Ένας εκπρόσωπος της NSA είπε ότι ο οργανισμός αποκαλύπτει τα zero-day σφάλματα στους κατασκευαστές και στις επηρεασμένες επιχειρήσεις στο 91% των περιπτώσεων που ανακαλύπτει, σύμφωνα με δημοσίευμα του Reuters.
Αυτό το μικρό κομματάκι των πληροφοριών ξεγλίστρησε από το γραφείο, όταν αυτό προσπαθούσε να υπερασπιστεί τις πολιτικές του περί αποκάλυψης σφαλμάτων.
Λόγω της δημόσιας κριτικής τα τελευταία χρόνια και μετά από τις αποκαλύψεις του Edward Snowden, οι Αμερικανοί αμφισβητούν τις επιθετικές hacking δυνατότητες της κυβέρνησης.
Ο Λευκός Οίκος απάντησε λέγοντας ότι έχει μεταθέσει το επίκεντρο απέναντι στις αμυντικές ικανότητες και έχει αυξήσει το ρόλο του Υπουργείου Εσωτερικής Ασφάλειας (DHS).
Ο Michael Daniel, ο συντονιστής της ασφάλειας στον κυβερνοχώρο του προέδρου Barack Obama, είπε ότι η NSA άλλαξε το πρόγραμμα ασφαλείας για αναγνώριση σφάλματων. Μετά από αυτή τη δήλωση και λόγω της έλλειψης άλλων στοιχείων, η Electronic Frontier Foundation μήνυσε την κυβέρνηση των ΗΠΑ και κατάφερε να αποσπάσει ένα έγγραφο που περιγράφει τη νέα διαδικασία, αν και σε μεγάλο βαθμό είναι αναθεωρημένο.
Συγκεκριμένα, ο εκπρόσωπος της NSΑ, προσπαθώντας να εξασφαλίσει ότι το γραφείο εξακολουθεί να είναι το “καλό παιδί”, είπε ότι η NSA πάντα ασχολείται με την κατάλληλη δημοσιοποίηση σφαλμάτων ασφαλείας και ότι σε προηγούμενες περιπτώσεις, ο Οργανισμός ενημέρωνε τους κατασκευαστές και τις πληγείσες εταιρείες για το περίπου 91% από τα σφάλματα ασφαλείας που ανακάλυπταν.
Ο εκπρόσωπος της NSΑ εξηγεί, με δήλωσή του στο Reuters, ότι το 9% από τα σφάλματα zero-day που ανακαλύπτει ο οργανισμός, αλλά δεν τα λέει σε κανέναν, τα κρατά για επιθετικούς σκοπούς.
Αλλά υπάρχει ένα πρόβλημα με τους αριθμούς. Ο εκπρόσωπος της NSΑ αρνήθηκε να σχολιάσει σχετικά με το πόσα από τα 91% κοινοποιημένα σφάλματα που υπήρξαν κατά τη στιγμή της ανακάλυψής τους, κρατήθηκαν για επιθετικούς σκοπούς, πριν αποδεσμευτούν στους κατασκευαστές (για αμυντικούς σκοπούς).
Αυτό σημαίνει ότι ο οργανισμός θα μπορούσε να εκμεταλλεύεται περισσότερα σφάλματα για επιθετικούς σκοπούς και μετά από αυτό να το λέει στους κατασκευαστές και να τους προσθέτει στην πλευρά του 91% .
«Το Εθνικό Συμβούλιο Ασφαλείας (NSΑ) έχει μια διϋπηρεσιακή διαδικασία που εξετάζει πότε θα αποκαλύψει τις ευπάθειες», είπε η NSA σε μια δημόσια δήλωση. «Η διαδικασία απαιτεί από την κυβέρνηση να σταθμίσει πολλούς παράγοντες, συμπεριλαμβανομένης της σημασίας των πληροφοριών για την ασφάλεια του έθνους. Αν και αυτές οι αποφάσεις μπορεί να είναι περίπλοκες, η μεροληψία της κυβέρνησης είναι να αποκαλύψει υπεύθυνα και διακριτικά τις ευπάθειες.»
