ОКО ПЛАНЕТЫ > Оружие и конфликты > АНБ занимается покупкой уязвимостей нулевого дня, которые держит в секрете и использует для шпионажа

АНБ занимается покупкой уязвимостей нулевого дня, которые держит в секрете и использует для шпионажа


17-06-2015, 06:44. Разместил: Редакция ОКО ПЛАНЕТЫ

ВМС США ПРОСИТ СООБЩАТЬ ОБ УЯЗВИМОСТЯХ НУЛЕВОГО ДНЯ

Геополитика
Россия-Запад, Многополярный мир, Проблемы в США

 

Известно, что АНБ занимается покупкой уязвимостей ***нулевого дня, которые держит в секрете и использует для шпионажа. Оказывается, не одна эта спецслужба занимается подобной деятельностью.

10 июня 2015 года на сайте с государственными тендерами FedBizOpps.gov появилось предложение от Военно-морских сил США (U.S. Navy) на поиск подрядчика типа CMMI-3 (Capability Maturity Model Integration), способного обеспечить поставку уязвимостей нулевого дня и рабочих эксплоитов, которые могут быть интегрированы в существующие фреймворки для эксплуатации.

Вскоре после того, как это тендерное предложение упомянули в прессе, его убрали с сайта. Тем не менее, оно сохранилось в кэше поисковых систем. В описании заявки сказано, что ВМС США нуждается в информации об эксплоитах, а также «рабочих бинарных файлах» для взлома коммерческих программ, в том числе Microsoft, Adobe, [Oracle] Java, EMC, Novell, IBM, Android, Apple, Cisco IOS, Linksys WRT и Linux.

«Продавец должен предоставить предлагаемый список уязвимостей, 0-day или N-day (не старше шести месяцев), — сказано в заявке. — Список должен обновляться ежеквартально и включать в себя разведданные и эксплоиты для широко используемого программного обеспечения. Государственные службы выберут необходимые из списка эксплоитов и бинарных файлов».

По условиям тендера, поставщик должен обеспечить в течение года как минимум десять отчётов с соответствующими эксплоитами (не менее двух за квартал).

В условиях также сказано, что подрядчик должен разрабатывать эксплоиты для новых уязвимостей CVE, информация о которых появляется в открытом доступе.

 

***0day (англ. zero day) — термин, обозначающий неустранённые уязвимости, а также вредоносные программы, против которых ещё не разработаны защитные механизмы.

Сам термин означает, что у разработчиков было 0 дней на исправление дефекта: уязвимость или атака становится публично известна до момента выпуска производителем ПО исправлений ошибки (то есть потенциально уязвимость может эксплуатироваться на работающих копиях приложения без возможности защититься от неё).


https://xakep.ru/2015/06/16/us-navy-0day/

Вернуться назад