Использование и хранение уязвимостей ПО спецслужбами США возьмут под контроль

В Сенат США подан законопроект PATCH Act (Protecting our Ability To Counter Hacking — «Защита нашей способности противостоять хакерским атакам»), который должен уменьшить вероятность утечек уязвимостей, хранящихся в базах АНБ.

Сенаторы Рон Джонсон (Ron Johnson) и Брайан Шац (Brian Schatz), представители Республиканской и Демократической партий США соответственно представили в верхнюю палату Конгресса своей страны проект закона, который должен будет регламентировать использование спецслужбами уязвимостей в коммерческом программном и аппаратном обеспечении. Проект законодательного акта под названием PATCH Act предполагает создание специального органа внутри Министерства внутренней безопасности США, который займется оценкой выявленных уязвимостей и будет принимать решения, нужно ли уведомлять о них непосредственных разработчиков.

В настоящее время спецслужбы США, в первую очередь АНБ, «коллекционируют» уязвимости, чтобы использовать их для проведения различных операций в киберпространстве, в основном шпионских. Поскольку информация об уязвимостях хранится в секрете, а также практически никем, кроме спецслужб, не контролируется, мировое интернет-сообщество может оказаться не готовым к масштабным кибератакам наподобие WannaCry, когда хакеры использовали эксплойт EternalBlue и бэкдор DoublePulsar. Также до этого неизвестная группировка Shadow Brokers опубликовала большое количество эксплойтов и других инструментов для проведения кибератак, украденных у аффилированной с АНБ группы Equation.

Законопроект предлагает вполне конкретные, хотя и очень простые меры, чтобы предотвратить повторение описанного сценария. Предполагается создание специального экспертного органа внутри Министерства внутренней безопасности США, в который войдут представители АНБ и Национального института стандартов и технологий, которые будут принимать решение, информировать ли вендоров ПО о выявленных уязвимостях нулевого дня или нет. Закон также потребует ежегодных отчетов Конгрессу о деятельности совета.

Напомним, в первой половине марта этого года Wikileaks выложил тысячи документов, которые раскрывают хакерские приемы, к которым прибегает ЦРУ, чтобы шпионить за пользователями во всём мире. Основатель сообщества WikiLeaks Джулиан Ассанж выразил готовность помочь IT-компаниям выявить слабые места в своих системах, которые позволяют спецслужбам вести слежку, предоставив техническую информацию о способах кибершпионажа ЦРУ.

Читайте также:

WikiLeaks поможет IT-компаниям в борьбе с кибершпионажем ЦРУ
?
Президент Microsoft призвал приравнять кибероружие к настоящему
?
Липецкую полицию проверят на причастность к организациям DDoS-атак
?
Французские власти конфисковали несколько компьютеров — крупных Tor-узлов