EFF подал в суд на АНБ за неразглашение 0day-уязвимостей
Фонд электронных рубежей (EFF) подал иск против Агентства национальной безопасности США.EFF требует, в соответствии с Законом о свободе информации, опубликовать документы с описанием правил, которыми руководствуется правительство в принятии решений о рассекречивании информации о компьютерных уязвимостей.
Вполне вероятно, что иск будет удовлетворён, поскольку в точности соответствует параграфу 552 Закона о свободе информации, в части «общественной важности» рассекречиваемой информации. В этом случае он станет первым шагом в подготовке процесса публичного обсуждения деятельности АНБ.
Агентство ранее уже косвенно дало понять, что при определённых условиях не разглашает информацию о 0day-уязвимостях, используя их для сбора разведданных в целях национальной безопасности.Юристы EFF заявили позицию, что скрытие информации об уязвимостях приводит к тому, что пользователи оказываются беззащитны перед хакерами и разведслужбами других стран.
Таким образом, как только АНБ официально признается, что скрывает 0day-уязвимости для собственных нужд, сразу может последовать новый иск от тех, кто реально пострадал из-за этих незакрытых уязвимостей по вине АНБ.
«Создан процветающий мировой рынок, на котором многие покупатели, в том числе государственные агентства США и иностранные правительства, покупают 0day-уязвимости, — сказано в исковом заявлении EFF. — Условия сделки на этом рынке обычно требуют, чтобы продавец отказался от разглашения информации об уязвимости третьим лицам. После этого покупатель принимает решение, каким образом он воспользуется полученной информацией».
В исковом заявлении упоминается известная уязвимость Heartbleed в библиотеке OpenSSL. Есть основания полагать, что АНБ знало об этой уязвимости практически с самого начала, то есть с её внедрения в OpenSSL два с половиной года назад. По крайней мере, известно, что в АНБ работают специальные отделы по поиску багов в Open Source проектах. Штат этих отделов превышает количество добровольцев, работающих над улучшением безопасности Open Source проектов.