US Navy beim Versuch, Zero-Days zu kaufen, um eine bekannte Software auszunutzen, von EFF ertappt

US Navy versucht, Zero-Days von Microsoft, Adobe, Android, IBM, Apple usw. zu kaufen, EFF ertappt sie auf frischer Tat

Cyberkriminelle, die nach Zero-Days Ausschau halten, sind nichts Neues, selbst die staatlichen Überwachungsbehörden wie NSA und GCHQ beteiligen sich von Zeit zu Zeit am Kauf von Zero-Days von Hackern, um die Schwachstellen in der Software auszunutzen und Hintertüren einzubauen. Aber es ist das erste Mal, dass die US Navy beim Versuch, Zero-Days in mehreren bekannten Softwareprodukten zu kaufen, beobachtet wurde.

Die Electronic Frontier Foundation (EFF) hat die US Navy dabei ertappt, wie sie öffentlich Menschen aufforderte, Sicherheitsanfälligkeiten in bekannter Software zu verkaufen. Es scheint, dass die US Navy auch die Zero-Days wie die NSA kaufte, um Hintertüren in die Software einzubauen.

Das Angebot zum Kauf von Zero-Days wurde auf der Regierungswebsite FedBizOpps aufgeführt, die kurz nach der Hervorhebung durch die EFF gelöscht wurde. Auf der Website erläuterte die US Navy, warum sie die Zero-Days benötigte. Sie sagt: „Die US-Regierung muss Zugang zu Informationen über Sicherheitsanfälligkeiten, Exploit-Berichte und operationale Exploit-Binärdateien haben, die weit verbreitete und auf kommerzielle Software angewiesene Software betreffen“.

EFF hat den Beitrag bewahrt, der erwähnt, dass die US Navy Zero-Days in verschiedenen Softwarepaketen von Microsoft, Adobe, Android, IBM, Apple, EMC, Cisco, Linksys, Linux, EMC und Java kaufen wollte. Der PDF-Ausschnitt ist unten angegeben:

https://www.eff.org/files/2015/06/12/70-common-vulnerability-exploit-products-federal.pdf

Alle oben genannten Technologieunternehmen stellen Produkte her, die täglich von Milliarden von Nutzern verwendet werden. Aus der Liste der US Navy wird deutlich, dass sie versucht, in so vielen Softwarepaketen wie möglich Hintertüren zu schaffen.

„Was noch bemerkenswerter ist, ist, wie wenig Rücksicht die Regierung anscheinend auf den Prozess hat, der zur Entscheidung führt, Schwachstellen auszunutzen“, schreibt die EFF in einem Blogbeitrag.

„Wie wir bereits erklärt haben, ist die Entscheidung, eine Schwachstelle für ‚offensive‘ Zwecke zu nutzen, anstatt sie dem Entwickler offenzulegen, eine, die die Überwachung über die Sicherheit von Millionen von Nutzern priorisiert. Der Regierung ist zuzugestehen, dass sie anerkannt hat, dass diese Entscheidung in jedem Fall von außergewöhnlicher Bedeutung ist.

„Die Navy versuchte, diese spezielle Aufforderung in Vergessenheit geraten zu lassen, aber wir hoffen, dass wir durch unsere FOIA-Klage mehr Licht auf den Konflikt zwischen den öffentlichen Aussagen der Regierung und ihren offensichtlichen Praktiken im Zusammenhang mit der Lagerung von Zero-Days werfen können.“

In demselben Blogbeitrag sagte die EFF, dass sie dabei sei, die US-Regierung wegen des VEP zu verklagen. Der Blog fährt fort:

Was noch bemerkenswerter ist, ist, wie wenig Rücksicht die Regierung anscheinend auf den Prozess hat, der zur Entscheidung führt, Schwachstellen auszunutzen. Wie wir bereits erklärt haben, ist die Entscheidung, eine Schwachstelle für „offensive“ Zwecke zu nutzen, anstatt sie dem Entwickler offenzulegen, eine, die die Überwachung über die Sicherheit von Millionen von Nutzern priorisiert. Der Regierung ist zuzugestehen, dass sie anerkannt hat, dass diese Entscheidung in jedem Fall von außergewöhnlicher Bedeutung ist. Sie hat sogar berichtet, dass sie „einen disziplinierten, rigorosen und hochrangigen Entscheidungsprozess für die Offenlegung von Schwachstellen“ eingerichtet hat, den sie den Vulnerabilities Equities Process (VEP) nennt. Die Regierung sagt, der VEP sei vollständig geheim, und die EFF verklagt, um ihn freizugeben.