Marinha dos EUA pega pela EFF enquanto tenta comprar Zero-days para explorar um software bem conhecido

Marinha dos EUA tentando comprar Zero-days da Microsoft, Adobe, Android, IBM, Apple etc., EFF a pega em flagrante

Criminosos cibernéticos em busca de Zero-days não são novidade, até mesmo agências de espionagem do governo como a NSA e GCHQ de tempos em tempos se envolvem na compra de Zero-days de hackers para explorar vulnerabilidades no software e colocar backdoors. Mas é a primeira vez que a Marinha dos EUA foi vista tentando comprar Zero-days em múltiplos softwares bem conhecidos.

A Electronic Frontier Foundation (EFF) flagrou a Marinha dos EUA solicitando publicamente que pessoas vendessem vulnerabilidades de segurança para softwares bem conhecidos. Parece que a Marinha dos EUA também estava comprando os Zero-days como a NSA, para construir backdoors no software.

A oferta para a compra de Zero-days foi listada no site do governo FedBizOpps, que foi deletada logo após ser destacada pela EFF. No site, a Marinha dos EUA detalhou por que precisava dos zero-days. Ela diz: “o governo dos EUA precisa ter acesso à inteligência de vulnerabilidades, relatórios de exploração e binários operacionais de exploração que afetam softwares comerciais amplamente utilizados e confiáveis”.

A EFF preservou a postagem que menciona que a Marinha dos EUA queria comprar Zero-days em vários pacotes de software pertencentes à Microsoft, Adobe, Android, IBM, Apple, EMC, Cisco, Linksys, Linux, EMC e Java. O PDF é fornecido abaixo:

https://www.eff.org/files/2015/06/12/70-common-vulnerability-exploit-products-federal.pdf

Todas as empresas de tecnologia acima fabricam produtos usados por bilhões de usuários diariamente. Da lista da Marinha dos EUA, é aparente que ela está tentando criar backdoors em quantos mais pacotes de software possível.

“O que é mais notável é quão pouco respeito o governo parece ter pelo processo de decidir explorar vulnerabilidades”, escreve a EFF em uma postagem no blog.

“Como já explicamos antes, a decisão de usar uma vulnerabilidade para fins ‘ofensivos’ em vez de divulgá-la ao desenvolvedor é uma que prioriza a vigilância em detrimento da segurança de milhões de usuários. Para seu crédito, o governo reconheceu que essa decisão é extraordinariamente importante em todos os casos.

“A Marinha tentou enviar essa solicitação específica para o buraco da memória, mas estamos esperançosos de que, através de nossa ação judicial FOIA, possamos lançar mais luz sobre o conflito entre as declarações públicas do governo e suas práticas aparentes em torno do acúmulo de zero-days.”

Na mesma postagem do blog, a EFF disse que estava em processo de processar o governo dos EUA sobre o VEP. O blog continua dizendo,

O que é mais notável é quão pouco respeito o governo parece ter pelo processo de decidir explorar vulnerabilidades. Como já explicamos antes, a decisão de usar uma vulnerabilidade para fins “ofensivos” em vez de divulgá-la ao desenvolvedor é uma que prioriza a vigilância em detrimento da segurança de milhões de usuários. Para seu crédito, o governo reconheceu que essa decisão é extraordinariamente importante em todos os casos. Ele até supostamente “estabeleceu um processo de tomada de decisão disciplinado, rigoroso e de alto nível para a divulgação de vulnerabilidades”, que chama de Processo de Equidade de Vulnerabilidades (VEP). O governo diz que o VEP é totalmente classificado, e a EFF está processando para que ele seja liberado.