WannaCry-angrebet: Militarisme versus grådighed

Fingerpegning over det nylige WannaCry ransomware-angreb er begyndt for alvor, og det mangler ikke på skyldige, selvom Nordkorea er hovedfokus. Men i skyldspelet er der kommet andre kandidater til kritik - ingen anden end NSA og Microsoft.


Førende paraden af ​​forståsegpåere, meningsmålinger og ledere med at kaste deres blik på NSA og dets fortid er Microsofts præsident, Brad Smith (som du kunne forvente, i betragtning af at det var Windows-computere, der blev ramt i angrebet - mere om det senere).

NSA's "indsamle det hele" stødende, drevet af sin voldelige appetit på information, førte til, at det "lagrede" softwaresvagheder. Derefter mistede den kontrollen over sine “våben”, meget til Smiths og andres sorg. Ved at lide situationen med sikkerhed over militært våben, der er omhyggeligt bevogtet, opinerede Smith:

”Dette er et voksende mønster i 2017. Vi har set, at sårbarheder, der er gemt af CIA, dukker op på WikiLeaks, og nu har denne sårbarhed, der er stjålet fra NSA, påvirket kunder over hele verden. Gentagne gange har udbytter i hænderne på regeringerne lækket ud i det offentlige rum og forårsaget omfattende skader. Et tilsvarende scenario med konventionelle våben ville være, at det amerikanske militær har nogle af dets Tomahawk-missiler stjålet. Og dette seneste angreb repræsenterer en fuldstændig utilsigtet, men foruroligende forbindelse mellem de to mest alvorlige former for cybersikkerhedstrusler i verden i dag - nationalstatshandling og organiseret kriminel handling. ”

Han gør et punkt, men det fordriver ikke Microsoft i dette rod. I roden til problemet ligger de hemmeligholdte lagre af svagheder i selskabers systemer fra regeringsorganerne, normalt uden at advare de pågældende virksomheder om disse mangler. Hvis de havde gjort det, kunne Microsoft (i dette tilfælde) have skrevet om sin software for at rette problemet.

Dette skal ikke ske, skal det bemærkes. Nej, det er en dedikeret, samordnet indsats for at tilbageholde værdifuld information fra private virksomheder (og dermed offentligheden) i national sikkerhed. Dette initiativ har et navn - Vulnerable Equity Process (VEP).

VEP er beregnet til at afbalancere fordelene opnået ved at holde en given softwaresårbarhed hemmelig mod de potentielle risici for hele verden. Dette ser for øvrig ud til at være et spejlbillede af mindre formelle programmer, hvorved regeringen har nægtet at forfølge overbevisning - og lade gerningsmændene gå - snarere end at afsløre detaljer om dens hemmeligholdte forhandlinger (især i Stingray-sagerne). I disse tilfælde ville regeringen ikke videregive oplysninger om systemerne efter anmodning fra producenten, Harris Corporation.

VEP er mere farligt og problemet mere udbredt end i tilfælde af, at Stingray-anklagere mister anklager. Når agenturer samler sådanne informationskremmer, frister de skæbnen. Det er som en tikkende tidsbombe, inden informationen lækker til dårlige skuespillere. Det ser ud til, at Washington nu er fyldt med lækager - måske mere end nogensinde.

Dette kan muligvis forklare WannaCry-ransomware-angrebet. Vores lands hemmeligholdere har ikke været i stand til at holde deres våben sikkert mod dem som Shadow Brokers og Wikileaks.

Californiens kongresmedlem Ted Lieu (D-CA), der opfordrer til lovgivning til løsning af VEP-situationen sagde,

"Dagens verdensomspændende ransomware-angreb viser, hvad der kan ske, når NSA eller CIA skriver malware i stedet for at afsløre sårbarheden for softwareproducenten."

Dette skyldes, at agenturernes værktøjer ikke kun er blevet brudt og koopereret, men de er blevet våben mod vigtige institutioner globalt, herunder hospitaler, universiteter og virksomheder.

Der er skyld nok i denne debakel til at gå rundt. NSA kan straffes for at gå på opdagelse af sårbarheder i forskellige versioner af Windows og skrive programmer, der tillader amerikanske spioner at trænge igennem computere, der kører Microsofts operativsystem. Et sådant program, kode kaldet ETERNALBLUE, gjorde det muligt for WannaCry at sprede sig så hurtigt og ukontrolleret som det gjorde i sidste uge. Nej, NSA oprettede ikke WannaCry, men dens uagtsomhed gjorde det muligt at percolere.

Dernæst er Microsoft skyldig i, at hun har tilladt millioner af brugere at bruge forældet software (nogle til melodien 15 år) og ikke angive, at disse brugere af gammel software ville være sårbare over for de nye realiteter. Endelig kan vi ikke finde os selv (computerejere og IT-administratorer) skyldløse for ikke at holde software opdateret.

I betragtning af Microsofts dårlige operativsystemer, dets skrivning af usikre koder og dets bortfald af support til ældre versioner af Windows, som stadig bruges vidt, er vores uagtsomhed forståelig. Og det gælder også skyldspil.

Det er næsten en dødvande, for så vidt retshåndhævelse og spiontyper ønsker at fortsætte med at udvikle våben i skyggerne, og virksomheder som Microsoft ønsker at sælge produkter, hvilket betyder videre og opad, uden at være meget opmærksomme på, hvad der gik før. Kald det militarisme kontra profitmaksimering.

Hvad er din mening? Hvor står du? Tror du, at NSA overprioriterer udviklingsmidler til at afskrække modstandere over for den almindelige borgeres privatliv og sikkerhed? Eller tror du, at pendelen har svinget for langt mod national sikkerhed for enhver pris? Et andet vigtigt spørgsmål at overveje: Hvor står den gennemsnitlige borger i, hvad der ser ud til at være en uendelig race til bunden?

Brayan Jackson Administrator
Candidate of Science in Informatics. VPN Configuration Wizard. Has been using the VPN for 5 years. Works as a specialist in a company setting up the Internet.
follow me