- PVSM.RU - https://www.pvsm.ru -
Фонд электронных рубежей (EFF) подал иск [1] против Агентства национальной безопасности США.
EFF требует, в соответствии с Законом о свободе информации, опубликовать документы с описанием правил, которыми руководствуется правительство в принятии решений о рассекречивании информации о компьютерных уязвимостей.
Вполне вероятно, что иск будет удовлетворён, поскольку в точности соответствует параграфу 552 Закона о свободе информации, в части «общественной важности» рассекречиваемой информации. В этом случае он станет первым шагом в подготовке процесса публичного обсуждения деятельности АНБ.
Агентство ранее уже косвенно дало понять [2], что при определённых условиях не разглашает информацию о 0day-уязвимостях, используя их для сбора разведданных в целях национальной безопасности.
Юристы EFF заявили позицию, что скрытие информации об уязвимостях приводит к тому, что пользователи оказываются беззащитны перед хакерами и разведслужбами других стран.
Таким образом, как только АНБ официально признается, что скрывает 0day-уязвимости для собственных нужд, сразу может последовать новый иск от тех, кто реально пострадал из-за этих незакрытых уязвимостей по вине АНБ.
«Создан процветающий мировой рынок, на котором многие покупатели, в том числе государственные агентства США и иностранные правительства, покупают 0day-уязвимости, — сказано в исковом заявлении EFF. — Условия сделки на этом рынке обычно требуют, чтобы продавец отказался от разглашения информации об уязвимости третьим лицам. После этого покупатель принимает решение, каким образом он воспользуется полученной информацией».
В исковом заявлении упоминается известная уязвимость Heartbleed в библиотеке OpenSSL. Есть основания полагать, что АНБ знало об этой уязвимости практически с самого начала, то есть с её внедрения в OpenSSL два с половиной года назад. По крайней мере, известно, что в АНБ работают специальные отделы по поиску багов в Open Source проектах. Штат этих отделов превышает количество добровольцев, работающих над улучшением безопасности Open Source проектов.
Автор: alizar
Источник [3]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/open-source/64169
Ссылки в тексте:
[1] иск: https://www.eff.org/document/eff-v-nsa-odni-complaint
[2] дало понять: http://www.whitehouse.gov/blog/2014/04/28/heartbleed-understanding-when-we-disclose-cyber-vulnerabilities
[3] Источник: http://habrahabr.ru/post/228735/
Нажмите здесь для печати.