Фонд электронных рубежей (EFF) подал иск против Агентства национальной безопасности США.
EFF требует, в соответствии с Законом о свободе информации, рассекретить документы с описанием правил, которыми руководствуется правительство в принятии решений о рассекречивании информации о компьютерных уязвимостей.
Иск почти наверняка будет удовлетворён, поскольку в точности соответствует параграфу 552 Закона о свободе информации, в части «общественной важности» рассекречиваемой информации. Но он станет только первым шагом в подготовке процесса публичного обсуждения деятельности АНБ, которое ранее уже косвенно дало понять, что при определённых условиях не разглашает информацию о 0day-уязвимостях, используя их для сбора разведданных в целях национальной безопасности.
Юристы EFF заявили позицию, что скрытие информации об уязвимостях приводит к тому, что пользователи оказываются беззащитны перед хакерами и разведслужбами других стран.
Таким образом, как только АНБ официально признается, что скрывает 0day-уязвимости для собственных нужд, сразу может последовать новый иск от тех, кто реально пострадал из-за этих незакрытых уязвимостей по вине АНБ.
«Создан процветающий мировой рынок, на котором многие покупатели, в том числе государственные агентства США и иностранные правительства, покупают 0day-уязвимости, — сказано в исковом заявлении EFF. — Условия сделки на этом рынке обычно требуют, чтобы продавец отказался от разглашения информации об уязвимости третьим лицам. После этого покупатель принимает решение, каким образом он воспользуется полученной информацией».
В исковом заявлении упоминается также известная уязвимость Heartbleed в библиотеке OpenSSL. Есть основания предполагать, что АНБ знало об этой уязвимости практически с самого начала, то есть с её внедрения в OpenSSL два с половиной года назад. По крайней мере, известно, что в АНБ работают специальные отделы по поиску багов в Open Source проектах. Штат этих отделов многократно превышает количество добровольцев, работающих над улучшением безопасности Open Source проектов.
ссылка на оригинал статьи http://habrahabr.ru/post/228735/
Добавить комментарий