La Marina degli Stati Uniti sorpresa dall'EFF mentre cerca di acquistare Zero-day per sfruttare un software ben noto

La Marina degli Stati Uniti cerca di acquistare Zero-day di Microsoft, Adobe, Android, IBM, Apple ecc., EFF la sorprende in flagrante

I criminali informatici in cerca di Zero-day non sono una novità, anche le agenzie governative di sorveglianza come NSA e GCHQ di tanto in tanto si dedicano all’acquisto di Zero-day da hacker per sfruttare le vulnerabilità nel software e inserire backdoor. Ma è la prima volta che la Marina degli Stati Uniti è stata avvistata mentre cercava di acquistare Zero-day in più software ben noti.

La Electronic Frontier Foundation (EFF) ha scoperto che la Marina degli Stati Uniti stava pubblicamente sollecitando persone a vendere vulnerabilità di sicurezza a software ben noti. Sembra che la Marina degli Stati Uniti stesse anche acquistando i Zero-day come la NSA, per costruire backdoor nel software.

L’offerta per l’acquisto di Zero-day è stata elencata sul sito web governativo FedBizOpps, che è stata rimossa poco dopo essere stata evidenziata dall’EFF. Sul sito web, la Marina degli Stati Uniti ha dettagliato perché aveva bisogno dei zero-day. Dice: “il governo degli Stati Uniti ha bisogno di avere accesso a informazioni sulle vulnerabilità, rapporti di sfruttamento e binari di sfruttamento operativi che riguardano software commerciali ampiamente utilizzati e di cui ci si fida”.

L’EFF ha conservato il post che menziona che la Marina degli Stati Uniti voleva acquistare Zero-day in vari pacchetti software appartenenti a Microsoft, Adobe, Android, IBM, Apple, EMC, Cisco, Linksys, Linux, EMC e Java. Il PDF è fornito di seguito:

https://www.eff.org/files/2015/06/12/70-common-vulnerability-exploit-products-federal.pdf

Tutte le aziende tecnologiche sopra menzionate producono prodotti utilizzati da miliardi di utenti ogni giorno. Dalla lista della Marina degli Stati Uniti, è evidente che sta cercando di creare backdoor in quanti più pacchetti software possibile.

“Ciò che è ancora più degno di nota è quanto poco riguardo sembri avere il governo per il processo di decisione di sfruttare le vulnerabilità,” scrive l’EFF in un post sul blog.

“Come abbiamo spiegato in precedenza, la decisione di utilizzare una vulnerabilità per scopi ‘offensivi’ piuttosto che divulgarla allo sviluppatore è una che dà priorità alla sorveglianza rispetto alla sicurezza di milioni di utenti. A suo merito, il governo ha riconosciuto che questa decisione è estremamente importante in ogni caso.

“La Marina ha cercato di inviare questa particolare sollecitazione nel dimenticatoio, ma siamo fiduciosi che attraverso la nostra causa FOIA, possiamo fare luce sul conflitto tra le dichiarazioni pubbliche del governo e le sue pratiche apparenti riguardanti l’accumulo di zero-day.”

Nello stesso post del blog, l’EFF ha detto che era in procinto di fare causa al governo degli Stati Uniti riguardo al VEP. Il blog prosegue dicendo,

Ciò che è ancora più degno di nota è quanto poco riguardo sembri avere il governo per il processo di decisione di sfruttare le vulnerabilità. Come abbiamo spiegato in precedenza, la decisione di utilizzare una vulnerabilità per scopi “offensivi” piuttosto che divulgarla allo sviluppatore è una che dà priorità alla sorveglianza rispetto alla sicurezza di milioni di utenti. A suo merito, il governo ha riconosciuto che questa decisione è estremamente importante in ogni caso. Ha persino riportato di aver “stabilito un processo decisionale disciplinato, rigoroso e di alto livello per la divulgazione delle vulnerabilità,” che chiama Vulnerabilities Equities Process (VEP). Il governo afferma che il VEP è completamente classificato, e l’EFF sta facendo causa per farlo rilasciare.