internet

Byli urzędnicy Białego Domu twierdzą, że aktualne praktyki USA zagrażają bezpieczeństwu użytkowników

Jeśli znaleźliście dziurę w zabezpieczeniach jakiegoś programu, to teraz jest najlepsza pora, by na tym zarobić. Ale nie w ramach jednego z wielu programów fundowanych przez autorów tego oprogramowania – lepiej sprzedać to USA, które wykorzystają tą wiedzę w ramach swojego programu walki w cyberprzestrzeni.

Jak donosi Reuters, USA prowadzą właśnie walkę elektroniczną na ogromną skalę. Tak dużą, że jej echa odbiły się istnym trzęsieniem ziemi na szarym rynku sprzedaży informacji o dziurach w oprogramowaniu. Kiedyś punktem honoru było zgłoszenie takich informacji producentowi, żeby ten mógł załatać dziurę w zabezpieczeniach swojego systemu. Dziś USA starają się kupić jak najwięcej informacji, które mogą zostać wykorzystane w ramach ataku zero-day exploit.

A można na tym całkiem nieźle zarobić. Za informacje o błędach i dziurach w zabezpieczeniach płaci się od 50 tysięcy dolarów wzwyż. Cena oczywiście w dużej mierze zależy od tego, jakiego oprogramowania dotyczą informacje i na jak dużej ilości urządzeń jest ono zainstalowane. W przypadku exploita w iOS cena może osiągnąć nawet 250 tysięcy dolarów.

Po tym, jak rząd USA położy swoje łapy na tej wiedzy, są wykorzystywane do napisania złośliwego oprogramowania i „popychane” przestępcom albo konkurencyjnym rządom i wykorzystywane do szpiegostwa lub sabotażu. Tymczasem zwykli użytkownicy nadal korzystają z dziurawego oprogramowania, ponieważ producent nie został nigdy poinformowany o luce.

Proceder osiągnął już podobno taką skalę, że pojawiły się obawy o to, czy przypadkiem nie wpłynie on w znacznym stopniu na bezpieczeństwo zwykłych użytkowników. Przynajmniej tak twierdzą byli doradcy Białego Domu do spraw cyberbezpieczeństwa Howard Schmidt i Richard Clarke:

„Jeśli rząd USA wie o luce, którą można wykorzystać, w normalnych warunkach powinien poinformować o tym amerykańskich użytkowników,” powiedział Reutersowi Clarke. „Powinien istnieć jakiś mechanizm, który pozwoli zadecydować o tym, jak wykorzystać te informacje – do obrony czy do ataku. Ale coś takiego nie istnieje.”

Oczywiście sam rząd USA nie powie nic na temat swojej aktywności na tym rynku, ale jego byli podwykonawcy są już trochę bardziej rozmowni. Jeden z byłych menadżerów w firmie zbrojeniowej stwierdził nawet, ze jego praca polegała na tym, by mieć zawsze gotowe 25 sztuk „zero-days” dla rządu, który już zamieni je w cyberbroń.

Zdjęcie: shutterstock


podobne treści