Използването от NSA на софтуерни недостатъци за хакване на чужди цели представлява риск за киберсигурността

Блогове

За да проникне в компютрите на чужди цели, Агенцията за национална сигурност разчита на софтуерни недостатъци, които са останали неоткрити в тръбите на Интернет. В продължение на години експертите по сигурността притискаха агенцията да разкрие тези грешки, за да могат да бъдат коригирани, но хакерите на агенцията често не са склонни.

Боб Бекъл обратно на лисицата

Сега с мистериозното пускане на кеш от хакерски инструменти на NSA през уикенда, агенцията загуби нападателно предимство, казват експерти, и потенциално изложи на риск сигурността на безброй големи компании и правителствени агенции по целия свят.

Няколко от инструментите използваха недостатъци в търговските защитни стени, които остават непоправени, и те са в интернет, за да могат всички да ги видят. Всеки от хакери в мазе до сложна чуждестранна шпионска агенция има достъп до тях сега и докато не бъдат отстранени недостатъците, много компютърни системи могат да бъдат застрашени.

Разкритието на кеша на NSA, което датира от 2013 г. и не е потвърдено от агенцията, също подчертава малко известния процес на администрацията за установяване кои софтуерни грешки да разкрие и кои да запази в тайна.

Публикуването на хакерските инструменти демонстрира основния риск от това правителството на САЩ да трупа компютърни уязвимости за собствена употреба: някой друг може да ги овладее и да ги използва срещу нас, каза Кевин Банкстън, директор на Института за отворени технологии в Нова Америка.

Точно затова трябва да бъде политиката на правителството на САЩ да разкрива на доставчиците на софтуер уязвимостите, които купува или открива възможно най-скоро, така че всички ние да можем по-добре да защитим собствената си киберсигурност.

Публикуването през уикенда предизвика незабавни спекулации за това кой може да стои зад него. Отговорност пое група, наричаща себе си Shadow Brokers. Някои експерти и бивши служители подозират, макар и без твърди доказателства, че Русия е замесена. Други бивши служители казват, че това е по-вероятно недоволен вътрешен човек, който иска да спечели печалба.

Който и да е, много е обезпокоително, че потенциално някой, който работи за друго правителство, по същество държи компании заложници, които седят зад тези [защитни стени], което ги прави много уязвими, каза Орен Фалковиц, главен изпълнителен директор на Зона 1 за сигурност и бивш анализатор на NSA.

Защитните стени, продавани от Cisco, Juniper и Fortinet, са много популярни и работят в мащабни корпоративни системи. Това са много, много мощни и успешни продукти, каза Фалковиц. Те не са устройства, закупени от двама души.

Фирмите вече се надпреварват да преработят кода, да идентифицират всички недостатъци и да измислят пачове. Cisco потвърди в сряда, че един от недостатъците е нулев ден - досега неизвестен на обществеността - и че работи по корекция. Грешката беше в инструмент или експлоат с кодово име Extrabacon.

който контролира Суецкия канал

Говорителят на Juniper Лесли Мур каза, че компанията преглежда публикувания файл. Ако бъде идентифицирана продуктова уязвимост, ние ще разгледаме въпроса и ще съобщим на нашите клиенти, каза тя.

Говорителят на Fortinet Сандра Уитли Смердън каза, че фирмата работи активно с клиенти, които използват защитната стена на FortiGate версия 4.X и че силно препоръчва да актуализират своите системи с най-висок приоритет.

Правителството има процес за определяне кога да споделя софтуерни недостатъци. Агенции като NSA и ФБР трябва да представят всички недостатъци, които открият, на многоагенционна група от експерти, които след това преценяват дали предимството на запазването на уязвимостите в тайна надделява над обществената киберсигурност.

Координаторът по киберсигурност на Белия дом Майкъл Даниел каза, че в повечето случаи разкриването на грешката е в национален интерес. Процесът на много ведомства всъщност не започна до пролетта на 2014 г. NSA имаше собствен вътрешен процес години преди това.

Така или иначе, в този случай разкриването никога не се е случило.

Това се случва, когато имате агенции за сигурност, които трупат експлойти несигурно – по-лоша сигурност за всички, каза Кевин Бомонт, изследовател по киберсигурност, който потвърди, че някои от изтеклите инструменти разчитат на все още непоправени уязвимости.

Бивш персонал на NSA, който работеше с пуснатия кеш с инструменти, казват, че когато са работили в агенцията, е имало отвращение към разкриването.

Докато бях там, не мога да се сетя за нито един пример за [недостатък] от нулев ден, използван от агенцията, където впоследствие казахме: „Добре, приключихме с това и нека го прехвърлим на отбранителната страна, така че те могат да го закърпят“, каза бившият служител, който години наред е работил в Организацията за персонален достъп на агенцията. През това време, каза той, е видял стотици такива недостатъци.

17-та буква от азбуката

Той добави: Ако това е нещо в активна употреба, моят опит беше, че се борят като всички, за да предотвратят разкриването му.

Втори бивш служител, който също говори при условие на анонимност, за да опише чувствителни правителствени операции: Трудно е да живееш в свят, в който имаш способности и разкриваш способностите си на защитния си екип.

Този бивш оператор каза, че понякога уязвимостта е закърпена, но че ако я въоръжите по различен начин със специална техника, може би това е един от начините да увеличите дълголетието на инструмента.

По този начин един недостатък може да бъде добър в продължение на няколко години.

Две или три години всъщност не е много време, за да остане бъг неоткрит, каза Джоузеф Лоренцо Хол, главен технолог в Центъра за демокрация и технологии.

Например, голяма уязвимост, наречена Heartbleed, си проправи път в кода на широко използвания софтуер за криптиране през 2011 г., но не излезе наяве до 2014 г., отбеляза той. Миналата година Microsoft поправи критична грешка в нулевия ден, която се криеше в Windows от поне десетилетие.

Има толкова много уязвимости в софтуера, че не можем да ги намерим всички, каза Хол. Това е наистина страшно, особено когато говорите за технологии като защитни стени, които трябва да помогнат за защита на системите.

Експерти, изучаващи изданието, казват, че материалът вероятно е бил откраднат през октомври 2013 г., датата на създаване на последния файл. Ако това е вярно, значи някой или друга шпионска агенция е имал време да хакне компании, използващи уязвимите защитни стени или да наблюдава собственото кибер шпиониране на NSA.

Предишни служители на NSA, включително бившият изпълнител Едуард Сноудън, казват, че е малко вероятно материалът да е хакнат от сървърите на агенцията. По-вероятно е, някои казват, инструментите да са били качени и неволно оставени от TAO хакер на сървър, използван за извършване на хакове върху цели. Тези сървъри понякога се наричат ​​пренасочващи или промеждуващи сървъри и маскират истинското местоположение на хакера.

NSA винаги е имала одитни контроли на своите системи. Но особено след изтичането на секретни материали от Сноудън, които започнаха да се появяват в медиите през юни 2013 г., агенцията засили контролните си механизми.

Прочетете още:

Мощни инструменти на NSA бяха разкрити онлайн

Коми защитава покупката от ФБР на инструмент за хакване на iPhone

заплащане на опасност за основни работници стимул

Инструментите за хакерство на NSA изтекоха онлайн. Ето какво трябва да знаете.