Nasmerovanie prstom na nedávny útok na ransomware spoločnosti WannaCry sa začalo vážne a nezabúda vinníkov, aj keď hlavným cieľom je Severná Kórea. Ale v hre viny sa objavili ďalší kandidáti na kritiku - nikto iný ako NSA a Microsoft.


V čele sprievodov vedcov, prieskumov verejnej mienky a vedúcich pracovníkov pri vrhnutí ich zraku na NSA a jeho agenta je prezident spoločnosti Microsoft Brad Smith (ako sa dá očakávať, vzhľadom na to, že pri útoku boli zasiahnuté počítače Windows - viac o tom neskôr).

NSA je „všetko zozbierať“ útočné, poháňané jeho nenásytnou chuťou po informáciách, viedlo k „hromadeniu“ softvérových slabých stránok. Následne stratila kontrolu nad svojimi „zbraňami“, ktoré boli pre Smitha a iných omnoho väčšie. Smith prirovnával situáciu k bezpečnosti vojenských zbraní, ktorá je starostlivo strážená, Smith sa opýtal:

„Toto je vznikajúci trend v roku 2017. Videli sme zraniteľné miesta uložené CIA na stránkach WikiLeaks a teraz táto zraniteľnosť odcudzená NSA ovplyvnila zákazníkov z celého sveta. Záchrany v rukách vlád opakovane prenikli do verejnej sféry a spôsobili rozsiahle škody. Rovnakým scenárom s konvenčnými zbraňami by bola ukradnutie niektorých rakiet Tomahawk americkej armáde. A tento posledný útok predstavuje úplne nezamýšľané, ale znepokojujúce spojenie medzi dvomi najzávažnejšími hrozbami kybernetickej bezpečnosti v dnešnom svete - konanie národného štátu a organizované trestné konanie. ““

Poukazuje na to, ale Microsoft to v tomto neporiadku nezbavuje. Jadrom problému je tajné hromadenie nedostatkov v systémoch spoločností vládnymi agentúrami, zvyčajne bez toho, aby tieto spoločnosti upozornilo na tieto nedostatky. Ak by mali, potom spoločnosť Microsoft (v tomto prípade) mohla prepísať svoj softvér, aby problém vyriešil.

Malo by sa to poznamenať. Nie, je to špecializované a spoločné úsilie o zadržanie cenných informácií od súkromných spoločností (a teda od verejnosti) v mene národnej bezpečnosti. Táto iniciatíva má názov - proces zraniteľného vlastného kapitálu (VEP).

Cieľom VEP je vyvážiť výhody získané udržiavaním daného tajomstva zraniteľnosti softvéru proti potenciálnym rizikám pre celý svet. Mimochodom, zdá sa, že to je zrkadlový obraz menej formálnych programov, podľa ktorých vláda odmietla stíhať - a nechala páchateľov kráčať - namiesto toho, aby odhalila podrobnosti o svojich tajných rokovaniach (najmä v prípadoch Stingray). V týchto prípadoch by vláda na príkaz výrobcu Harris Corporation neposkytla informácie o systémoch.

VEP je nebezpečnejší a problém je oveľa rozšírenejší ako v prípade, že prokurátori Stingray znižujú poplatky. Keď agentúry zhromažďujú takéto informácie, sú lákavým osudom. Je to ako tikajúca časovaná bomba predtým, ako informácia unikne zlým hercom. Zdá sa, že Washington je teraz plný netesností - možno viac ako kedykoľvek predtým.

To môže vysvetľovať útok WannaCry ransomware. Tajní strážcovia nášho národa neboli schopní udržať svoje zbrane v bezpečí pred takými ako Shadow Brokers a Wikileaks..

Kalifornský kongresman Ted Lieu (D-CA) vyzval na prijatie právnych predpisov na riešenie situácie VEP,

„Dnešný celosvetový útok na ransomware ukazuje, čo sa môže stať, keď NSA alebo CIA napíšu malware namiesto toho, aby odhalili chybu výrobcu softvéru.“

Dôvodom je, že nástroje agentúr neboli porušené a kooptované, ale boli zbrane proti dôležitým inštitúciám na celom svete vrátane nemocníc, univerzít a spoločností..

V tomto debakle je dosť viny na to, aby sme sa obišli. Úrad NSA je vinný z toho, že sa snaží odhaliť zraniteľné miesta v rôznych verziách systému Windows a písať programy, ktoré umožňujú americkým špiónom preniknúť do počítačov s operačným systémom spoločnosti Microsoft. Jeden taký program, kód s názvom ETERNALBLUE, umožnil WannaCry sa šíriť tak rýchlo a nekontrolovateľne ako minulý týždeň. Nie, NSA nevytvoril WannaCry, ale jeho nedbalosť mu umožnila preniknúť.

Ďalej je spoločnosť Microsoft vinná za to, že umožnila miliónom používateľov používať zastaralý softvér (niektorí do 15 rokov) a neuvedomovala by, že títo používatelia starého softvéru by boli zraniteľní voči novej realite. A konečne, nemôžeme byť bezúhonní (vlastníci počítačov a správcovia IT), pretože neponechávajú softvér aktuálny.

Vzhľadom na to, že operačné systémy spoločnosti Microsoft, písanie nezabezpečených kódov a pokles podpory starších verzií systému Windows, ktoré sa stále používajú, je, samozrejme, naša nedbanlivosť pochopiteľná. A tak je to aj vina.

Je to takmer patová situácia, pokiaľ si orgány činné v trestnom konaní a špionážne organizácie želajú naďalej vyvíjať zbrane v tieni a spoločnosti ako Microsoft chcú predávať výrobky, čo znamená, že sa budú zvyšovať a zvyšovať bez toho, aby sa venovala veľká pozornosť tomu, čo sa stalo predtým. Nazvite to militarizmus verzus maximalizácia zisku.

Aký je tvoj názor? Kde stojíš? Myslíte si, že NSA uprednostňuje rozvojové prostriedky na odradenie protivníkov od súkromia a bezpečnosti bežného občana? Alebo si myslíte, že kyvadlo za každú cenu prešlo k národnej bezpečnosti príliš ďaleko? Ďalšia dôležitá otázka, ktorú je potrebné zvážiť: Kde presne stojí priemerný občan v tom, čo sa javí ako nekonečný závod až na dno?

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me