Спецслужбам запретят коллекционировать «дыры» бизнес-ПО

Софт Безопасность Бизнес ИТ в госсекторе
мобильная версия
, Текст: Роман Георгиев

В Сенат США подан законопроект, регламентирующий использование американскими спецслужбами уязвимостей в программном обеспечении. Законопроет описывает, в каких случаях информация об уязвимостях должна предаваться огласке в обязательном порядке.


Коллекционирование «дыр» неприемлемо

Сенаторы Рон Джонсон (Ron Johnson) и Брайан Шац (Brian Schatz), представители Республиканской и Демократической партий США соответственно представили в верхнюю палату Конгресса своей страны проект закона, который должен будет регламентировать использование спецслужбами уязвимостей в коммерческом программном и аппаратном обеспечении.

Законопроект, получивший название PATCH Act (Protecting our Ability To Counter Hacking — «Защита нашей способности противостоять хакерским атакам»), предполагает создание специального органа внутри Министерства внутренней безопасности США, который займется оценкой выявленных уязвимостей и будет принимать решения, нужно ли уведомлять о них непосредственных разработчиков.

В настоящее время спецслужбы США, в первую очередь АНБ, «коллекционируют» уязвимости, чтобы использовать их для проведения различных операций в киберпространстве, в основном шпионских.

Спецслужбам США предлагают отчитываться об использовании программных уязвимостей

Информация об этих уязвимостях, естественно, хранится в секрете, однако, как показывает практика, утечки случаются даже у АНБ: прежде неизвестная группировка Shadow Brokers недавно опубликовала большое количество эксплойтов и других инструментов для проведения кибератак, украденных у аффилированной с АНБ группы Equation.

Некоторые из этих инструментов моментально нашли свое применение у киберпреступников: например, эксплойт EternalBlue и бэкдор DoublePulsar были использованы создателями шифровальщика WannaCry, эпидемия которого накрыла в первой половине мая 74 страны, включая Россию и США.

Подобное не должно повториться

Законопроект предлагает вполне конкретные, хотя и очень простые меры, чтобы предотвратить повторение описанного сценария. Предполагается создание специального экспертного органа внутри Министерства внутренней безопасности США, в который войдут представители АНБ и Национального института стандартов и технологий, которые будут принимать решение, информировать ли вендоров ПО о выявленных уязвимостях нулевого дня или нет.

«Необходимо, чтобы правительственные агентства педоставляли вендорам информацию об ранее неизвестных уязвимостях при каждой возможности, и законопроект PATCH требует от правительство оперативно уравновешивать необходимость раскрытия уязвимостей и других национальных интересов, одновременно повышая прозрачность и подотчетность своих действий и сохраняя доверие общества», — заявил сенатор Джонсон, занимающий должность председателя сенатского Комитета по внутренней безопасности и взаимодействию с правительством.

Это, впрочем, не означает, что АНБ и другие правительственные органы должны будут немедленно информировать вендоров обо всех выявленных уязвимостях. Речь идет только о тех случаях, когда есть подозрения, что выявленные уязвимости уже известны кому-то еще и могут эксплуатироваться.

Подобная практика была установлена еще при президенте Обаме, однако она имела сугубо неформальный вид. Сейчас процесс раскрытия (или сокрытия) уязвимостей предлагается формализовать и кодифицировать.

«Этот законопроект, безусловно, не означает, что АНБ и другие агентства США собираются отказываться от использования уязвимостей в программном обеспечении, как не захотят от этого отказываться и другие страны, обладающие кибероружием, — полагает Ксения Шилак, директор по продажам компании SEC-Consult Рус. — Акт PATCH нужен для того, чтобы лишать другие стороны, будь то чужие разведки или "обычный" киберкриминал, возможности использовать те же инструменты».

Шилак, однако, сомневается в том, что предложенные меры будут работать. «Между публикацией EternalBlue и DoublePulsar со всей документацией к ним и всплеском активности шифровальщика WannaCry прошло минимум две недели, — напоминает она. — У системных администраторов было достаточно времени, чтобы установить все патчи к уязвимостям, использовавшимся АНБ. Но этого сделано не было, и, как следствие, эпидемия WannaCry накрыла полмира. Так что даже если вдруг АНБ начнет раскрывать сведения о большинстве выявленных в ПО уязвимостей, полностью обезоружить потенциальных противников в киберпространстве не получится. Для этого сами пользователи должны фундаментально пересмотреть свои взгляды на безопасность».

Стоит отметить, что в середине мая 2017 г. юридический директор корпорации Microsoft Брэд Смит призвал АНБ и другие правительственные агентства отказаться от практики коллекционирования уязвимостей.

По мнению Смита, правительствам «следует изменить подход и действовать в киберпространстве по тем же правилам, по которым оружие используется в физическом мире». Он также призвал оценить «ущерб, который наносится гражданской инфраструктуре вследствие накапливания уязвимостей и использования эксплойтов к ним».