности уязвимостей в популярном ПО

Сбор уязвимостей вСША В США опубликовали новую версию документа, который подробноописывает, какие государственные агентства этой страны вовлечены в процесс сбораинформации о багах в распространенном ПО и эксплойтах для них, и по какимкритериям они выбирают, какие уязвимости сохранить в тайне, а о какихуведомлять вендоров уязвимого софта. Согласно документу, отбором уязвимостей занимается комиссия,состоящая из представителей сразу десяти правительственных ведомств, в числекоторых ЦРУ, Госдепартамент, министерства обороны, юстиции и финансов. Каждый месяц эта комиссия собирается для обсуждениявыявленных багов и решает, что с ними делать. Критериями оценки служатраспространенность уязвимого продукта, простота обнаружения и эксплуатацииуязвимости, возможные последствия такой эксплуатации, насколько просто илисложно эту уязвимость исправить и какую оперативную ценность этот баг можетпредставлять для разведывательной или правоохранительной деятельности. В некоторых случаях Vulnerability Equities Process (VEP, «Регламентсбора ценных уязвимостей») предполагает публикацию сведений о том, какуязвимость можно исправить, но без каких-либо технических подробностей о нейсамой. В отдельных случаях право на использование тех или иных уязвимостейбудет зарезервировано лишь за определенными ведомствами. http://filearchive.cnews.ru/img/news/2017/11/20/kongress600.jpg"> В США официально станут собирать и прятать от общественности уязвимости распространенного ПО Надзирать за всей процедурой поручено Конгрессу США,которому регулярно будут направляться отчеты об использовании уязвимостей истатистика по раскрытию таковых. Часть данных будет публиковаться открыто,часть останется конфиденциальной. [b]Опасения экспертов[/b] Главной особенностью документа, которая беспокоит экспертови правозащитников, является положение, позволяющее государственным агентствамзапрашивать разрешение на эксплуатацию тех или иных уязвимостей в обход стандартныхпроцедуры. И хотя по каждому такому случаю решение будет принимать Национальныйсовет безопасности при правительстве США, не исключено, что как раз наиболееопасные баги и эксплойты будут резервироваться для спецнужд именно такимобразом, в обход и VEP, и надзора со стороны Конгресса. «Можно с изрядной долей уверенности прогнозировать, чтонаиболее “перспективные” с точки зрения разведки и боевых операций в киберпространствеуязвимости в ПО будут стараться прятать от всех, — считает [b]Олег Галушкин[/b], эксперт по информационной безопасности компании SECConsult Services. — Ни США, ни другие страны открыто не признают наличия у себянаступательного кибероружия, несмотря на избыточные свидетельства егосуществования, хотя, конечно, открытая публикация VEP — это шаг в сторонутакого признания». [b]Общее место[/b] Необходимо отметить, что подобным сбором багов так или иначезанимаются правительства всех развитых стран. Эти сведения затем используютсядля операций в киберпространстве, защиты критической гражданской и военнойинфраструктуры, а также при расследовании важных уголовных дел, связанных сиспользованием информационных технологий. В США в том или ином виде вышеупомянутый регламентсуществовал как минимум с конца прошлого десятилетия. Опубликован в открытомдоступе он был лишь в 2016 г. —под давлением общественности и, в немалойстепени, вследствие иска, поданного Фондом электронного фронтира в соответствиис Актом о свободе информации. Однако и после его публикации возникло немаловопросов относительно того, как данный процесс осуществляется и регулируется.[img]http://filearchive.cnews.ru/img/news/2017/11/20/kongress600.jpg"> В США официально станут собирать и прятать от общественности уязвимости распространенного ПО Надзирать за всей процедурой поручено Конгрессу США,которому регулярно будут направляться отчеты об использовании уязвимостей истатистика по раскрытию таковых. Часть данных будет публиковаться открыто,часть останется конфиденциальной. Опасения экспертов Главной особенностью документа, которая беспокоит экспертови правозащитников, является положение, позволяющее государственным агентствамзапрашивать разрешение на эксплуатацию тех или иных уязвимостей в обход стандартныхпроцедуры. И хотя по каждому такому случаю решение будет принимать Национальныйсовет безопасности при правительстве США, не исключено, что как раз наиболееопасные баги и эксплойты будут резервироваться для спецнужд именно такимобразом, в обход и VEP, и надзора со стороны Конгресса. «Можно с изрядной долей уверенности прогнозировать, чтонаиболее “перспективные” с точки зрения разведки и боевых операций в киберпространствеуязвимости в ПО будут стараться прятать от всех, — считает Олег Галушкин, эксперт по информационной безопасности компании SECConsult Services. — Ни США, ни другие страны открыто не признают наличия у себянаступательного кибероружия, несмотря на избыточные свидетельства егосуществования, хотя, конечно, открытая публикация VEP — это шаг в сторонутакого признания». Общее место Необходимо отметить, что подобным сбором багов так или иначезанимаются правительства всех развитых стран. Эти сведения затем используютсядля операций в киберпространстве, защиты критической гражданской и военнойинфраструктуры, а также при расследовании важных уголовных дел, связанных сиспользованием информационных технологий. В США в том или ином виде вышеупомянутый регламентсуществовал как минимум с конца прошлого десятилетия. Опубликован в открытомдоступе он был лишь в 2016 г. —под давлением общественности и, в немалойстепени, вследствие иска, поданного Фондом электронного фронтира в соответствиис Актом о свободе информации. Однако и после его публикации возникло немаловопросов относительно того, как данный процесс осуществляется и регулируется.