Тайны кода: как спецслужбы США используют ошибки в ПО

Ежегодный отчет по процессу управления уязвимостями (Vulnerabilities Equities Process, VEP) за 2023 финансовый год (FY23) раскрывает интересные детали о том, как разведывательные и федеральные агентства США управляли уязвимостями в ПО.

В рамках данного процесса в течение года было раскрыто 39 уязвимостей, включая:

• 29 новых уязвимостей, выявленных в отчетный период;
• 10 уязвимостей, пересмотренных из предыдущих лет и раскрытых после дополнительной оценки.

Основные наблюдения:

1. Статус исправлений неизвестен: в отчете указано, что информация о том, были ли недостатки устранены разработчиками, не отслеживается. Это подчеркивает существенный пробел в прозрачности и в оценке того, как раскрытие уязвимостей влияет на общую безопасность программного обеспечения.
2. Пересмотренные уязвимости (10 случаев): такие ошибки, вероятно, удерживались для внутреннего использования в правительстве, что могло включать шпионаж или наступательные операции. Это соответствует практике сохранения некоторых уязвимостей для стратегического преимущества.
3. Недостаток информации о масштабе процесса: в отчете VEP отсутствуют данные о том, сколько уязвимостей было рассмотрено, но не раскрыто. Это делает невозможным оценку того, сколько уязвимостей было изначально рассмотрено для раскрытия, но оставлено для оперативных нужд. Такая информация могла бы дать представление о балансе между общественной безопасностью и национальными интересами.

VEP остается важным, но не до конца прозрачным механизмом, позволяющим решать, раскрывать ли уязвимости в программном обеспечении или сохранять их в интересах национальной безопасности. Однако отсутствие данных о внедрении исправлений и общего числа рассмотренных уязвимостей ограничивает понимание эффективности VEP широкой аудиторией.