Berta Sándor
USA - jobb, ha a titkokat csak mi ismerjük?
A Fehér Ház útmutatót adott ki azzal kapcsolatban, hogy mit tegyenek az amerikai hivatalok, ha biztonsági hibákról szereznek tudomást.
A titkosszolgálatok mindig két út közül választhatnak, ha ismeretlen sebezhetőség jut a tudomásukra: megtartják az információt maguknak és ezzel előnyt szereznek a vetélytársaikkal szemben, esetleg kihasználhatják a hiányosságot, míg a másik lehetőség, hogy inkább felhívják az érintettek, például a hardver- és szoftvergyártók figyelmét a problémára, hogy azok minél előbb befoltozhassák a rést. A Fehér Ház most kiadott egy dokumentumot, amelyben az szerepel, hogy milyen kérdéseket tegyenek fel a kormány megbízásából tevékenykedő hackerek, ha egy új hibára bukkannak.
Rob Joyce, a Fehér Ház kiberbiztonsági koordinátora a kapcsolódó blogbejegyzésében annak mérlegeléséről írt, hogy vajon milyen előnyökkel járhat a hatóságok számára a sebezhetőség és azokat össze kell hasonlítani a lakosságot érintő hátrányokkal. Az anyagból az is kiderült, hogy konkrét garanciák nincsenek arra, hogy a hiányosságokat valóban nyilvánosságra is hozza valaki vagy jelenti az érintett gyártóknak.
A felmerülő és a hackerek által megválaszolandó kérdések között van, hogy a biztonsági rés kihasználása önmagában elegendő-e a károkozásra; elegendő vállalat és polgár fog-e biztonsági frissítéseket feltelepíteni, hogy így kiegyenlítődjön a várható kár; mennyit érhet most vagy a jövőben az adott hiba; vannak-e más módok a sebezhetőség kihasználására és azok hasonló előnyöket biztosítanak-e; a hiányossággal kapcsolatos információ nyilvánosságra hozása elárulna-e valamit a titkosszolgálatok módszereiről vagy forrásairól; valamint a biztonsági rés kitudódása milyen kockázatokat hozna magával az amerikai kormány és az érintett ágazat kapcsolatában.
Az összes hiba nyilvánosságra hozása egyébként nem opció az amerikai kormány számára. Az indoklás alapján ebben az esetben mindenki további sebezhetőségeket találna és használna ki, így úgy tűnik, hogy az elsődleges cél az megszerzett információk megtartása. A Reuters a kiberbiztonsági koordinátorra hivatkozva arról számolt be, hogy az amerikai kabinet a tudomására jutott vagy felfedezett biztonsági hiányosságok 90 százalékát nyilvánosságra szokta hozni. Ez ugyan jó aránynak tűnik, de akár egyetlen titokban tartott rés is elegendő lehet arra, hogy több millió internetező kommunikációjának biztonságát veszélyeztessék.
Brad Smith, a Microsoft elnöke és jogi igazgatója korábban a Wanna Decryptor (Wanna Cry) nevű zsarolóvírus pusztítása kapcsán azt hangsúlyozta, hogy a hatóságok nem hívták fel kellő mértékben a figyelmet az általuk felfedezett szoftverhibákra. Az amerikai titkosszolgálatok - például a Központi Hírszerző Ügynökség (CIA) és a Nemzetbiztonsági Ügynökség (NSA) - megtartottak maguknak olyan szoftverkódokat, amelyeket a hackerek kihasználhatnak. A menedzser éppen ezért felszólította a kormányokat, hogy a felfedezett biztonsági sebezhetőségeket haladéktalanul továbbítsák a szoftverfejlesztő vállalatoknak ahelyett, hogy azokat megtartják maguknak, eladják valakinek vagy kihasználják.
A titkosszolgálatok mindig két út közül választhatnak, ha ismeretlen sebezhetőség jut a tudomásukra: megtartják az információt maguknak és ezzel előnyt szereznek a vetélytársaikkal szemben, esetleg kihasználhatják a hiányosságot, míg a másik lehetőség, hogy inkább felhívják az érintettek, például a hardver- és szoftvergyártók figyelmét a problémára, hogy azok minél előbb befoltozhassák a rést. A Fehér Ház most kiadott egy dokumentumot, amelyben az szerepel, hogy milyen kérdéseket tegyenek fel a kormány megbízásából tevékenykedő hackerek, ha egy új hibára bukkannak.
Rob Joyce, a Fehér Ház kiberbiztonsági koordinátora a kapcsolódó blogbejegyzésében annak mérlegeléséről írt, hogy vajon milyen előnyökkel járhat a hatóságok számára a sebezhetőség és azokat össze kell hasonlítani a lakosságot érintő hátrányokkal. Az anyagból az is kiderült, hogy konkrét garanciák nincsenek arra, hogy a hiányosságokat valóban nyilvánosságra is hozza valaki vagy jelenti az érintett gyártóknak.
A felmerülő és a hackerek által megválaszolandó kérdések között van, hogy a biztonsági rés kihasználása önmagában elegendő-e a károkozásra; elegendő vállalat és polgár fog-e biztonsági frissítéseket feltelepíteni, hogy így kiegyenlítődjön a várható kár; mennyit érhet most vagy a jövőben az adott hiba; vannak-e más módok a sebezhetőség kihasználására és azok hasonló előnyöket biztosítanak-e; a hiányossággal kapcsolatos információ nyilvánosságra hozása elárulna-e valamit a titkosszolgálatok módszereiről vagy forrásairól; valamint a biztonsági rés kitudódása milyen kockázatokat hozna magával az amerikai kormány és az érintett ágazat kapcsolatában.
Az összes hiba nyilvánosságra hozása egyébként nem opció az amerikai kormány számára. Az indoklás alapján ebben az esetben mindenki további sebezhetőségeket találna és használna ki, így úgy tűnik, hogy az elsődleges cél az megszerzett információk megtartása. A Reuters a kiberbiztonsági koordinátorra hivatkozva arról számolt be, hogy az amerikai kabinet a tudomására jutott vagy felfedezett biztonsági hiányosságok 90 százalékát nyilvánosságra szokta hozni. Ez ugyan jó aránynak tűnik, de akár egyetlen titokban tartott rés is elegendő lehet arra, hogy több millió internetező kommunikációjának biztonságát veszélyeztessék.
Brad Smith, a Microsoft elnöke és jogi igazgatója korábban a Wanna Decryptor (Wanna Cry) nevű zsarolóvírus pusztítása kapcsán azt hangsúlyozta, hogy a hatóságok nem hívták fel kellő mértékben a figyelmet az általuk felfedezett szoftverhibákra. Az amerikai titkosszolgálatok - például a Központi Hírszerző Ügynökség (CIA) és a Nemzetbiztonsági Ügynökség (NSA) - megtartottak maguknak olyan szoftverkódokat, amelyeket a hackerek kihasználhatnak. A menedzser éppen ezért felszólította a kormányokat, hogy a felfedezett biztonsági sebezhetőségeket haladéktalanul továbbítsák a szoftverfejlesztő vállalatoknak ahelyett, hogy azokat megtartják maguknak, eladják valakinek vagy kihasználják.