Az amerikai titkosszolgálatok (vissza)élnek a szoftverek biztonsági réseivel
Egy résztvevő feliratot tart a magasba az Edward Snowden melletti szimpátiatüntetésen, Hongkongban 2013 júniusában | Fotó: Dreamstime.com/Mike Kwok
Obama elnök környezetéből (Michael Daniel, a Fehér Ház szóvivője) elismerték, hogy az Egyesült Államok számos újonnan felfedezett online biztonsági rést titokban tart, hogy azokat kémkedésre használhassa fel. Meghatározott kritériumok alapján döntik el, hogy adott esetben „éljenek-e” a kémkedési lehetőséggel.
Nyilván az USA kormányának és gazdaságának is érdeke, hogy az internet biztonságos legyen. Ebből az következne, hogy a biztonságot veszélyeztető szoftveres és egyéb technológiai hibákat azonnal nyilvánosságra hozzák annak érdekében, hogy az érdekeltek védekezhessenek ellenük.
Ha azonban az amerikai kormány így tenne, akkor elesne attól a lehetőségtől, hogy a feltárt, de titokban tartott gyenge pontok kihasználásával a tengerentúli titkosszolgálatok kémtevékenységet folytassanak.
Ha az adott technológia elterjedt, és ezért a biztonsági hiányosságok sok amerikai vállalatot vagy az ország biztonsági szolgálatait is érintik, akkor a gyakorlat szerint – állítólag – inkább felhívják a figyelmet azokra. A Fehér Ház ugyanakkor hangsúlyozta, hogy itt egy rendkívül szigorú eljárás előzi meg a döntést arról, hogy mely biztonsági hibákat hozzák azonnal nyilvánosságra, és melyeket csak egy bizonyos idő után.
A kritikusok éppen ebben látják a problémát, hiszen nem ismert, ki hozza meg a határozatot és pontosan milyen kritériumok alapján. Az USA kormánya tehát mindenféle átláthatóság nélkül kéri az állampolgárok bizalmát.
A téma a New York Times szerint a Nemzetbiztonsági Ügynökségen (NSA) és a védelmi minisztériumon (Pentagon) belül is vitát váltott ki. A titkosszolgálatok azzal érvelnek, hogy a „zero-day vulnerabilities”* nem-kihasználása egyoldalú leszereléssel érne fel, hiszen a lehetséges ellenfelek is kihasznánák. Nem szabad hasznos fegyvert önként kiadni a kezünkből – mondják. Cserébe az is vállalható, hogy rövid időre a saját infrastruktúrát is veszélynek teszik ki. Arra ugyanis nincs garancia, hogy ezzel a fegyverrel csak az amerikai hatóságok élnek.
Ezzel kiderült, hogy Edward Snowden, az NSA egykori munkatársa által ez ügyben kiszivárogtatott információk igazak. A Snowden által megszellőztetett dokumentumokból azonban azt is tudjuk, hogy az USA hatóságainak figyelme egyáltalán nemcsak az állam potenciális ellenségeire terjed ki.
* Zero-day vulnerability (tükörfordításban: nulladik napi biztonsági rés): Ez a fogalom arra az állapotra utal, amikor egy számítógépes alkalmazás esetében már felfedezték a biztonsági rést, azonban annak a létezésére még nem hívták fel a közvélemény figyelmét, a létezését nem hozták nyilvánosságra.