211service.com
Moet de overheid softwarebugs blijven aanleggen?

De topmensen in de Amerikaanse inlichtingengemeenschap houden hun mond over softwarekwetsbaarheden.
Terwijl het stof is neergedaald van de wereldwijde ransomware-aanval die sinds vrijdag systemen in meer dan 150 landen heeft verlamd, wordt het schimmige proces van de Amerikaanse regering voor het verzamelen en openbaar maken van softwarekwetsbaarheden opnieuw onder de loep genomen.
Er is genoeg schuld voor de omvang en effectiviteit van de aanval, waarbij een ransomware-virus genaamd WannaCry, evenals WannaCrypt en Wanna Decryptor, misbruik maakte van een kwetsbaarheid in Windows XP. Om te beginnen stopte Microsoft met het ondersteunen van die versie van zijn besturingssysteem in 2014 , dus iedereen die de verouderde software gebruikte, nam een risico. (Toen Microsoft wist dat het beveiligingslek werd misbruikt, bracht het snel een oplossing voor de bug uit - een ongebruikelijke stap voor dergelijke oude software.)
Brad Smith, de president en belangrijkste juridisch adviseur van Microsoft, zei dat de overheid ook de schuld kreeg, omdat het lijkt alsof de aanvallers een exploit hebben gebruikt die van de NSA is gestolen door een groep genaamd Shadow Brokers. In een blogpost , bekritiseerde hij de praktijk van het aanleggen van voorraden kwetsbaarheden. We hebben regeringen nodig die rekening houden met de schade aan burgers die voortkomt uit het oppotten van deze kwetsbaarheden en het gebruik van deze exploits, schreef hij.
De Amerikaanse overheid heeft een systeem om de risico's af te wegen van het onthullen van een kritieke softwarekwetsbaarheid of het geheim houden ervan. Maar er is publiekelijk weinig bekend over hoe het zogenaamde Vulnerabilities Equities Process (VEP) werkt. Voorstanders van privacy pleiten al lang voor meer transparantie, met slechts bescheiden succes.
De VEP bestaat vermoedelijk sinds 2010, maar bleef geheim tot 2014, toen de witte Huis en Directeur van de nationale inlichtingendienst elke vrijgegeven verklaringen ontkennen een Bloomberg verslag doen van dat de NSA al jaren op de hoogte was van en gebruik maakte van een wijdverbreide kwetsbaarheid in de manier waarop communicatie via internet wordt versleuteld, genaamd Heartbleed. Michael Daniel, de cyberbeveiligingscoördinator van president Obama, beweerde dat de regering een gedisciplineerd, rigoureus en hoogstaand besluitvormingsproces had opgezet voor het openbaar maken van kwetsbaarheden.
Of de federale overheid al dan niet kennis van dergelijke kwetsbaarheden moet achterhouden, lijkt voor sommigen duidelijk, Daniel zei destijds , maar de realiteit is veel gecompliceerder. Het onthullen van een kwetsbaarheid kan ertoe leiden dat de VS afzien van een kans om cruciale informatie te verzamelen die een terroristische aanslag zou kunnen dwarsbomen, zei hij. Desalniettemin was het besluitvormingsproces van de overheid gericht op het op verantwoorde wijze onthullen van de kwetsbaarheid.
In januari 2016 heeft de regering, dankzij een rechtszaak tegen de Freedom of Information Act door de Electronic Frontier Foundation, een gedeeltelijk geredigeerd document uitleg van de VEP. Het liet onduidelijk hoe een besluit precies wordt genomen, wie het maakt en hoeveel geheime kwetsbaarheden de overheid in haar bezit heeft. Jason Healey , een onderzoeker aan de Columbia University en senior fellow bij de Atlantic Council, onlangs geschatte dat het aantal in de tientallen loopt.
Recente gebeurtenissen hebben twijfel doen rijzen dat het systeem inderdaad bevooroordeeld is in de richting van openbaarmaking, zoals Daniel beweerde. In een recente onderzoekspaper , concludeerde Healey op basis van interviews en openbare verklaringen van de regering over de VEP dat de NSA vrijwel zeker de kwetsbaarheden in een eerder lek van Shadow Brokers aan getroffen bedrijven, waaronder Cisco, Juniper en Fortinet, had moeten onthullen. De FBI had Apple ook moeten vertellen over de kwetsbaarheid die het gebruikte om toegang te krijgen tot de iPhone van een van de schutters bij de terroristische aanslagen in San Bernardino vorig jaar, schreef Healey.
Helaas lijkt het vooruitzicht op betere transparantie - en de aansprakelijkheid die daarmee gepaard gaat - niet te komen. De VEP wordt gecontroleerd door de uitvoerende macht van de federale overheid, zonder publiek toezicht. Tenzij de regering-Trump besluit om dat te veranderen, zullen we waarschijnlijk in het ongewisse blijven. Tot de volgende grote cyberaanval tenminste.