اعتراضات گوناگون در مورد سیاست اعلام آسیب‌پذیری‌ها پس از نفوذ به آژانس امنیت ملی آمریکا

نفوذهای انجام‌شده توسط گروه Shadow Brokers علیه آژانس امنیت ملی آمریکا باعث بروز نگرانی‌هایی از سوی محققان امنیتی و گروه‌های فنی در مورد سیاست اعلام آسیب‌پذیری‌ها در آمریکا شده است.

کدهایی که در این نفوذ مورد سرقت واقع شده‌اند، در مورد آسیب‌پذیری‌های شناخته‌شده مربوط به چندین شرکت ساخت دیوار آتش هستند و بسیاری از متخصصان این حوزه معتقدند این دیوارهای آتش ابزار بهره‌برداری هستند که توسط آژانس امنیت ملی آمریکا مورد استفاده قرار گرفته‌اند.

سیاست VEP۱ دولت آمریکا همواره در این موارد از آژانس‌های اطلاعاتی درخواست می‌کند که برای کشف آسیب‌پذیری‌های امنیتی نهایت تلاش خود را بکنند و در طرف دیگر شرکت‌های فنی و بخش‌های امنیتی در این شرایط نگران تعداد نامشخصی از آسیب‌پذیری‌های روز-صفرم هستند که در آژانس‌های اطلاعاتی مشاهده می‌شوند.

هدر وست، مدیر ارشد موزیلا در این خصوص معتقد است که حمله انجام‌شده توسط گروه Shadow Brokers نشان می‌دهد که امروزه نیاز به شفافیت در فرآیند اعلام آسیب‌پذیری‌ها حس می‌شود. وی در توضیح بیشتر در این خصوص طی یک رایانامه به وبگاه خبری SCMagazine.com اعلام کرد: «اگر دولت آمریکا تصمیم خاصی برای شرکت در برنامه‌های نفوذ قانونی به منظور شناخت آسیب‌پذیری‌ها دارد، باید مسئولیت عواقب ناشی از اعلان عمومی این اطلاعات را نیز بر عهده بگیرد.»

شرکت‌های امنیتی و برنامه‌ریزی نیز بر این عقیده هستند. مک گرگوری، مدیر ارشد گروه فناوری در شرکت Ixia در این خصوص معتقد است که دولت در این مواقع باید در مورد تمامی آسیب‌پذیری‌های روز-صفرم که توسط گروه Shadow Brokers مورد سرقت واقع شده است، اطلاع‌رسانی کند. وی در توضیح بیشتر در این خصوص گفت: «این مسئله بسیار مهم است و دولت نباید در مورد آن شک داشته باشد. به نظر می‌رسد که این آسیب‌پذیری‌ها می‌توانند در دسترس دیگر گروه‌های نفوذ قرار گیرند و این اتفاق باعث بروز شرایط خطرناک‌تری می‌شود.»

روبین گرین، مشاور برنامه‌ریزی و امور دولتی در موسسه Open Technology در شرکت‌های New America در مصاحبه‌ای با وبگاه SCMagazine.com بیان کرد که کدهای به سرقت رفته نشان می‌دهند که سیاست‌های موجود برای اعلام آسیب‌پذیری‌ها باید تغییر کنند. وی در ادامه اذعان کرد: «این حملات نشان می‌دهند که سیاست‌های فعلی در این خصوص کارآمد نیستند؛ به عبارت دیگر، در این سیاست‌ها شفافیت کافی وجود ندارند و برخی ساز و کارها در این حوزه باعث شده است که اعلام آسیب‌پذیری‌ها و یا مخفی نگه‌داشتن آن‌ها به ضرر کشور تمام شود.» وی همچنین یادآور شد که قانون‌گذاران امروزه بیش از گذشته به قوانین بخش VEP حساس شده‌اند.

ماه گذشته، موسسه Open Technology در مجله فضای مجازی خود گزارشی را منتشر کرد و در آن به سیاست‌های مربوط به آسیب‌پذیری‌ها پرداخت. این گزارش که عنوان آن «اشکالات موجود در نظام اداری: مروری بر بخش شناسایی آسیب‌پذیری‌های نرم‌افزاری و سیاست‌های این بخش» است، به دولت آمریکا پیشنهاد داد که برای رفع مشکلات موجود باید به صورت داوطلبانه از فعالیت‌های گسترده در بخش آسیب‌پذیری‌ها صرف‌نظر کند. دلیل این پیشنهاد این است که دولت آمریکا در حال حاضر بزرگ‌ترین بخش فعال در این حوزه است و این مسئله باعث می‌شود که محققان در این حوزه فعالیت کمتری داشته باشند و آسیب‌پذیری‌های کمتری برای طراحی وصله شناسایی شوند.

همچنین گزارش دیگری در این خصوص با عنوان «نقش دولت در شناسایی آسیب‌پذیری‌ها: ایجاد فرآیند پایدار و دقیق» مطرح شد که پیشنهادهای مشابهی را در این خصوص به دولت آمریکا ارائه کرد. این گزارش که با همکاری آری شوارتز ، مدیر ارشد فضای مجازی کاخ سفید و راب ناک ، مدیر سابق سیاست‌های فضای مجازی در شورای امنیت ملی آمریکا تنظیم شده است، به دولت اوباما پیشنهاد می‌دهد که برای رسمیت بخشیدن و همگام شدن دولت با فرآیند VEP، یک برنامه‌ریزی اجرایی را ترتیب دهد. این گزارش همچنین پیشنهاد داد که دولت آمریکا یک مجموعه معیار منسجم را ترتیب دهد که بر اساس آن در مورد اعلام عمومی آسیب‌پذیری‌ها تصمیم‌گیری شود. این گزارش همچنین در ادامه پیشنهاد داده است که تصمیمات دولتی برای استفاده از این آسیب‌پذیری‌های روز-صفرم به صورت متناوب مورد بازبینی قرار گیرند و آژانس‌ها در موارد تصمیم برای عدم اعلام آسیب‌پذیری‌ها، با محققان امنیتی وارد هیچ‌گونه توافقی نشوند.

مک گرگوری در بخش دیگری از سخنان خود اعلام کرد که شرکت Ixia ۱۱ آسیب‌پذیری را شناسایی کرده است که در محصولات دیوار آتش شرکت‌های سیسکو، Fortinet و TopSec وجود دارد و در پی سرقت کدها توسط گروه Shadow Brokers افشا شده است. وی همچنین اعلام کرد که بیشتر حملات رخ‌داده مربوط به شرکت TopSec است که یک شرکت چینی تولید دیواره آتش است.

همچنین هدر وست در بخش دیگری اعلام کرد: «نکته‌ای که در این شرایط در آن نمی‌توان تردید کرد، این است که هنوز هم آسیب‌پذیری‌های اعلام‌نشده‌ای وجود دارند. این چالشی است که همواره در صنعت نرم‌افزار مشاهده می‌شود و کدها هرگز به طور کامل امن نیستند.»

روز سه‌شنبه نیز یکی از سخنگویان بنی تامسون، عضو عالی‌رتبه کمیته امنیتی کاخ سفید اعلام کرد که یک گزارش مربوط به اتفاقات فضای مجازی برای ماه آینده تنظیم خواهد شد. وی در مصاحبه با مجله Politico اعلام کرد که این گزارش مسائل مربوط به حمله گروه Shadow Brokers و سیاست‌های اعلام آسیب‌پذیری‌ها را بررسی خواهد کرد.

روبین گرین نیز در بخش دیگری از اظهارات خود بیان کرد: «دولت آمریکا تاکنون اطلاعات مبسوطی را در مورد برنامه نفوذ قانونی خود ارائه نکرده است. می‌توان در این خصوص ادعا کرد که مسئله پیش‌آمده توسط گروه Shadow Brokers ضرورت بیان چنین مسائلی از سوی دولت آمریکا را آشکار می‌سازد.»

۱. Vulnerability Equities Process‌

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

[easy-pricing-table id="6835"]