211service.com
Sollte die Regierung weiterhin Softwarefehler horten?

Die Spitzenpolitiker der US-Geheimdienste halten den Mund über Software-Schwachstellen.
Während sich der Staub des globalen Ransomware-Angriffs gelegt hat, der seit Freitag Systeme in mehr als 150 Ländern lahmgelegt hat, wird der düstere Prozess der US-Regierung zum Sammeln und Offenlegen von Software-Schwachstellen erneut unter die Lupe genommen.
Für das Ausmaß und die Effektivität des Angriffs, bei dem ein Ransomware-Virus namens WannaCry – ebenso wie WannaCrypt und Wanna Decryptor – eine Schwachstelle in Windows XP ausnutzte, gibt es viele Schuldzuweisungen. Zum einen hat Microsoft die Unterstützung dieser Version seines Betriebssystems eingestellt im Jahr 2014 , also ging jeder, der die veraltete Software verwendete, ein Risiko ein. (Sobald Microsoft bewusst wurde, dass die Schwachstelle ausgenutzt wurde, veröffentlichte es schnell eine Korrektur für den Fehler – ein ungewöhnlicher Schritt für eine so alte Software .)
Brad Smith, Präsident und Chefrechtsberater von Microsoft, sagte, die Regierung sei ebenfalls schuld, da die Angreifer anscheinend einen Exploit nutzten, der von einer Gruppe namens Shadow Brokers von der NSA gestohlen wurde. In einem Blogeintrag kritisierte er die Praxis, Schwachstellen zu horten. Wir brauchen Regierungen, die den Schaden für die Zivilbevölkerung berücksichtigen, der durch das Horten dieser Schwachstellen und die Nutzung dieser Exploits entsteht, schrieb er.
Die US-Regierung hat ein System eingerichtet, um die Risiken abzuwägen, die mit der Offenlegung oder Geheimhaltung einer kritischen Software-Schwachstelle verbunden sind. Aber sehr wenig wird öffentlich darüber verstanden, wie der sogenannte Vulnerabilities Equities Process (VEP) funktioniert. Datenschützer fordern seit langem mehr Transparenz, mit nur bescheidenem Erfolg.
Es wird angenommen, dass das VEP seit 2010 existiert, aber bis 2014 ein Geheimnis blieb, als die Weißes Haus und Direktor des Nationalen Geheimdienstes jede veröffentlichte Aussage, die a Bloomberg Prüfbericht dass die NSA seit Jahren eine weitverbreitete Schwachstelle in der Art und Weise, wie die Kommunikation über das Internet verschlüsselt wird, namens Heartbleed, kannte und nutzte. Michael Daniel, Cybersicherheitskoordinator von Präsident Obama, behauptete, die Regierung habe einen disziplinierten, strengen und hochrangigen Entscheidungsprozess für die Offenlegung von Schwachstellen eingerichtet.
Ob die Bundesregierung das Wissen über solche Schwachstellen zurückhalten sollte oder nicht, mag einigen klar erscheinen, Daniel sagte damals , aber die Realität ist viel komplizierter. Das Aufdecken einer Schwachstelle könnte dazu führen, dass die USA auf eine Gelegenheit verzichten, wichtige Informationen zu sammeln, die einen Terroranschlag vereiteln könnten, sagte er. Dennoch war der Entscheidungsprozess der Regierung darauf ausgerichtet, die Schwachstelle verantwortungsvoll offenzulegen.
Im Januar 2016 veröffentlichte die Regierung dank einer Klage nach dem Freedom of Information Act der Electronic Frontier Foundation eine teilweise redigierte dokumentieren Erklärung des VEP. Es blieb unklar, wie genau eine Entscheidung getroffen wird, wer sie trifft und wie viele geheime Schwachstellen die Regierung in ihrem Besitz hat. Jason Healey , ein Forscher an der Columbia University und Senior Fellow am Atlantic Council, kürzlich geschätzt dass die Zahl in die Dutzende geht.
Die jüngsten Ereignisse haben Zweifel daran aufkommen lassen, dass das System tatsächlich auf Offenlegung ausgerichtet ist, wie Daniel behauptete. In einem neuere Forschungsarbeit , kam Healey auf der Grundlage von Interviews und öffentlichen Äußerungen der Regierung über das VEP zu dem Schluss, dass die NSA mit ziemlicher Sicherheit die Schwachstellen in einem früheren Leak von Shadow Brokers an betroffene Unternehmen, darunter Cisco, Juniper und Fortinet, hätte offenlegen sollen. Das FBI hätte Apple auch über die Schwachstelle informieren sollen, die es nutzte, um auf das iPhone eines der Schützen bei den Terroranschlägen von San Bernardino im vergangenen Jahr zuzugreifen, schrieb Healey.
Leider scheint die Aussicht auf mehr Transparenz – und die damit verbundene Rechenschaftspflicht – nicht in Sicht zu sein. Die VEP wird von der Exekutive der Bundesregierung kontrolliert, ohne öffentliche Aufsicht. Wenn die Trump-Administration nicht beschließt, dies zu ändern, werden wir wahrscheinlich im Dunkeln bleiben. Bis zum nächsten großen Cyberangriff.