Den øverste messing i de AMERIKANSKE efterretningstjenester, er at holde deres kæft om sårbarheder i software.
Da støvet fra den globale ransomware angreb, der har lammet-systemer i mere end 150 lande siden fredag, den AMERIKANSKE regerings dunkelt proces for indsamling og videregivelse software sårbarheder igen er under kontrol.
Der er masser af skylden til at gå rundt for omfanget og effektiviteten af de angreb, som en ransomware virus, der kaldes WannaCry—samt “WannaCrypt” og “Wanna Decryptor”—udnyttede en sårbarhed i Windows XP. For én ting er, at Microsoft stoppede understøtte denne version af deres operativsystem i 2014, så alle ved hjælp af forældet software var at tage en risiko. (Når Microsoft var klar over, at den sårbarhed, der blev udnyttet, er det hurtigt udgivet en rettelse af den bug—et usædvanligt skridt for sådanne gamle software.)
Brad Smith, Microsoft ‘ s President og Chief Legal Advisor, sagde, at regeringen var også skyld i, eftersom det ser ud til angriberne brugte en udnyttelse, der blev stjålet fra NSA af en gruppe, der hedder Shadow Mæglere. I et blog-indlæg, han kritiserede praksis med oplagring sårbarheder. “Vi har brug for regeringerne til at overveje skade på civile, der kommer fra hamstring af disse sårbarheder og brugen af disse exploits,” skrev han.
Den AMERIKANSKE regering har et system på plads til at afveje risikoen for enten at oplyse om en kritisk sårbarhed, eller at holde det hemmeligt. Men meget lidt forstået offentligt om, hvordan den såkaldte Sårbarheder Aktier Proces (VEP) virker. Privacy-fortalere har længe opfordret til større gennemsigtighed, med kun begrænset succes.
Den VEP menes at have eksisteret siden 2010, men forblev en hemmelighed indtil 2014, når det Hvide Hus og Direktør for National Intelligence hver udgivet udsagn at nægte en Bloomberg rapporterer, at NSA havde i årevis kendt til og brugt en udbredt svaghed i den måde, kommunikationen over Internettet er krypteret kaldet Heartbleed. Michael Daniel, at Præsident Obama har cybersecurity koordinator hævdede, at administrationen var “etableret en disciplineret, strenge, og høj-niveau beslutningsprocessen for offentliggørelse af sårbarheder.”
Hvorvidt den føderale regering bør tilbageholde viden om sådanne sårbarheder “kan synes klart, at nogle,” Daniel sagde på den tid, men “virkeligheden er meget mere kompliceret.” At afsløre en svaghed, vil kunne få USA til at “give afkald på en mulighed for at indsamle afgørende efterretninger, som kunne forhindre en terrorhandling,” sagde han. Ikke desto mindre er det regeringens beslutningsproces var “forudindtaget mod ansvarligt at afsløre en svaghed.”
I januar 2016, takket være en Freedom of Information Act retssag fra Electronic Frontier Foundation, regeringen har udgivet en delvist redigeret dokument, der forklarer VEP. Det venstre uklart, præcis hvordan en beslutning er taget, og hvem der gør det, og hvor mange hemmelige sårbarheder regeringen har i sin besiddelse. Jason Healey, en forsker ved Columbia University og senior fellow ved det Nordatlantiske Råd, som for nylig anslået, at antallet er i snesevis.
De seneste begivenheder har rejst tvivl om, hvorvidt systemet er faktisk forudindtaget mod offentliggørelse, som Daniel har hævdet. I en nylig forskningsartikel Healey, der er indgået, er baseret på interviews og offentlige erklæringer fra regeringen om VEP, at NSA “næsten helt sikkert” burde have afsløret svagheder i en tidligere lækage af Shadow Mæglere til de berørte virksomheder, herunder Cisco, Juniper, og Fortinet. FBI bør også have fortalt Apple om den sårbarhed, der bruges til at få adgang til iPhone af en af de skytter i San Bernardino terrorangreb sidste år, Healey skrev.
Desværre er udsigten til bedre åbenhed—og den ansvarlighed, som ville bringe med sig—ser ikke ud til at være forestående. Den VEP er kontrolleret af den udøvende gren af den føderale regering, uden at det offentlige tilsyn. Medmindre Trump administration beslutter sig for at ændre det, vi er tilbøjelige til at forblive i mørke. Indtil den næste store cyberangreb, der er.