Nieodpowiedzialne nieujawnienie
Wczoraj Bloomberg poinformował (a polskie media podchwyciły), że NSA prawdopodobnie wiedziała o Heartbleed od miesięcy, jeśli nie lat, nikomu o tym nie mówiąc – i Sieć zapłonęła od komentarzy wyrażających zaskoczenie, oburzenie i szok.
Szczerze powiedziawszy jestem zaskoczony zaskoczeniem. Odkąd pojawiły się rewelacje Edwarda Snowdena powinniśmy się byli wszyscy przyzwyczaić do faktu, że to, co niegdyś zbywane było jako zwariowana paranoja, dziś należy traktować jako całkiem sensowną hipotezę.
Nawet mniej zaskakująca jest błyskawiczne dementi wystosowane w tej sprawie. Chociaż… standardowa zasłona dymna zawierała bardzo ciekawy i wiele mówiący fragment (tłumaczenie i podkreślenie moje):
W odpowiedzi na rekomendacje Prezydenckiej Grupy Rewizyjnej na temat Wywiadu i Technologii Komunikacyjnych, Biały Dom zrewidował swoją politykę w tej kwestii i wzmocnił międzyagencyjny proces decydowania, kiedy dzielić się informacjami informacjami o błędach. Nazywa się to Procesem Oceny Wartości Podatności. Jeżeli nie ma jasnej potrzeby związanej z bezpieczeństwem narodowym lub działaniami organów ścigania, proces ten jest mocno ukierunkowany na odpowiedzialne ujawnienie takich podatności.
To oznacza, że kiedy agencja “bezpieczeństwa” znajdzie błąd w oprogramowaniu, istnieje możliwość, że nie zostanie on odpowiedzialnie ujawniony. Jeśli istnieje “jasna potrzeba związana z bezpieczeństwem narodowym lub działaniami organów ścigania”, może zamiast tego zostać użyty w formie pozwalającej na zastosowanie ofensywne.
Doskonale zdajemy sobie przy tym chyba wszyscy sprawę, że w związku z “Wojną z Terroryzmem”, ta “jasna potrzeba” obecna jest non-stop, przynajmniej w głowach decydentów.
Jednocześnie pamiętajmy, że jeśli istnieje błąd, który został przez kogoś znaleziony (ale nie ujawniony), zostanie on znaleziony ponownie przez kogoś innego. Może to być Neel Mehta czy Marek Zibrow, którzy odpowiedzialnie go ujawnią; niestety, może to też być Jaś Cracker – który sam zacznie go wykorzystywać lub sprzeda innym zainteresowanym szemranym towarzystwom.
Ponieważ zaś wszyscy dziś korzystamy z tych samych metod szyfrowania, tych samych protokołów sieciowych i bardzo często nawet tych samych implementacji, taki błąd będzie wykorzystywany przeciwko nam wszystkim.
I nie chodzi tu wyłącznie (ani głównie) o NSA, ani o Heartbleed. Chodzi o wszelkie agencje “bezpieczeństwa” i dowolne błędy w oprogramowaniu. Nie ujawniając odkrytych błędów odpowiedzialnie agencje “bezpieczeństwa” powodują, że wszyscy jesteśmy mniej bezpieczni.
Niezależnie więc od tego, czy NSA znała Heartbleed wcześniej, czy nie, sama polityka nie ujawniania jest zwyczajnie nieodpowiedzialna – i nieakceptowalna.