Военно-морской флот США ищет, или, скорее, на прошлой неделе, подрядчиков, чтобы снабдить его уязвимостями нулевого дня и т.п. — по каким причинам?
Новости о наличии 12-месячного контракта с тремя дополнительными 12-месячными опционами были размещены на FedBizOpps под номером запроса N0018915T0245. Это общедоступный сайт, на котором государственные органы регулярно публикуют информацию о возможностях заключения контрактов.
Подробности того, что требовалось, были:
«Доступ к аналитике уязвимостей, отчетам об эксплойтах и бинарным файлам операционных эксплойтов, влияющих на широко используемое и зависящее от коммерческого программного обеспечения»,
В нем указано, что коммерческие продукты включают, но не ограничиваются:
Microsoft, Adobe, JAVA, EMC, Novell, IBM, Android, Apple CISCO IOS, Linksys WRT, Linux и все другие
и что поставщик должен иметь рейтинг интеграции модели зрелости возможностей (CMMI) уровня 3 или выше.
Как зафиксировано в твите Dava Mass, в просьбе говорилось:
«Поставщик должен предоставить правительству предлагаемый список доступных уязвимостей, 0-день или N-день (не старше 6 месяцев). . . Правительство выберет из представленного списка и займется непосредственной разработкой двоичных файлов эксплойтов ».
Вскоре после того, как эта ссылка была опубликована в Твиттере, страница была удалена, но Electronic Frontier Foundation восстановила ее из кеша Google, так что вы все еще можете прочитать ходатайство полностью (pdf).
EFF, разместивший вышеупомянутую карикатуру, также прокомментировал:
… тот факт, что правительство Соединенных Штатов ищет поставщиков для продажи уязвимостей программного обеспечения, не является новостью — мы уже давно знаем, что правительство использует уязвимости программного обеспечения, иногда известные как нулевые дни, для агрессивного сбора разведданных. и шпионаж. .
Что еще более примечательно, так это то, как мало внимания правительство уделяет процессу принятия решения об использовании уязвимостей. Как мы объясняли ранее, решение использовать уязвимость в «оскорбительных» целях, а не раскрывать ее разработчику — это решение, которое ставит слежку над безопасностью миллионов пользователей.
Присужден ли уже контракт, мы не знаем. Но если у вас есть необходимый уровень знаний, вы все равно можете нуждаться во флоте.