The WannaCry Attack: Militarism Versus Grådighet

Fingerpeker over det nylige WannaCry ransomware-angrepet har begynt for alvor, og det mangler ikke på skyldige, selv om Nord-Korea er hovedfokuset. Men i skyldspelet har andre kandidater for kritikk dukket opp - ingen ringere enn NSA og Microsoft.

Å lede paraden av forståsegpåere, meningsmålinger og ledere med å kaste blikket mot NSA og dets spørsmål er Microsofts president, Brad Smith (som du kanskje forventer, gitt at det var Windows-datamaskiner som ble rammet i angrepet - mer om det senere).

NSAs "samle det hele" støtende, drevet av sin glupske informasjonslyst, førte til at den "lagret" programvaresvakheter. Da mistet den kontrollen over sine "våpen", mye til sorg og smed for Smith og andre. I likhet med sikkerheten over militærvåpen, som er nøye bevoktet, oppdaget Smith:

“Dette er et voksende mønster i 2017. Vi har sett sårbarheter som er lagret av CIA vises på WikiLeaks, og nå har dette sikkerhetsproblemet som ble stjålet fra NSA, påvirket kunder over hele verden. Gjentatte ganger har utnyttelser i hendene på regjeringer lekket ut i offentligheten og forårsaket omfattende skader. Et tilsvarende scenario med konvensjonelle våpen ville være at det amerikanske militæret har noen av sine Tomahawk-missiler stjålet. Og dette siste angrepet representerer en helt utilsiktet, men forvirrende kobling mellom de to alvorligste formene for trusler mot cybersikkerhet i verden i dag - nasjonalstatshandling og organisert kriminell handling.

Han gjør et poeng, men det fritar ikke Microsoft i dette rotet. I grunnen til problemet ligger den hemmelighetsfulle lagringen av svakheter i selskapenes systemer fra myndighetene, vanligvis uten å varsle selskapene det gjelder om disse feilene. Hvis de hadde gjort det, kunne Microsoft (i dette tilfellet) ha skrevet om programvaren for å rette opp problemet.

Dette er ikke tilfeldig, skal det bemerkes. Nei, det er en dedikert, samlet innsats for å holde tilbake verdifull informasjon fra private selskaper (og dermed offentligheten) i navnet på nasjonal sikkerhet. Dette initiativet har et navn - Vulnerable Equity Process (VEP).

VEP er ment å balansere fordelene som oppnås ved å holde en gitt programvaresårbarhet hemmelig, kontra den potensielle risikoen for hele verden. Dette ser forresten ut til å være et speilbilde av mindre formelle programmer, der regjeringen har nektet å forfølge overbevisning - og la gjerningsmennene gå - snarere enn å avsløre detaljer om dens hemmelighetsfulle omgang (særlig i Stingray-tilfellene). I disse tilfellene ville ikke myndighetene offentliggjøre informasjon om systemene, etter anmodning fra produsenten, Harris Corporation.

VEP er farligere, og problemet mer utbredt enn i tilfelle at Stingray-påtalemyndigheter mister anklager. Når byråer samler slike troves av informasjon, frister de skjebnen. Det er som en tikkende tidsbombe før informasjonen lekker ut til dårlige skuespillere. Det ser ut til at Washington nå er full av lekkasjer - kanskje mer enn noen gang.

Dette kan forklare WannaCry ransomware-angrep. Våre nasjons hemmelige holdere har ikke vært i stand til å holde våpnene deres trygge for slike som Shadow Brokers og Wikileaks.

Kongressmann i California, Ted Lieu (D-CA), og ba om lovverk for å adressere VEP-situasjonen, sa,

"Dagens verdensomspennende ransomware-angrep viser hva som kan skje når NSA eller CIA skriver skadelig programvare i stedet for å avsløre sårbarheten til programvareprodusenten."

Dette fordi byråenes verktøy ikke bare er blitt brutt og kooperert, men de er blitt våpenført mot viktige institusjoner globalt, inkludert sykehus, universiteter og selskaper.

Det er skyld nok i denne debakten til å gå rundt. NSA kan straffes for å oppdage sårbarheter i forskjellige versjoner av Windows og skrive programmer som lar amerikanske spioner trenge gjennom datamaskiner som kjører Microsofts operativsystem. Et slikt program, koden ETERNALBLUE, tillot WannaCry å spre seg like raskt og ukontrollerbart som det gjorde forrige uke. Nei, NSA opprettet ikke WannaCry, men uaktsomheten hennes tillot den å perkulere.

Deretter er Microsoft skyldig i at hun har tillatt millioner av brukere å bruke utdatert programvare (noen til 15 år), og ikke indikere at disse brukerne av gammel programvare vil være sårbare for de nye realitetene. Endelig kan vi ikke finne oss selv (dataleiere og IT-administratorer) skyldløse, for ikke å holde programvaren oppdatert.

Gitt Microsofts lune operativsystemer, skriving av usikre koder og slipp av støtte for eldre versjoner av Windows som fremdeles er mye brukt, er vår uaktsomhet forståelig. Og det samme gjør skylden.

Det er nærmest en dødelighet, for så vidt lovhåndhevelse og spiontyper ønsker å fortsette å utvikle våpen i skyggene, og selskaper som Microsoft ønsker å selge produkter, som betyr fremover og oppover, uten å være veldig oppmerksom på hva som gikk før. Kall det militarisme kontra gevinstmaksimering.

Hva er din mening? Hvor står du? Tror du at NSA overprioriterer utviklingsmidler for å avskrekke motstandere over personvern og sikkerhet for den vanlige borger? Eller tror du at pendelen har svingt for langt mot nasjonal sikkerhet for enhver pris? Et annet viktig spørsmål å ta stilling til: Bare hvor står den gjennomsnittlige innbygger i det som ser ut til å være et uendelig løp til bunns?

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me