Amerikanske NSA (National Security Agency) kunngjorde i slutten av forrige uke at etaten historisk sett har offentliggjort 91 prosent av alle sårbarhetene den har funnet.
Et utbredt antakelse er at dersom noen er i stand til å finne en sårbarhet i programvare, er sannsynligheten stor for også noen andre vil finne denne. Derfor sørger mange programvareleverandører raskt og systematisk for å fjerne sårbarheter som oppdages i deres produkter.
Men det er enkelte aktører som ikke alltid er like interessert i at sårbarheter blir fjernet. NSA er blant disse.
Leste du denne? Betalte løsepenger for å slippe DDoS. Så fortsatte angrepene
Dobbel rolle
Blant NSAs oppgaver er også det å bidra til at andre ikke kan utnytte sikkerhetshull i produkter som lages eller bruker i USA. Etaten har blant annet utviklet Security-Enhanced Linux (SELinux), en teknologi som blitt benyttet av blant annet Red Hat i en årrekke, for å øke sikkerheten.
Men kritiske røster har uttalt at de sårbarhetene NSA ikke offentliggjør – fordi de potensielt skal brukes i forbindelse med amerikansk sikkerhets- og etterretningsarbeid – dermed også potensielt kan utnyttes av andre makter til å angripe dem som NSA er satt til å beskytte.
Edward Snowdens avsløringer, samt oppdagelsen av faktiske kybervåpen som Stuxnet, har satt søkelyset på NSA høsting og offensive bruk av sårbarheter.
Les også: Fant spionvaren «Regin» på pc-en til sentral Merkel-medarbeider
Svar på kritikk
Hensikten med kunngjøringen til NSA er etter alt å dømme å svare på denne kritikken, ved å fortelle at den store majoriteten av sårbarhetene som NSA og andre, amerikanske etater finner, blir delt videre med leverandørene av de berørte produktene.
Hvor stor andel av de nevnte sårbarhetene som fortsatt kan være ukjente for andre enn amerikanske myndigheter, er likevel uklart. For inkludert i de ni gjenstående prosentene, er også sårbarheter som leverandøren har fjernet uten hjelp fra NSA, etter at NSA har fått vite om dem.
Prosess
I kunngjøringen skriver NSA at det egentlig er National Security Council (NSC) som styrer prosessen om hvorvidt sårbarheter skal røpes. I denne prosessen er det mange faktorer som skal vektes mot hverandre, inkludert nasjonens sikkerhet.
NSA var tidligere uavhengig av denne prosessen, men skal nå informere NSC om sine interne vurderinger.
Dette skyldes trolig endringer som Michael Daniel, Obama-administrasjonens koordinator for kybersikkerhet, har fått gjennomført de to siste årene, noe han antyder i et intervju med Reuters.
Angriper i nesten 50 land: IT-spioner skjuler seg bak sporløse satellittforbindelser