De Amerikaanse inlichtingendiensten hebben nog geen idee hoe een verzameling tools, exploits en malware van de NSA onlangs op internet kon verschijnen en hoe groot de omvang van de schade is. Dat stelt James Clapper, hoofd van de inlichtingendiensten in de Verenigde Staten.
"We zijn dit nog steeds aan het uitzoeken", zo liet Clapper tijdens een evenement in Yorba Linda weten, zo meldt de Associated Press. "Het onderzoek is nog steeds gaande. We weten nog niet de volle omvang of hoe het kon gebeuren." De tools, exploits en malware werden door een persoon of groep online gezet die zichzelf Shadow Brokers noemt. Het ging onder andere om een exploit die van een onbekende kwetsbaarheid in de Cisco ASA-software gebruik maakt om netwerkapparaten mee over te nemen.
Cisco kwam deze week met een update voor de kwetsbaarheid. Experts stelden in een reactie dat de NSA gevonden beveiligingslekken juist aan de leveranciers moet melden, zodat zij hun gebruikers en klanten kunnen beschermen. Beveiligingsexpert Robert Graham stelt dat deze vraag helemaal niet bij de NSA speelt. De Amerikaanse inlichtingendienst komt zero day-lekken niet zomaar tegen, maar gaat hier doelbewust naar opzoek met het idee er gebruik van te maken.
"De NSA ontdekt niet per ongeluk zero-days, ze jagen erop om ermee te kunnen hacken." Volgens Graham gaat de NSA geen 100.000 dollar uitgeven om een lek te vinden en dit vervolgens aan Cisco te melden. Wel zal het dit bedrag uitgeven om een onbekend lek te vinden en hiermee terroristen te hacken, zo gaat de expert verder. Hij pleit voor meer transparantie over het gebruik van zero-days, zoals de onbekende beveiligingslekken worden genoemd, maar benadrukt dat er geen sprake van 'vinden' is. "De NSA jaagt op kwetsbaarheden, nadat ze er een noodzaak voor hebben gevonden die verder gaat dan alleen het melden ervan."
Deze posting is gelocked. Reageren is niet meer mogelijk.