NSA се възползва от пропуските в киберсигурността?

В разгара на дебатите за дейността на разузнавателните агенции в САЩ американският президент Барак Обама реши, че когато Агенцията за национална сигурност (NSA) открие големи пропуски в интернет сигурността, тя трябва, поне в повечето случаи, да ги разкрие, за да се гарантира, че ще бъдат оправени. "Тя не трябва да премълчава проблемите, които могат да бъдат използвани при шпионаж или кибер атаки", е заявил Обама, цитиран от New York Times.

Но президентът допуска изключение за това правило, когато става дума за „националната сигурност или нуждата от прилагане на закона“, твърдят официални лица. Според тях това е вратичка, която вероятно ще даде възможност на NSA да се възползва от пропуските в системата, така че да разбива интернет криптирането и да проектира кибер оръжия.

Белият дом никога не е обсъждал публично решението на Обама, което той взе през януари, когато започна да преглежда препоръките, свързани с това какво да се направи с NSA във връзка с установените нарушения.

Но детайлите от това решение станаха ясни в петък, когато Белият дом отрече да е имал предварителна информация за проблема Heartbleed – една наскоро открита пробойна в интернет сигурността. Изявлението на Белия дом гласи, че в случай на подобни проблеми те ще бъдат разкривани на компютърните и софтуерните инженери, така че да може да се създаде бързо и ефективно решение както за индустрията, така и потребителите.

Досега Белият дом отказваше коментар относно това кои действия на Обама са следствие от препоръките на Консултативния комитет на президента за дейността на NSА. Миналия месец държавният глава обяви, че ще сложи край на събирането на лични данни, оставяйки тази информация в ръцете на телекомуникационните компании.

Но докато препоръките за наблюдението бяха забележителни, други, посветени на криптирането и кибер операциите, доведоха до изключително гръмки дебати.

Един от изводите призовава NSA да спре да отслабва криптирането на търговските системи и да се опитва да си оставя вратички, които биха ѝ помогнали да дешифрира разговорите на американските врагове. Според комитета подобни практики сриват доверието в американските софтуерни и хардуерни продукти. През последните месеци компаниите от Силициевата долина призоваха САЩ да се откажат от всичко това, докато Германия, Бразилия и много други държави заявиха, че обмислят възможността да избягват ползването на американско компютърно оборудване и софтуер.

В центъра на тези технологии има различни видове скрити пропуски в интернет сигурността, почти винаги създадени по грешка или от недоглеждане. Същият е случаят и с Heartbleed. Няма доказателства, че NSA има някакви роля в създаването на този пробив, нито пък, че се е възползвала от него, а в петък Белият дом отрече да е знаел за него.

Но документите, разкрити от бившия служител на NSA Едуард Сноудън, показват, че две години преди светът да научи за Heathbleed, агенцията е търсила начини да осъществи това, което недостатъкът направи съвсем случайно. Програма с кодово име Bullrun е била част от дългогодишните опити за разбиване или заобикаляне на криптирането в интернет. От документите обаче не става ясно доколко опитите с нея са били успешни.

Друга препоръка призова правителството да използва само в крайни случаи това, което хакерите наричат "нулеви дни" - недостатъци в кодирането на софтуер като Microsoft Windows, които дават достъп на хакерите до всеки компютър.

Американското правителство се е превърнало и в един от най-големите купувачи на информация чрез „нулевите дни“. Тези недостатъци са се превърнали в огромен бизнес. От своя страна Microsoft плаща до 150 000 долара на всеки, който открие такива и сигнализира на компанията за тях.

Киберданните ще се превръщат във все по-голямо и по-голямо оръжие, твърди Майкъл Десезар, който ръководи операциите по компютърната сигурност на Intel Corporation.

От своя страна Президентската консултативна комисия твърди, че президентът трябва да бъде убеден, че NSA не проектира „уязвими места“ в системите за криптиране. Освен това посочва, че ако САЩ намерят „нулеви дни“, те трябва да ги поправят, а не да ги използват.