¿Debería el gobierno seguir acumulando errores de software?

Los altos mandos de la comunidad de inteligencia de EE. UU. mantienen la boca cerrada sobre las vulnerabilidades del software.





A medida que se asienta el polvo del ataque global de ransomware que ha paralizado los sistemas en más de 150 países desde el viernes, el oscuro proceso del gobierno de EE. UU. para recopilar y divulgar vulnerabilidades de software está nuevamente bajo escrutinio.

Hay mucha culpa por la escala y la eficacia del ataque, en el que un virus ransomware llamado WannaCry, así como WannaCrypt y Wanna Decryptor, explotaron una vulnerabilidad en Windows XP. Por un lado, Microsoft dejó de dar soporte a esa versión de su sistema operativo en 2014 , por lo que cualquier persona que usara el software obsoleto se estaba arriesgando. (Una vez que Microsoft se dio cuenta de que se estaba explotando la vulnerabilidad, lanzó rápidamente una solución para el error, un paso inusual para un software tan antiguo).

Brad Smith, presidente y principal asesor legal de Microsoft, dijo que el gobierno también tenía la culpa, ya que parece que los atacantes usaron un exploit que fue robado de la NSA por un grupo llamado Shadow Brokers. en un entrada en el blog , criticó la práctica de almacenar vulnerabilidades. Necesitamos que los gobiernos consideren el daño a los civiles que proviene del acaparamiento de estas vulnerabilidades y el uso de estos exploits, escribió.



El gobierno de EE. UU. cuenta con un sistema para sopesar los riesgos de revelar una vulnerabilidad de software crítica o mantenerla en secreto. Pero muy poco se sabe públicamente sobre cómo funciona el llamado Proceso de Equidad de Vulnerabilidades (VEP). Los defensores de la privacidad han pedido durante mucho tiempo una mayor transparencia, con un éxito modesto.

Se cree que el VEP existe desde 2010, pero permaneció en secreto hasta 2014, cuando el casa Blanca y Director de Inteligencia Nacional cada uno emitió declaraciones negando una Bloomberg reporte que la NSA conocía desde hace años y utilizaba una vulnerabilidad generalizada en la forma en que se encripta la comunicación a través de Internet llamada Heartbleed. Michael Daniel, coordinador de seguridad cibernética del presidente Obama, afirmó que la administración había establecido un proceso de toma de decisiones disciplinado, riguroso y de alto nivel para la divulgación de vulnerabilidades.

Si el gobierno federal debe ocultar o no el conocimiento de tales vulnerabilidades puede parecer claro para algunos, Daniel dijo en ese momento , pero la realidad es mucho más complicada. Revelar una vulnerabilidad podría hacer que EE. UU. renuncie a la oportunidad de recopilar inteligencia crucial que podría frustrar un ataque terrorista, dijo. No obstante, el proceso de toma de decisiones del gobierno estuvo sesgado hacia la divulgación responsable de la vulnerabilidad.



En enero de 2016, gracias a una demanda de la Ley de Libertad de Información presentada por Electronic Frontier Foundation, el gobierno publicó un documento parcialmente redactado documento explicando el PEV. No quedó claro exactamente cómo se toma una decisión, quién la toma y cuántas vulnerabilidades secretas tiene el gobierno en su poder. jason healey , investigador de la Universidad de Columbia y miembro sénior del Atlantic Council, recientemente estimado que el número está en las docenas.

Los acontecimientos recientes han planteado dudas de que el sistema esté realmente sesgado hacia la divulgación, como afirmó Daniel. en un trabajo de investigación reciente , Healey concluyó, basándose en entrevistas y declaraciones públicas del gobierno sobre el VEP, que la NSA seguramente debería haber revelado las vulnerabilidades en una filtración anterior de Shadow Brokers a las empresas afectadas, incluidas Cisco, Juniper y Fortinet. El FBI también debería haberle dicho a Apple sobre la vulnerabilidad que usó para acceder al iPhone de uno de los tiradores en los ataques terroristas de San Bernardino el año pasado, escribió Healey.

Desafortunadamente, la perspectiva de una mayor transparencia, y la rendición de cuentas que traería consigo, no parece estar próxima. El VEP está controlado por el poder ejecutivo del gobierno federal, sin supervisión pública. A menos que la administración Trump decida cambiar eso, es probable que permanezcamos en la oscuridad. Hasta el próximo gran ciberataque, eso es.



esconder