Dlaczego NSA zdecydowała się poinformować firmę Microsoft o istnieniu wykrytej przez siebie podatności bezpieczeństwa systemu Windows 10 i Windows Server 2016? To jedno z wielu pytań, które zadają eksperci w tej sprawie.
Według szefa analityki bezpieczeństwa w firmie Vectra Chrisa Moralesa szczególnie interesująca jest odpowiedź na pytanie, dlaczego NSA zdecydowała się poinformować firmę Microsoft o istnieniu wykrytej przez siebie podatności bezpieczeństwa popularnych systemów operacyjnych, a nie zachować wiedzę na temat luki na własny użytek i ją wykorzystać.
"Być może stało się tak dlatego, że wiele powstałych w taki sposób narzędzi NSA wyciekło i spowodowało znaczące zniszczenia w strukturach wielu organizacji" - ocenił. "Może też (NSA - PAP) zmartwiła się o to, co będzie, jeśli podatność zostanie wykryta i ujawniona przez kogoś innego i zdecydowała, że luka jest na tyle poważna, że należy działać na rzecz jej naprawy, nie zaś uczynić z niej broń?" - spekuluje specjalista, który w rozmowie z serwisem Computer Weekly stwierdził, że "równie dobrze może być tak, że NSA posiada już dostatecznie dużo własnych narzędzi do ingerencji w Windowsa i nie potrzebuje kolejnego".
Dyrektorka ds. cyberbezpieczeństwa w amerykańskiej Narodowej Agencji Bezpieczeństwa Anne Neuberger informując w tym tygodniu o podatności systemów Microsoftu stwierdziła, że to pierwszy przypadek, w którym luka bezpieczeństwa jest "podatnością zagrażającą zaufaniu". Zdaniem szefa firmy Tenable Amita Yorana, jednego z założycieli amerykańskiego CERT-u, ujawnianie podatności oprogramowania przez rządową agencję należy do rzadkości, a w tym przypadku może stanowić nawet precedens.
"To (ujawnienie informacji przez NSA - PAP) podkreśla, jak poważna jest wykryta podatność. Zachęcamy wszystkie organizacje do nadania najwyższego priorytetu aktualizacji bezpieczeństwa ich systemów" - powiedział. "Jak długo NSA wiedziała o podatności? Czy ją wykorzystała? Czy zaobserwowała jej użycie przez zagraniczne służby wywiadowcze?" - pyta ekspert. Jak podkreśla, żadne z tych pytań nie zmienia tego, co powinny zrobić podmioty potencjalnie dotknięte ryzykiem oddziaływania ujawnionej przez NSA luki, ale odpowiedzi mogłyby "powiedzieć bardzo dużo na temat warunków, w jakich obecnie pracujemy".
Według Neuberger NSA ujawniła informacje o podatności, gdyż chciała podkreślić wagę wykrytej luki i szybko powiadomić o niej użytkowników objętych ryzykiem. Jej zdaniem zdecydowanie zbyt mało podmiotów traktuje wystarczająco poważnie aktualizacje zabezpieczające.
W oświadczeniu NSA czytamy, iż "podatność stawia użytkowników końcowych Windowsa w sytuacji zagrożenia dużą liczbą ataków o różnych wektorach". Agencja "zaklasyfikowała podatność jako krytyczną i oceniła, że posiadający duże możliwości cyberprzestępcy bardzo szybko zrozumieją sposoby potencjalnego jej wykorzystania".
14 stycznia NSA na specjalnej konferencji prasowej poinformowała o wykryciu krytycznej podatności systemów firmy Microsoft, która umożliwia hakerom obejście zabezpieczeń systemowych wykrywających nieautentyczne oprogramowanie pochodzące od niezaufanych dostawców. Luka jest w praktyce niewykrywalna dla użytkownika systemu. Eksperci zalecają możliwie jak najszybsze wykonanie aktualizacji zabezpieczającej.