שקיפות או החלפת מלאים? ה-NSA רוצה לשתף עוד חולשות עם הציבור
מדוע ויתר הNSA, ארגון הביון האמריקאי, על חולשה שמאפשרת לו דלת כניסה לכל מערכת של מיקרוסופט בעולם?
עמי רוחקס דומבה
| 16/01/2020
https://twitter.com/NSAGov
פרסום החולשה במערכת WIN10 על ידי הNSA, שירות הביון האמריקאי, חושפת שאלה: האם מדובר בהחלפת מלאים של חולשות בשירות הביון או במעבר לפעולה שקופה יותר מול הציבור? לכאורה, החולשה שהתגלה שוברת את תפיסת ההצפנה מבוססת התעודות , PKI, ומאפשרת לNSA להתקין מה שהיא רוצה על מחשבים ושרתים מבוססי מוצרי מיקרוסופט. החולשה פוגעת גם בהצפנה של דפדפן כרום שמסתמך על אימות תעודות באמצעות המנגנון של מיקרוסופט.
מכאן, פלוני יכול לתהות מדוע ששירות ביון שמטרתו איסוף מודיעין יוותר על 'ביצת זהב' כזו במרחב הסייבר. ובכן, אחת התזות טוענת כי השירות הבין ששירות ביון אחר עלה על החולשה, ובכך חושף את הNSA עצמו למתקפות מבחוץ וכן את כלל המשק האמריקאי. ידיעה כזו, אם התזה נכונה, לא השאירה לשירות ברירה אלא לשרוף את החולשה.
לצדה, טוען הבלוגר בריאן קרבס כי מדובר בהתחלה של תכנית חשיפת חולשות מצד הNSA תחת השם "Turn a New Leaf". לפי הפרסום, "התכנית מכוונת להנגיש יותר מחקרי חולשות של הסוכנות לספקי תוכנה גדולים ובסופו של דבר לציבור." דברים אלו מצטרפים לדיונים בקהילה הביטחונית בארה"ב בחודשים האחרונים סביב שינוי מדיניות לגבי שימוש בחולשות. המטרה היא לגבש מדיניות סדורה בארה"ב מתי ניתן להשתמש בחולשה לטובת איסוף מודיעין ותקיפה, ומתי יש לשחרר אותה לציבור.
בכל מקרה, התשובה אינה ברורה לגבי מהות ההחלטה של הNSA. אין היגיון בשירות ביון שמוותר על כלי איסוף כזה, אלא אם כן הנזק הפוטנציאלי שלו בידי מישהו אחר גדול מהתועלת שהוא מביא לביטחון הלאומי האמריקאי.
מדוע ויתר הNSA, ארגון הביון האמריקאי, על חולשה שמאפשרת לו דלת כניסה לכל מערכת של מיקרוסופט בעולם?
https://twitter.com/NSAGov
פרסום החולשה במערכת WIN10 על ידי הNSA, שירות הביון האמריקאי, חושפת שאלה: האם מדובר בהחלפת מלאים של חולשות בשירות הביון או במעבר לפעולה שקופה יותר מול הציבור? לכאורה, החולשה שהתגלה שוברת את תפיסת ההצפנה מבוססת התעודות , PKI, ומאפשרת לNSA להתקין מה שהיא רוצה על מחשבים ושרתים מבוססי מוצרי מיקרוסופט. החולשה פוגעת גם בהצפנה של דפדפן כרום שמסתמך על אימות תעודות באמצעות המנגנון של מיקרוסופט.
מכאן, פלוני יכול לתהות מדוע ששירות ביון שמטרתו איסוף מודיעין יוותר על 'ביצת זהב' כזו במרחב הסייבר. ובכן, אחת התזות טוענת כי השירות הבין ששירות ביון אחר עלה על החולשה, ובכך חושף את הNSA עצמו למתקפות מבחוץ וכן את כלל המשק האמריקאי. ידיעה כזו, אם התזה נכונה, לא השאירה לשירות ברירה אלא לשרוף את החולשה.
לצדה, טוען הבלוגר בריאן קרבס כי מדובר בהתחלה של תכנית חשיפת חולשות מצד הNSA תחת השם "Turn a New Leaf". לפי הפרסום, "התכנית מכוונת להנגיש יותר מחקרי חולשות של הסוכנות לספקי תוכנה גדולים ובסופו של דבר לציבור." דברים אלו מצטרפים לדיונים בקהילה הביטחונית בארה"ב בחודשים האחרונים סביב שינוי מדיניות לגבי שימוש בחולשות. המטרה היא לגבש מדיניות סדורה בארה"ב מתי ניתן להשתמש בחולשה לטובת איסוף מודיעין ותקיפה, ומתי יש לשחרר אותה לציבור.
בכל מקרה, התשובה אינה ברורה לגבי מהות ההחלטה של הNSA. אין היגיון בשירות ביון שמוותר על כלי איסוף כזה, אלא אם כן הנזק הפוטנציאלי שלו בידי מישהו אחר גדול מהתועלת שהוא מביא לביטחון הלאומי האמריקאי.
