La Marina de EE. UU. sorprendida por EFF mientras intentaba comprar Zero-days para explotar un software bien conocido

La Marina de EE. UU. intenta comprar Zero-days de Microsoft, Adobe, Android, IBM, Apple, etc., EFF la atrapa con las manos en la masa

Los cibercriminales que buscan Zero-days no son nada nuevo, incluso las agencias gubernamentales de espionaje como la NSA y GCHQ de vez en cuando se involucran en la compra de Zero-days a hackers para explotar las vulnerabilidades en el software y colocar puertas traseras. Pero es la primera vez que se observa a la Marina de EE. UU. intentando comprar Zero-days en múltiples softwares bien conocidos.

La Electronic Frontier Foundation (EFF) ha detectado que la Marina de EE. UU. estaba solicitando públicamente a personas que vendieran vulnerabilidades de seguridad de software bien conocido. Parece que la Marina de EE. UU. también estaba comprando los Zero-days como la NSA, para construir puertas traseras en el software.

La oferta para la compra de Zero-days fue publicada en el sitio web gubernamental FedBizOpps, que fue eliminada poco después de ser destacada por la EFF. En el sitio web, la Marina de EE. UU. detalló por qué necesitaba los zero-days. Dice: “el gobierno de EE. UU. necesita tener acceso a inteligencia sobre vulnerabilidades, informes de explotación y binarios de explotación operativos que afectan a software comercial ampliamente utilizado y en el que se confía”.

La EFF preservó la publicación que menciona que la Marina de EE. UU. quería comprar Zero-days en varios paquetes de software pertenecientes a Microsoft, Adobe, Android, IBM, Apple, EMC, Cisco, Linksys, Linux, EMC y Java. La captura de PDF se proporciona a continuación:

https://www.eff.org/files/2015/06/12/70-common-vulnerability-exploit-products-federal.pdf

Todas las empresas tecnológicas mencionadas fabrican productos utilizados por miles de millones de usuarios a diario. De la lista de deseos de la Marina de EE. UU., es evidente que está tratando de crear puertas traseras en tantos paquetes de software como sea posible.

“Lo que es más notable es cuán poco respeto parece tener el gobierno por el proceso de decidir explotar vulnerabilidades”, escribe la EFF en una publicación de blog.

“Como hemos explicado antes, la decisión de usar una vulnerabilidad para fines ‘ofensivos’ en lugar de divulgarla al desarrollador es una que prioriza la vigilancia sobre la seguridad de millones de usuarios. A su crédito, el gobierno ha reconocido que esta decisión es extraordinariamente importante en cada caso.

“La Marina intentó enviar esta solicitud particular al olvido, pero tenemos la esperanza de que a través de nuestra demanda FOIA, podamos arrojar más luz sobre el conflicto entre las declaraciones públicas del gobierno y sus prácticas aparentes en torno a su acumulación de zero-days.”

En la misma publicación del blog, la EFF dijo que estaba en proceso de demandar al gobierno de EE. UU. sobre el VEP. El blog continúa diciendo,

Lo que es más notable es cuán poco respeto parece tener el gobierno por el proceso de decidir explotar vulnerabilidades. Como hemos explicado antes, la decisión de usar una vulnerabilidad para fines “ofensivos” en lugar de divulgarla al desarrollador es una que prioriza la vigilancia sobre la seguridad de millones de usuarios. A su crédito, el gobierno ha reconocido que esta decisión es extraordinariamente importante en cada caso. Incluso se ha informado que “ha establecido un proceso de toma de decisiones disciplinado, riguroso y de alto nivel para la divulgación de vulnerabilidades”, que llama el Proceso de Equidad de Vulnerabilidades (VEP). El gobierno dice que el VEP es completamente clasificado, y la EFF está demandando para que se publique.