Новости – В мире












В мире
Корпорации получат дыры

Министр внутренней безопасности США Джанет Наполитано. Фото: dhs.gov, архив
Правительство США защитит крупный бизнес от уязвимостей и китайских хакеров
17 мая, 2013 11:12
2 мин
Правительство Соединенных Штатов планирует использовать секретную информацию об уязвимостях в программном обеспечении для защиты частных гражданских компаний, сообщает Reuters. С таким заявлением в среду выступила министр внутренней безопасности США Джанет Наполитано на саммите агентства Reuters по кибербезопасности в Вашингтоне. Раньше американские спецслужбы защищали от киберугроз только госструктуры и предприятия военно-промышленного комплекса.
Суть проекта министерства сводится к тому, чтобы найти способ делиться с частными компаниями секретной информацией об уязвимостях, не предавая ее при этом огласке. С этой целью военно-промышленные корпорации, уже имеющие доступ к информации (например, Raytheon и Northrop Grumman), а также интернет-провайдеры, согласившиеся принять участие в программе (пока что точно известно только об AT&T) будут предоставлять платные услуги фильтрации трафика, поступающего на серверы частных компаний.
Необходимость в такой многоступенчатой схеме возникла из-за того, что уязвимости, о которых идет речь, охраняются государственной тайной. «Дыры» в программном обеспечении давно стали предметом неформального товарообмена. Пока разработчик ПО не узнал о своей ошибке и не исправил ее, информация о ней имеет огромную ценность – каждая невыявленная уязвимость дает хакерам возможность проводить атаки способами, о существовании которых никто не подозревает. Иногда такие «дыры» называют «0day» (zero-day exploit — «уязвимость нулевого дня»). Сначала так обозначали ошибки, о которых стало известно еще до выхода соответствующей версии ПО, но в последнее время этим термином описываются любые уязвимости, не получившие широкой известности и не имеющие соответствующих способов защиты. Спецслужбы США (а скорее всего, и многих других стран) заинтересованы в таком, по сути, кибероружии не меньше, чем частные лица и компании. Поэтому ЦРУ, Агентство национальной безопасности и другие силовики разыскивают и скупают 0day-эксплойты, с одной стороны, чтобы защитить свои компьютерные системы, а с другой — чтобы при необходимости использовать их в наступательных целях.
Корпорации ВПК уже имеют ограниченный доступ к базе уязвимостей, имеющейся в распоряжении американского правительства. Однако жертвами кибератак, в которых власти США все чаще обвиняют Китай, часто становятся гражданские компании, не имеющие отношения к разработке оружия. Так, в прошлом разведка уже делилась с Microsoft и Google информацией о «дырах» в их ПО, однако это были единичные случаи, и речь не шла о секретных данных. Новая инициатива, уже прошедшая рассмотрение в Конгрессе, позволит защитить «частников» при помощи отслеживания признаков известных спецслужбам 0day-атак в интернет-трафике. При этом информация об уязвимостях не будет публиковаться открыто, и эти хакерские инструменты сохранят свою ценность для спецслужб.
В конце марта Конгресс уже принимал меры, направленные против «китайской киберугрозы». Тогда в закон, регламентирующий траты госорганов США, было внесено положение, обязывающее министерства юстиции и торговли, а также Национальное аэрокосмическое агентство и Национальный научный фонд консультироваться с ФБР перед закупкой компьютерного оборудования, произведенного в Китае. Инициатива возникла вскоре после того, как комитет Конгресса по вопросам разведки признал компании Huawei и ZTE (крупнейших китайских производителей сетевого оборудования) представляющими угрозу национальной безопасности Соединенных Штатов.
поддержать проект
Подпишитесь на «Русскую Планету» в Яндекс.Новостях
Яндекс.Новости