Военно-морской флот ищет уязвимости


Военно-морской флот США ищет, или, скорее, на прошлой неделе, подрядчиков, чтобы снабдить его уязвимостями нулевого дня и т.п. — по каким причинам?

Новости о наличии 12-месячного контракта с тремя дополнительными 12-месячными опционами были размещены на FedBizOpps под номером запроса N0018915T0245. Это общедоступный сайт, на котором государственные органы регулярно публикуют информацию о возможностях заключения контрактов.

Подробности того, что требовалось, были:

«Доступ к аналитике уязвимостей, отчетам об эксплойтах и бинарным файлам операционных эксплойтов, влияющих на широко используемое и зависящее от коммерческого программного обеспечения»,

В нем указано, что коммерческие продукты включают, но не ограничиваются:

Microsoft, Adobe, JAVA, EMC, Novell, IBM, Android, Apple CISCO IOS, Linksys WRT, Linux и все другие

и что поставщик должен иметь рейтинг интеграции модели зрелости возможностей (CMMI) уровня 3 или выше.

Как зафиксировано в твите Dava Mass, в просьбе говорилось:

«Поставщик должен предоставить правительству предлагаемый список доступных уязвимостей, 0-день или N-день (не старше 6 месяцев). . . Правительство выберет из представленного списка и займется непосредственной разработкой двоичных файлов эксплойтов ».

Вскоре после того, как эта ссылка была опубликована в Твиттере, страница была удалена, но Electronic Frontier Foundation восстановила ее из кеша Google, так что вы все еще можете прочитать ходатайство полностью (pdf).

EFF, разместивший вышеупомянутую карикатуру, также прокомментировал:

… тот факт, что правительство Соединенных Штатов ищет поставщиков для продажи уязвимостей программного обеспечения, не является новостью — мы уже давно знаем, что правительство использует уязвимости программного обеспечения, иногда известные как нулевые дни, для агрессивного сбора разведданных. и шпионаж. .

Что еще более примечательно, так это то, как мало внимания правительство уделяет процессу принятия решения об использовании уязвимостей. Как мы объясняли ранее, решение использовать уязвимость в «оскорбительных» целях, а не раскрывать ее разработчику — это решение, которое ставит слежку над безопасностью миллионов пользователей.

Присужден ли уже контракт, мы не знаем. Но если у вас есть необходимый уровень знаний, вы все равно можете нуждаться во флоте.


Добавить комментарий