Die Regierung der USA haben heute ein vierzehnseitiges Paper veröffentlicht, indem sie erläutern nach welchen Bewertungsmaßstäben und Prozessen über den Umgang mit Sicherheitslücken – insb. Zero Day Exploits – umgegangen wird. Dies betrifft in erster Linie die Frage ob und wann derartige Informationen dem Hersteller zur Verfügung gestellt werden, damit die Lücke geschlossen und eine aktualisierte Software an die User verteilt werden kann oder ob und wie lang die Lücke als Mittel für nationale Aktivitäten der Nachrichtendienste und Militärs im Cyberspace genutzt wird. Derartige Zero Day Exploits sind sozusagen das „spaltbare Material“ des Cyber-Zeitalters, da entsprechende Lücken in potentiellen Zielsystemen ausgenutzt werden können um diese zu hacken und entsprechende Operationen durchzuführen. Dieser Prozeß wird in den USA unter dem Titel des „Vulnerabilities Equities Process (VEP)“ geführt und wurde durch die Vorkomnisse um WannaCry und NotPetya, die mit ihren Schäden maßgeblich auf einer, von der NSA zurückgehaltenen Sicherheitslücke beruhen nochmal erheblich verschärft.
Verallgemeinert läßt sich der Ablauf wie folgt zusammenfassen:
When a zero-day is discovered, it’s submitted to a review board consisting of roughly a dozen executive departments and agencies, including the NSA, the Federal Bureau of Investigation, the Central Intelligence Agency, Homeland Security, and more. The NSA’s representative is listed as the “executive secretariat” of the group, which is led by the White House cybersecurity coordinator, currently Rob Joyce. After a vulnerability is submitted to the group, the agency representatives who make up what’s called the Equities Review Board enter a five-day deliberation period in which they discuss whether or not to “discriminate” or “restrict” the vulnerability. If cyberattacks are ongoing involving the vulnerability being assessed, the process may be sped up considerably. In determining whether to withhold knowledge about a security bug from the public, the review board considers a wide range of questions, according to the charter, from how likely threat actors are to exploit the flaw to what level of access a hacker must possess for it to work. (Q: gizmodo.com / lokale Kopie)
Die Stellungnahme der Regierung nebst Factsheet und vollständigem Paper ist hier einzusehen (Originallink war https://www.whitehouse.gov/blog/2017/11/15/improving-and-making-vulnerability-equities-process-transparent-right-thing-do ist offline, lokale Kopie der Pressemitteilung und des Papers). Im Rahmen der Veröffentlichtung sprach der Cybersecurity Koordinator des Weißen Hauses Rob Joyce davon, dass etwa 90% aller Sicherheitslücken unmittelbar an die Hersteller gemeldet und nur die verbleibenden 10% zur eingehenderen Analyse zurückgehalten würden.
Update: Mittlerweile gibt es auch von wichtigen zivilgesellschaftlichen Initiativen in den USA Statements zu der Veröffentlichung des Paper. Unter anderem vom Open Technology Institute (OTI) und vom Center for Democracy & Technology (CDT).