התייחסות לאצבעות על מתקפת הכלי רנסומאר של WannaCry החלה ברצינות, וזה לא חסר לאשמים, אם כי צפון קוריאה היא המוקד העיקרי. אולם במשחק האשמה עלו מועמדים אחרים לביקורת - לא אחר מאשר ה- NSA ומיקרוסופט.


הוביל את מצעד הקונדיטורים, הסקרים והמנהלים בהשמת מבטם ל- NSA ודומיו הוא נשיא מיקרוסופט, בראד סמית '(כפי שניתן לצפות, בהתחשב בעובדה שמחשבי Windows היו אלה שנפגעו בהתקפה - עוד על כך בהמשך).

פוגעני "אוספים את הכל" של ה- NSA, הונעו מתאבון המידע הרעוע, הובילו לכך "חולצות" תוכנה. לאחר מכן היא איבדה שליטה על "הנשק" שלה, הרבה למגינת לבם של סמית 'ואחרים. כשהוא מדמה את המצב לביטחון מפני נשק צבאי, שנשמר בקפידה, סמית אמר:

"זהו דפוס מתפתח בשנת 2017. ראינו שנקודות תורפה המאוחסנות על ידי ה- CIA מופיעות ב- WikiLeaks, וכעת פגיעות זו שנגנבה מ- NSA השפיעה על לקוחות ברחבי העולם. שוב ושוב ניצולים בידי ממשלות דלפו לרשות הרבים וגרמו לנזק נרחב. תסריט שווה ערך לנשק קונבנציונאלי יהיה צבא ארה"ב שגנבו חלק מטילי טומהוק שלו. וההתקפה האחרונה הזו מייצגת קשר בלתי מכוון אך מרתיע בין שתי הצורות החמורות ביותר של איומי אבטחת סייבר בעולם כיום - פעולה של מדינת לאום ופעולה פלילית מאורגנת. "

הוא מבהיר, אבל זה לא מרפה את מיקרוסופט בבלגן הזה. בבסיס הבעיה עומדת סוכנות החולשה במערכות החברות על ידי סוכנויות ממשלתיות, בדרך כלל מבלי להתריע בפני החברות המדוברות על פגמים אלה. אם היה להם, מיקרוסופט (במקרה זה), הייתה יכולה לכתוב מחדש את התוכנה שלה כדי לתקן את הבעיה.

זה לא במקרה, יש לציין. לא, זהו מאמץ ייעודי וממוזג לעצור מידע חשוב מחברות פרטיות (וכך הציבור) בשם הביטחון הלאומי. ליוזמה זו יש שם - תהליך ההון העצמי הפגיע (VEP).

ה- VEP נועד לאזן בין היתרונות שנצברו על ידי שמירת פגיעות תוכנה נתונה בסוד, לעומת הסיכונים הפוטנציאליים לכלל העולם. זה, אגב, נראה כתמונת ראי של תוכניות פחות פורמליות, לפיהן הממשלה סירבה להמשיך בהרשעות - ולתת למבצעים ללכת - ולא לחשוף פרטים על עסקיה הסודיים (בעיקר בעניין מקרי סטינגריי). במקרים אלה הממשלה לא תעביר מידע על המערכות, לפי בקשת היצרן, חברת האריס.

VEP מסוכן יותר, והבעיה נפוצה יותר, מאשר במקרה של תובעי סטינגריי שמטילים אישומים. כשסוכנויות מצליחות שובר מידע כזה, הן מפתות את הגורל. זה כמו פצצת זמן מתקתקת לפני שהמידע מדליף לשחקנים רעים. נראה כי וושינגטון שופעת דליפות - אולי יותר מתמיד.

זה עשוי להסביר את התקפת הכלי-סיסמא של WannaCry. שומרי הסוד של ארצנו לא הצליחו לשמור על כלי הנשק שלהם מפני אוהבי צלליות מתווכים וויקיליקס.

חבר הקונגרס בקליפורניה, טד ליאו (D-CA), שקרא לחקיקה שתטפל במצב VEP אמר,

"מתקפת ה- ransomware העולמית של ימינו מראה מה יכול לקרות כאשר ה- NSA או CIA כותבים תוכנות זדוניות במקום לגלות את הפגיעות ליצרן התוכנה."

הסיבה לכך היא שהכלים של הסוכנויות לא רק נפרצו ושיתפו פעולה, אלא הם נשקו נגד מוסדות חשובים ברחבי העולם, כולל בתי חולים, אוניברסיטאות ותאגידים..

יש מספיק אשמה במכשול הזה כדי להסתובב. NSA אשם בכדי לגלות פגיעויות בגירסאות שונות של Windows, ולכתיבת תוכניות המאפשרות למרגלים אמריקאים לחדור למחשבים שמפעילים את מערכת ההפעלה של מיקרוסופט. תוכנית אחת כזו, קוד בשם ETERNALBLUE, אפשרה ל- WannaCry להתפשט במהירות ובבלתי נשלט כמו בשבוע שעבר. לא, ה- NSA לא יצר את WannaCry, אך הרשלנות שלה אפשרה לה להתמודד.

בשלב הבא, מיקרוסופט אשמה בכך שהיא איפשרה למיליוני משתמשים להשתמש בתוכנה מיושנת (חלקם בערך 15 שנה), ולא מציינת שמשתמשים אלה בתוכנה ישנה יהיו חשופים למציאות החדשה. לבסוף, איננו יכולים למצוא את עצמנו (בעלי מחשבים ומנהלי IT) נטולי אשמה, משום שאיננו שומרים על תוכנה עדכנית.

כמובן, בהתחשב במערכות ההפעלה המטונפות של מיקרוסופט, כתיבתה של קודים לא מאובטחים והורדת התמיכה בגירסאות ישנות יותר של Windows שעדיין נמצאות בשימוש נרחב, ניתן להבין את הרשלנות שלנו. וכך גם משחק האשמה.

זה כמעט קיפאון, ככל שאכיפת חוק וסוגי ריגול רוצים להמשיך ולפתח נשק בצל, וחברות כמו מיקרוסופט מעוניינות למכור מוצרים שמשמעותם קדימה ומעלה, מבלי לשים לב רב למה שקודם לכן. קראו לזה מיליטריזם לעומת מקסום רווחים.

מה דעתך? איפה אתה עומד? האם אתה חושב שה- NSA מעדיף עדיפות יתר על פיתוח אמצעים להרתעת יריבים על פרטיותו ובטיחותו של האזרח הרגיל? או שאתה חושב שהמטוטלת הסתובבה יותר מדי לעבר הביטחון הלאומי בכל מחיר? שאלה חשובה נוספת שיש לקחת בחשבון: היכן בדיוק עומד האזרח הממוצע במה שנראה כמירוץ בלתי נגמר לתחתית?

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me