211service.com
Bör regeringen fortsätta att lagra programvarubuggar?

Toppen i den amerikanska underrättelsetjänsten håller käften om mjukvarusårbarheter.
När dammet lägger sig från den globala ransomware-attacken som har förlamat system i mer än 150 länder sedan i fredags, granskas den amerikanska regeringens skumma process för att samla in och avslöja sårbarheter i mjukvara igen.
Det finns massor av skuld att gå runt för attackens omfattning och effektivitet, där ett ransomware-virus kallat WannaCry—liksom WannaCrypt och Wanna Decryptor—exploaterade en sårbarhet i Windows XP. För det första slutade Microsoft att stödja den versionen av sitt operativsystem under 2014 , så alla som använde den föråldrade programvaran tog en risk. (När Microsoft väl var medveten om att sårbarheten utnyttjades, släppte den snabbt en fix för buggen – ett ovanligt steg för så gammal programvara.)
Brad Smith, Microsofts president och chefsjurist, sa att regeringen också var skyldig, eftersom det verkar som att angriparna använde en exploatering som stals från NSA av en grupp som heter Shadow Brokers. I en blogginlägg , kritiserade han bruket att lagra sårbarheter. Vi behöver regeringar att överväga skadorna på civila som kommer från att hamstra dessa sårbarheter och användningen av dessa bedrifter, skrev han.
Den amerikanska regeringen har ett system på plats för att väga riskerna med att antingen avslöja en kritisk sårbarhet i programvaran eller hålla den hemlig. Men mycket lite förstås offentligt om hur den så kallade Vulnerabilities Equities Process (VEP) fungerar. Sekretessförespråkare har länge efterlyst större transparens, med endast blygsam framgång.
VEP tros ha funnits sedan 2010, men förblev en hemlighet fram till 2014, då vita huset och Direktör för National Intelligence varje släppt uttalanden som förnekar en Bloomberg Rapportera att NSA i åratal känt till och använt en utbredd sårbarhet i hur kommunikation över Internet krypteras som kallas Heartbleed. Michael Daniel, president Obamas cybersäkerhetssamordnare, hävdade att administrationen hade upprättat en disciplinerad, rigorös och högnivå beslutsprocess för att avslöja sårbarhet.
Huruvida den federala regeringen bör undanhålla kunskap om sådana sårbarheter kan tyckas vara klart för vissa, Daniel sa då , men verkligheten är mycket mer komplicerad. Att avslöja en sårbarhet kan få USA att avstå från en möjlighet att samla in avgörande underrättelser som kan motverka en terroristattack, sa han. Icke desto mindre var regeringens beslutsprocess partisk mot att ansvarsfullt avslöja sårbarheten.
I januari 2016, tack vare en Freedom of Information Act-process av Electronic Frontier Foundation, släppte regeringen en delvis redigerad dokumentera förklarar VEP. Det lämnade oklart exakt hur ett beslut fattas, vem som fattar det och hur många hemliga sårbarheter regeringen har i sin ägo. Jason Healey , en forskare vid Columbia University och senior fellow vid Atlantic Council, nyligen beräknad att antalet är i dussintal.
Den senaste tidens händelser har väckt tvivel om att systemet verkligen är partiskt mot avslöjande, som Daniel påstod. I en färsk forskningsartikel , drog Healey slutsatsen, baserat på intervjuer och offentliga uttalanden från regeringen om VEP, att NSA nästan säkert borde ha avslöjat sårbarheterna i en tidigare läcka från Shadow Brokers till berörda företag, inklusive Cisco, Juniper och Fortinet. FBI borde också ha berättat för Apple om sårbarheten de använde för att komma åt iPhone från en av skyttarna i terrorattackerna i San Bernardino förra året, skrev Healey.
Tyvärr verkar inte utsikterna till bättre insyn – och den ansvarsskyldighet som skulle föra med sig – vara ute. VEP kontrolleras av den verkställande grenen av den federala regeringen, utan offentlig tillsyn. Om inte Trump-administrationen bestämmer sig för att ändra på det, kommer vi sannolikt att förbli i mörkret. Tills nästa stora cyberattack, alltså.