Агентство Национальной Безопасности США опубликовало на своем официальном сайте интересную инфографику. Согласно официальным данным, АНБ раскрывает данные лишь о 91% уязвимостей, остальные 9% либо ожидают исправления от производителей, либо попросту утаиваются из «соображений национальной безопасности».
Похоже, АНБ пытается отстоять свою репутацию и весьма спорную политику раскрытия данных об уязвимостях. Агентство приоткрыло завесу тайны и сообщило, что «Правительство США очень серьезно относится к своему долгу по поддержанию открытого, интероперабельного, безопасного и надежного интернета». АНБ признает, что, как правило, раскрытие данных об уязвимостях оправдано и имеет смысл.
Публикация уверяет, что именно так Агентство и поступает в большинстве случаев. Но порой случаются и исключения. Так, АНБ поясняет, что раскрытие данных о некоторых багах, может привести к упущенным возможностям: к примеру, не удастся перехватить какие-либо данные иностранной разведки, которые можно было бы использовать для предотвращения терактов.
Таким образом, АНБ раскрывает информацию о 91% уязвимостей, но некоторые опасные баги «придерживает», пока их не исправят вендоры, или до тех пор, пока баг продолжает приносить пользу самому АНБ.
91%, конечно, внушительная цифра, однако АНБ немного лукавит. Важно не только количество обнародованных багов, важно и когда они были обнародованы. Агентство уже ловили на применении совершенно неэтичной тактики: АНБ находит уязвимость, молча ее эксплуатирует, шпионит при помощи этого бага за людьми, а потом, собрав достаточно информации, делает заявление и раскрывает данные о баге. К тому же, не все эксплоиты одинаковы. Можно вовремя публиковать данные о различных мелких брешах, оставляя самые сочные 0day себе, эксплуатируя их годами.
Фото: EFF Photos