The WannaCry Attack: Militarism Versus Greed

Fingerpekande över den senaste WannaCry-ransomware-attacken har börjat på allvar, och det saknar inte för syndare, även om Nordkorea är huvudfokus. Men i skylle-spelet har andra kandidater för kritik dykt upp - ingen annan än NSA och Microsoft.

Att leda paraden av vitsord, opinionsundersökningar och chefer när de kastar blicken mot NSA och dess svårigheter är Microsofts president, Brad Smith (som du kan förvänta dig, med tanke på att det var Windows-datorer som drabbades i attacken - mer om det senare).

NSA: s "samla allt" stötande, drivet av sin glupiga aptit på information, ledde till att det "lagra" mjukvarusvagheter. Den tappade sedan kontrollen över sina "vapen", mycket till Smiths och andras sorg. Liknande situationen till säkerhet över militära vapen, som är noggrant bevakad, opinerade Smith:

”Detta är ett växande mönster under 2017. Vi har sett att sårbarheter lagrade av CIA dyker upp på WikiLeaks, och nu har denna sårbarhet som stulits från NSA påverkat kunder runt om i världen. Upprepade gånger har exploater i regeringarnas händer läckt ut i allmänheten och orsakat omfattande skador. Ett likvärdigt scenario med konventionella vapen är den amerikanska militären som har några av sina Tomahawk-missiler stulna. Och den här senaste attacken representerar en helt oavsiktlig men otydlig koppling mellan de två allvarligaste formerna av cybersäkerhetshot i världen idag - nationstatsåtgärder och organiserad kriminell handling. ”

Han gör en poäng, men det försvårar inte Microsoft i det här röran. I grunden till problemet ligger den hemliga lagringen av svagheter i företagens system av myndigheterna, vanligtvis utan att varna de aktuella företagen om dessa brister. Om de hade gjort det, kunde Microsoft (i det här fallet) ha skrivit om sin programvara för att åtgärda problemet.

Detta är inte av händelse, bör det noteras. Nej, det är en dedikerad, samordnad insats för att hålla värdefull information från privata företag (och därmed allmänheten) i nationell säkerhet. Detta initiativ har ett namn - Vulnerable Equity Process (VEP).

VEP är tänkt att balansera fördelarna som uppnås genom att hålla en viss mjukvarufarlighet hemlig, mot de potentiella riskerna för världen i stort. Detta verkar förresten vara en spegelbild av mindre formella program, där regeringen har vägrat att förfölja övertygelser - och låt förövarna gå - snarare än att avslöja detaljer om dess hemliga affärer (särskilt i Stingray-fallen). I dessa fall skulle regeringen inte lämna ut information om systemen, i enlighet med tillverkaren, Harris Corporation.

VEP är farligare och problemet är mer utbrett än när Stingray åklagare tappar anklagelser. När byråer samlar in sådana informationskroppar frestar de ödet. Det är som en tickande tidsbombe innan informationen läcker till dåliga skådespelare. Det verkar som om Washington nu har läckor - kanske mer än någonsin.

Detta kan förklara WannaCry-ransomware-attacken. Våra nationers hemlighetsbevakare har inte kunnat skydda sina vapen från sådana som Shadow Brokers och Wikileaks.

Kaliforniens kongressmedlem Ted Lieu (D-CA), som kräver lagstiftning för att ta itu med VEP-situationen,

"Dagens globala ransomware-attack visar vad som kan hända när NSA eller CIA skriver skadlig programvara istället för att avslöja programvaruproducentens sårbarhet."

Detta beror på att byråns verktyg inte bara har brutits och samordnats, utan de har vapenats mot viktiga institutioner globalt, inklusive sjukhus, universitet och företag.

Det är tillräckligt med skylden i detta debakel att gå runt. NSA är skyldig att påverka att upptäcka sårbarheter i olika versioner av Windows och skriva program som tillåter amerikanska spioner att penetrera datorer som kör Microsofts operativsystem. Ett sådant program, kod med namnet ETERNALBLUE, tillät WannaCry att sprida sig så snabbt och okontrollerat som det gjorde förra veckan. Nej, NSA skapade inte WannaCry, men dess vårdslöshet gjorde det möjligt att kolla sig.

Därefter är Microsoft skyldig för att ha tillåtit miljontals användare att använda föråldrad programvara (en del till 15 år) och inte ange att dessa användare av gammal programvara skulle vara sårbara för de nya verkligheten. Slutligen kan vi inte hitta oss själva (datorägare och IT-administratörer) skyldiga för att vi inte håller programvaran uppdaterad.

Med tanke på Microsofts luddiga operativsystem, dess skrivning av osäkra koder och dess tappning av stöd för äldre versioner av Windows som fortfarande används i stor utsträckning, är vår vårdslöshet förståelig. Och så går skyltspelet.

Det är nästan ett dödläge, i den mån brottsbekämpande och spiontyper vill fortsätta att utveckla vapen i skuggorna, och företag som Microsoft vill sälja produkter, vilket betyder framåt och uppåt, utan att ägna stor uppmärksamhet åt det som gick tidigare. Kall det militarism kontra vinstmaksimering.

Vad är din åsikt? Var står du? Tror du att NSA överprioriterar utvecklingsmedel för att avskräcka motståndare över den vanliga medborgarnas integritet och säkerhet? Eller tror du att pendeln har svängt för långt mot nationell säkerhet till varje pris? En annan viktig fråga att tänka på: precis var står den genomsnittliga medborgaren i vad som verkar vara en oändlig ras till botten?

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me