De Amerikaanse burgerrechtenbeweging EFF wil dat er meer toezicht komt op het gebruik van zogeheten zero day-lekken door de NSA en andere inlichtingen- en opsporingsdiensten. Zero day-lekken zijn kwetsbaarheden waar nog geen beveiligingsupdate van de fabrikant voor beschikbaar is.
In augustus lekte een grote verzameling tools, kwetsbaarheden en exploits van de NSA op internet, waaronder enkele zero day-lekken. Volgens bronnen wist de NSA al drie jaar geleden dat de gegevens per ongeluk waren gelekt en vervolgens gestolen, maar werd er besloten getroffen fabrikanten niet te waarschuwen. Die konden daardoor geen update ontwikkelen, waardoor hun klanten kwetsbaar bleven.
Eén van de gelekte kwetsbaarheden leidde tot de ontdekking van een nieuw beveiligingslek in de apparatuur van Cisco. Meer dan 850.000 apparaten van de netwerkfabrikant kunnen door dit beveiligingslek worden aangevallen, waarvan meer dan 18.000 in Nederland. Een update van Cisco is nog in ontwikkeling. Volgens de EFF laat dit incident zien hoe belangrijk het is dat er toezicht op het gebruik van zero day-lekken door de Amerikaanse overheid komt.
De NSA had in dit geval namelijk wel melding moeten maken, zeker gezien het feit dat het wist dat de exploits en beveiligingslekken door anderen waren gestolen, zo stelt de burgerrechtenbeweging. De Amerikaanse overheid beschikt wel over een Vulnerabilities Equities Process (VEP) waarmee het bepaalt of het kwetsbaarheden met de betrokken leverancier of leveranciers zal delen of dit voor eigen doeleinden geheimhoudt. Het VEP is echter niet bindend. Daarnaast is ook niet duidelijk wat de overwegingen zijn om kwetsbaarheden te openbaren of te verzwijgen.
"We denken dat beleidsmakers zich zorgen over dit incident moeten maken en moedigen hen aan om de NSA te vragen wat er precies is gebeurd", zegt Andrew Crocker van de NSA. "De overheid moet veel transparanter over het beveiligingslekkenbeleid zijn." Om te beginnen zou de Amerikaanse overheid de meest recente versie van het VEP kunnen publiceren, zonder het beslissingsproces, de diensten die er gebruik van maken en het aantal kwetsbaarheden dat de overheid geheimhoudt en hoe lang, te censureren. Daarnaast moet er een debat volgen over het openbaren en verzwijgen van kwetsbaarheden.
Deze posting is gelocked. Reageren is niet meer mogelijk.