ВМС США пойманы EFF при попытке купить нулевые дни для эксплуатации известного программного обеспечения

ВМС США пытаются купить нулевые дни Microsoft, Adobe, Android, IBM, Apple и др., EFF поймала их на горячем

Киберпреступники, ищущие нулевые дни, — это не новость, даже правительственные шпионские агентства, такие как NSA и GCHQ, время от времени занимаются покупкой нулевых дней у хакеров, чтобы эксплуатировать уязвимости в программном обеспечении и устанавливать задние двери. Но это первый случай, когда ВМС США были замечены, пытаясь купить нулевые дни в нескольких известных программных продуктах.

Фонд электронной границы (EFF) заметил, что ВМС США публично призывают людей продавать уязвимости безопасности известного программного обеспечения. Похоже, что ВМС США также покупали нулевые дни, как и NSA, чтобы создавать задние двери в программном обеспечении.

Предложение о покупке нулевых дней было размещено на правительственном сайте FedBizOpps, который был удален вскоре после того, как на него указал EFF. На сайте ВМС США подробно объяснили, зачем им нужны нулевые дни. Они заявили: «правительству США необходимо иметь доступ к информации о уязвимостях, отчетам об эксплуатации и операционным бинарным файлам, касающимся широко используемого и надежного коммерческого программного обеспечения».

EFF сохранил пост, в котором упоминается, что ВМС США хотели купить нулевые дни в различных программных пакетах, принадлежащих Microsoft, Adobe, Android, IBM, Apple, EMC, Cisco, Linksys, Linux, EMC и Java. PDF-файл представлен ниже:

https://www.eff.org/files/2015/06/12/70-common-vulnerability-exploit-products-federal.pdf

Все вышеперечисленные технологические компании производят продукты, которые ежедневно используют миллиарды пользователей. Из списка ВМС США очевидно, что они пытаются создать задние двери в как можно большее количество программных пакетов.

«Что еще более примечательно, так это то, как мало правительство, похоже, заботится о процессе принятия решения о эксплуатации уязвимостей», — пишет EFF в блоге.

«Как мы уже объясняли ранее, решение использовать уязвимость в «наступательных» целях, а не раскрывать ее разработчику, является тем, что ставит наблюдение выше безопасности миллионов пользователей. Следует отметить, что правительство признало, что это решение является чрезвычайно важным в каждом случае.

«ВМС пытались отправить этот конкретный запрос в забвение, но мы надеемся, что благодаря нашему иску по FOIA мы сможем пролить больше света на конфликт между публичными заявлениями правительства и его очевидными практиками, касающимися накопления нулевых дней».

В том же блоге EFF заявила, что находится в процессе подачи иска против правительства США по поводу VEP. Блог продолжает:

Что еще более примечательно, так это то, как мало правительство, похоже, заботится о процессе принятия решения о эксплуатации уязвимостей. Как мы уже объясняли ранее, решение использовать уязвимость в «наступательных» целях, а не раскрывать ее разработчику, является тем, что ставит наблюдение выше безопасности миллионов пользователей. Следует отметить, что правительство признало, что это решение является чрезвычайно важным в каждом случае. Сообщается, что оно даже «установило дисциплинированный, строгий и высокоуровневый процесс принятия решений по раскрытию уязвимостей», который называется Процессом оценки уязвимостей (VEP). Правительство утверждает, что VEP полностью засекречен, и EFF подает иск, чтобы его раскрыть.