استفاده مهاجمان از ابزار و نرمافزارهای مخرب مانند WannaCry، NSA محققان را بر این داشت که برای جلوگیری از این تهدیدات، قوانین سایبری جدید را ارائه کند.
منبع : سایبربان
استفاده مهاجمان از ابزار و نرمافزارهای مخرب مانند WannaCry، NSA محققان را بر این داشت که برای جلوگیری از این تهدیدات، قوانین سایبری جدید را ارائه کند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، چندی پیش کاخ سفید با انتشار منشوری، جزییات آسیبپذیری (VPE) را مشخص کردکه توسط باراک اوباما تعیین شدهبود. منشور نامبرده به دولت اجازه افشای آسیبپذیریها را در صورت لزوم میدهد. در این میان قوانین ارائهشده، اجازه افشای آسیبپذیریهای موجود را در راستای منافع ملی امکانپذیر میکند.
در ادامه کاخ سفید اینگونه اعلام کرد که بیشترین ریسک در نظر گرفتهشده برای محدود کردن دانش آسیبپذیری بوده و تنها راه برای کشف ورودیهای قابلتوجه است که به امنیت و حفظ حریم خصوصی آسیب میرسانند. این در حالی است که آسیبپذیریهای شناساییشده در قالب آسیبپذیریهای روز صفرم فعالیت میکنند که بااینوجود مهاجم میتواند با استفاده از آسیبپذیری وصله نشده بهرهبرداری مخرب خود را از سامانه یا تجهیزات مدنظر اعمال کند.
دولتها برای دستیابی به آسیبپذیریها میتوانند از طریق شناسایی و کشف یا خرید آسیبپذیریها از مهاجمان فعالیت خود را پیش ببرند. واشنگتنپست در گزارش خود که در سال ۲۰۱۳ منتشر شد اعلام کرد تابهحال آژانس امنیت ملی ۲۵ میلیون دلار در رابطه با آسیبپذیری روز صفرم هزینه کردهاست.
زمانی که یک آسیبپذیری روز صفرم شناسایی میشود گروهی از کارشناسان که متشکل از نمایندگان ۱۰ سازمان برای نظارت ارائه میشود. پس از این ارائه گروه تصمیمهای لازم را در رابطه با انتشار یا عدم انتشار آسیبپذیری را صادر میکند.
این در حالی است که در صورت عدم موافقت یک سازمان با دیگر سازمانها نتیجه را با همکاری دبیرخانه اجرایی VEP در آژانس امنیت ملی منتشر میکنند.
طی گزارشی که از کاخ سفید ارائه شد، آژانس امنیت ملی پس از تحلیل و بررسی جزییات آسیبپذیری نامبرده آن را ظرف مدت هفت روزبه مرحله انتشار کلی میرساند.
بااینحال، این منشور میگوید که تصمیم دولت برای افشای آسیبپذیریها میتواند محدودیتهایی مانند موافقتنامههای غیررسمی، یادداشت تفاهم یا توافقهای دیگر از سوی بخش خصوصی یا شرکای خارجی باشد.
امروزه روزنامهنگاران با انتشار و تهیه برنامه VEP مهمترین واقعه را اجازه دسترسی به سلاحهای دیجیتال میدانند که از طریق روشهای مختلف فعالیت مخرب خود را اجرا میکنند.
اگر آسیبپذیری در تجهیزات NSA یافت شود، منشور میگوید که باید به NSA گزارش شود که مسئولیت آسیبپذیری را بر عهده خواهد گرفت.
این منشور همچنین میگوید که تصمیم برای حفظ یک آسیبپذیری، همیشه دوتایی نیست. دولت تجزیهوتحلیل ریسک را انجام میدهد و گاهی تصمیم میگیرد که از آسیبپذیری استفاده کند، يا به دولتهای متحد ديگر در مورد آسیبپذیری بپردازد يا از «معيارهای غيرمستقيم» برای اطلاع دادن به فروشندگان در مورد آسیبپذیری استفاده کند.
WannaCry را بهعنوان یکی از مهمترین انتشارهایی که تابهحال انجام شدهاست میتوان نام برد که نشان میدهد مهاجمان با استفاده از این باجافزار موفق به سرقت اطلاعات ۲۰۰هزار رایانه از ۱۵۰ کشور شدند.
رئیس کمیته امنیت سایبری کاخ سفید در صحبتهای خود با رد این موضوع که دولت تمامی آسیبپذیریها را در اختیار دارد، اینگونه اعلام کرد که مدیریت و کنترل این ابزار مخرب با فعالیتهای دولتی در ارتباط نیست.