Microsoft usunął groźną lukę w Windows 10. Exploit wykryli eksperci NSA
Czyli wiedza o tym exploicie stała się powszechna, więc stracił przydatność dla NSA. A ujawniając go w takim momencie odnieśli sporą korzyść. Po pierwsze zarobią trochę punktów PRowo, że niby nie tylko szpiegują wszystkich jak leci, a po drugie część podatnych systemów zostanie połatana, więc "wróg" (czyli cała reszta świata) nie będzie mógł łatwo wykorzystać tej podatności. W sumie nic ich to nie kosztwoało, bo po prostu skreślili ze swojej listy podatność nr 1858693 i przestawili się na użycie podatności nr 1858694, a w kolejce mają ich jeszcze pewnie ze 30.
"Warto odnotować, że w przeszłości NSA kilkukrotnie wykorzystywało podobne exploity dla własnych celów, informując o nich dopiero kiedy zaczęły być wykorzystywane przez hakerów (mowa oczywiście o tych, którzy nie pracują dla agencji). Tak było w przypadku groźnych luk WannCry i EternalBlue."
No akurat w przypadku WannaCry, który korzystał m. in. z luki EternalBlue to nie było tak i NSA popisało się wtedy wyjątkową nieodpowiedzialnością. Należy pamiętać, że pomiędzy samym wyciekiem narzędzi hakerskich z NSA, a ich ujawnieniem i przygotowaniem WannaCry minęło sporo czasu. Agencja powinna poinformować Microsoft o luce i najlepiej jak najdokładniej opisać jak ją wykorzystali, gdy tylko wypłynęły ich narzędzia, korzystające z luk 0-day. Wtedy MS zdążyłby na spokojnie wydać poprawki. A NSA siedziało cicho i MS zaczął gorączkowo łatać luki jak pół świata zostało już dotknięte ransomwarem. I nie wiem czy nawet wtedy NSA pomogło w przygotowaniu łatki, czy Microsoft musiał wszystko rozgryźć sam.
Jakoś już mnie nie ruszają takie wiadomości. Jedna dziura mniej czy więcej, co za różnica. Teraz już wiem, czemu wczoraj od razu komputer mi się zaktualizował i tak samo w pracy.
A jak chcesz ufać NSA, które podsłuchuje cały świat, łącznie z Amerykanami (do czego nie ma prawa i jego dyrektor kłamał przed kongresem w żywe oczy, że tego nie robią). Agencji, która po aferze Snowdena miała ograniczyć inwigilację, ale jedyne, co nowy dyrektor polecił pracownikom, to "róbcie dalej swoje". Autorytetowi, który zapłacił za wprowadzenie do RSA modułu (to była podwójna krzywa eliptyczna, jeśli dobrze pamiętam) mającego zwiększyć entropię (losowość) kluczy kryptograficznych, co miało się przełożyć na większe bezpieczeństwo, a w rzeczywistości sprawiał, że klucze stały się łatwe do przewidzenia.
NSA, jako największy na świecie pracodawca dla matematyków mogłoby mieć autorytet w kwestii kryptografii i zabezpieczeń, bo na pewno mają do tego dość uzdolnionych specjalistów i wiedzy. Przykładem ich wiedzy niech będzie to, że gdy tworzono algorytm szyfrowania DES, poproszone o analizę NSA wprowadziło pewne zmiany do tzw. S-boxów (część mechanizmu szyfrowania), których nikt wtedy nie rozumiał (co wielu uważało za backdoora). Dopiero kilka lat później wymyślono kryptoanalizę różnicową i okazało się, że rozwiązanie NSA jest na nią bardziej odporne. A GCHQ twierdzi, że ich kryptografowie opracowali podstawy kryptografii asymetrycznej około 10 lat przed stworzeniem algorytmu wymiany kluczy Diffiego-Hellmana-Merkle'a, więc zapewne wiedziało o tym i NSA.
To nie poziom wiedzy czy umiejętności NSA nie pozwala uznać tej agencji za autorytet, tylko to, jak ją wykorzystuje. I tak, nikomu nie można ufać. W dziedzinie bezpieczeństwa chorobliwa nieufność i paranoja jest nie tylko mile widziana, ale wręcz wymagana.
