NSA kjøpte sårbarheter fra Vupen

Legitim form for våpenhandel, sier Vupen-sjefen.

Vupen-sjef Chaouki Bekrar ble kalt «Darth Vader of Cybersecurity» av en journalist. Han betrakter dette som en æresbevisning, og bruker Star Wars-skurken som emblem på sin Twitter-side. Bildet viser Darth Vader og Stormtroopers i aksjon i London 12. september 2011.
Vupen-sjef Chaouki Bekrar ble kalt «Darth Vader of Cybersecurity» av en journalist. Han betrakter dette som en æresbevisning, og bruker Star Wars-skurken som emblem på sin Twitter-side. Bildet viser Darth Vader og Stormtroopers i aksjon i London 12. september 2011. Bilde: REX/All Over Press
19. sep. 2013 - 07:47

Blant avsløringene i lekkasjene fra Edward Snowden er dokumentasjon for at NSA i 2011 brukte 25,1 millioner dollar på å kjøpe hittil ukjente programvaresårbarheter på gråmarkedet, hovedsakelig fra europeiske hackere.

    Les også:

Dette fikk MuckRock-bruker Heather Akers-Healy til å kreve utlevert, under henvisning til den amerikanske innsynsloven FOIA (Freedom of Information Act), alle avtaler inngått mellom NSA og et fransk IT-sikkerhetsselskap, Vupen, som er kjent blant annet for sine Pwn2own-bragder og for å ha oppdaget sårbarheter i Windows 8.

Dokumentene som MuckRock mottok, viser at NSA inngikk en avtale med Vupen, beskrevet som «Binary Analysis and Exploits Service». Avtalen er et abonnement med en løpetid på ett år fra 14. september 2012. Prisen og andre vesentlige detaljer er sladdet.

Hvorvidt avtalen er fornyet, er usikkert: En eventuell fornyelse hadde imidlertid vært omfattet av innsynskravet fra MuckRock. Det innebærer at dersom NSA har besvart innsiktsbegjæringen i henhold til lovens bokstav, hadde dokumenter om en eventuell fornyelse vært utlevert.

Vupen har aldri prøvd å hemmeligholde at salg av nulldagssårbarheter er vesentlig for deres forretningsmodell.

Produktet de solgte til NSA, «Binary Analysis & Exploits», averteres åpent på deres nettsted. Den mest eksklusive varianten, «BA for Governments & CERTs», er bare tilgjengelig for et svært begrenset antall kunder, nærmere bestemt offentlige institusjoner og politiorganer i land som er medlemmer eller partnere av Nato, Anzus (Australia, New Zealand, USA) eller Asean (Brunei, Filippinene, Indonesia, Kambodsja, Laos, Malaysia, Myanmar (Burma), Singapore, Thailand, Vietnam). Institusjoner med status som «offisielle CERT» (Computer Emergency Response Team) kvalifiserer også.

Vupens virksomhet ble omtalt i en artikkel i den franske avisen Le Monde – Hackers d’Etat, 20. februar 2013, tilgjengelig gjennom avisens elektroniske arkiv – lenge før Snowden kom med sine avsløringer. Her ble det redegjort for virksomheten til selskapet, og mer enn antydet at de hadde NSA og andre amerikanske statsorganer på kundelisten.

I twittermeldinger og e-post til blant annet Information Week etter MuckRocks avsløring, har Vupen-sjef Chaouki Bekrar aktivt forsvart handelen med nulldagssårbarheter som like legitim som annen våpenhandel, siden kundene er begrenset til politi og regjeringsorganer i land tilknyttet alliansene Nato, Anzus og Asean.

Bekrar har ikke kommentert at måten han formulerer sitt potensielle kundegrunnlag på, gjør at han må antas å betrakte også ikke-demokratiske land med ekstremt trykkende internettregime som legitime kunder, siden Asean omfatter Brunei, Kambodsja, Myanmar og Vietnam.

Innen Frankrike er det miljøer som betrakter Bekrar som en helt.

Fra en fortid som ung pirat og hacker i politiets søkelys har han blitt en bedriftsleder med internasjonalt anerkjent spisskompetanse innen kybersikkerhet. Tidligere etterretningsoffiser Eric Filliol, nåværende forskningsdirektør ved informatikkhøyskolen ESIEA (en av Frankrikes «grandes écoles») sier til Le Monde at Bekrar er en patriot og et teknologifyrtårn for landet. At Vupen selger til utlandet, er «flott, så får vi utenlandsk valuta». Filliol mener videre at dersom Frankrike hadde vist en mer forsonende holdning overfor unge hackere og pirater, så ville ikke landet hatt et så elendig kyberforsvar.

Bekrar sier videre at Vupen, i motsetning til for eksempel amerikanske Netragard og The Grugq (sørafrikaner bosatt i Thailand), ikke selger andre sårbarheter enn dem de selv utvikler. Grugq og Netragard derimot, mistenkes for å kjøpe opp sårbarheter andre har funnet, og selge dem videre til høystbydende.

En som har gått hardt ut mot Vupen og andre som selger sårbarheter til NSA, er Christopher Soghoian, IT-ekspert i borgerrettsorganisasjonen American Civil Liberties Union (ACLU).

Soghoian mener at den internasjonale handelen i sårbarheter er en uting, siden sårbarheter lett kan komme på avveier og brukes mot USA og andre demokratiske lands interesser. Han mener det er spesielt uheldig at NSA og andre amerikanske institusjoner deltar i dette markedet. Han mener NSAs motiv for å kjøpe sårbarheter i stedet for å holde seg til dem de finner selv, er at kjøpte sårbarheter gir dem en anledning til å nekte medvirkning dersom de skulle avsløres. Han forklarer at amerikanske spesialstyrker innimellom tyr til andreklassevåpen av typen AK47 av samme grunn.

Soghoian mener ellers å vite at Vupen har gitt (prestisjekunden) NSA 30 prosent rabatt. Han oppfordrer andre til å levere innsynsbegjæringer i NSA-kontrakter med blant annet teleselskapet Harris Corp.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.