منتديات نبع الفرات

تمت ارشفة منتديات نبع الفرات

المشاركات من الموضوع Redacted: This is how the government ‘informs’ you about critical software flaws

  1. بواسطة مرتجى العامري

    [صورة]

    The US government has released a document describing the process it undertakes when deciding whether or not to inform the public about critical vulnerabilities it discovers in software. However, important details remain redacted.
    Essentially, the document shows that an interagency review board, facilitated by an office within the National Security Agency (NSA) called the ‘Executive Secretariat’, decides whether the public will learn about software flaws that could be exploited. The entire practice is known as the ‘Vulnerabilities Equities Process’, or VEP.


    Information about the process itself, however, was redacted. The government also redacted all information regarding a decision to not disclose security vulnerabilities.


    Despite initially stating that the entire document was classified, the government released it Thursday to the Electronic Frontier Foundation, the digital rights advocacy group which had filed a lawsuit against seeking more information about the VEP.

    Concern over the VEP stems from the government’s acknowledgment that it uses “zero-day” exploits against foreign targets and criminal suspects. These zero-day exploits are vulnerabilities in computer software that are not known to the software developer. Since they are not known, malicious code can be designed to exploit the vulnerabilities and attack the computers targeted by governments and hackers, both US and foreign alike.


    In April 2014, the US stated that “unless there is a clear national security or law enforcement need” for a zero-day exploit, “it is in the national interest to responsibly disclose the vulnerability.” The VEP was then cited as the government’s way of deciding when to disclose such exploits, and it was described as “biased toward” disclosure.


    The newly released document states that in order for an exploit to be submitted to into the VEP, it must meet the threshold of being “both newly discovered and not previously known.” Previously, the government declined to disclose this threshold.


    Under the VEP, the National Security Agency/Information Assurance Directorate serves as the Executive Secretariat for the process, which entails facilitating discussions, decisions and record-keeping regarding the exploits. The document states that the role must be performed “so as to remain neutral and independent of the organization's equities in any particular case.”


    Agencies that can participate in the process include but may not be limited to the Departments of State, Justice, Homeland Security, Treasury, Commerce, and Energy, and the Office of the Director of National Intelligence, so long as they have a “self-identified” interest in the vulnerability being discussed.

    Under the section set to describe the “Vulnerability Equities Process,” all of the text is redacted.


    Under the section titled “Process Overview,” the government describes the steps it takes when a vulnerability is identified. However, these steps are redacted as well.


    The government also redacted the section that describes the steps taken to implement a decision that finds no disclosure of the software exploit will be made.


    The actual decision on whether to disseminate information about an exploit is made by an interagency Equities Review Board. Subject matter experts (SME) discuss the issue and make recommendations to the ERB, which then comes up with a decision. If it cannot form a decision together, a vote is taken and the decision is made by majority rule.

    Still unclear is how many vulnerabilities the government has disclosed and how often it does so. The EFF said it is still “digesting” the document and has not decided whether or not it will seek to uncover any of the remaining redactions.


    The government’s use of zero-day exploits first came into question when reports began stating that the NSA knew about the damaging ‘Heartbleed’ bug well in advance but decided to keep its existence secret in order to exploit it.


    In response, the Office of the Director of National Intelligence denied that this was the case and made the first mention of the VEP.


    In an interview with Wired, Special Assistant to the President and Cybersecurity Coordinator Michael Daniel said that while the VEP was in place, it had to be “reinvigorated” because it “had not been implemented to the full degree that it should have been.”





    source :RT

    الترجمة للعربية



    حجب: هذا هو كيف يمكن للحكومة "بإعلام 'لكم عن العيوب البرامج الهامة


    [صورة]

    أصدرت الحكومة الأميركية وثيقة تصف العملية التي تتعهد عند اتخاذ قرار ما إذا كان أو لم يكن لإطلاع الجمهور على نقاط الضعف الحرجة يكتشف في مجال البرمجيات. ومع ذلك، تبقى تفاصيل مهمة منقحة.
    في الأساس، وتظهر الوثيقة أن لجنة مراجعة بين الوكالات، يشرف عليها مكتب في وكالة الأمن القومي (NSA) تسمى "الأمانة التنفيذية، يقرر ما إذا كان الجمهور سوف التعلم عن عيوب البرمجيات التي يمكن استغلالها. ومن المعروف أن الممارسة برمتها "عملية وجود ثغرات أمنية الأسهم، أو VEP.


    معلومات عن العملية نفسها، ولكن تم حجب. أيضا حجب الحكومة جميع المعلومات المتعلقة قرارا بعدم الكشف عن الثغرات الأمنية.


    على الرغم تفيد في البداية أن الوثيقة بأكملها تم تصنيفها، أفرجت الحكومة انها الخميس لمؤسسة الحدود الإلكترونية، مجموعة الدفاع عن الحقوق الرقمية التي قد أقام دعوى قضائية ضد الحصول على مزيد من المعلومات حول VEP.


    عن قلقها إزاء VEP ينبع من اعتراف الحكومة بأنها تستخدم مآثر "اليوم صفر" ضد اهداف اجنبية والمشتبه فيهم جنائيا. هذه مآثر صفر اليوم هي نقاط الضعف في برامج الكمبيوتر التي ليست معروفة للمطور البرمجيات. لأنها ليست معروفة، والشيفرات الخبيثة يمكن أن تكون مصممة لاستغلال نقاط الضعف ومهاجمة أجهزة الكمبيوتر المستهدفة من قبل الحكومات وقراصنة الكمبيوتر، كل من الولايات المتحدة وعلى حد سواء الأجنبية.


    في أبريل 2014، أعلنت الولايات المتحدة أن "ما لم يكن هناك أمن أو إنفاذ القانون ضرورة وطنية واضحة" عن اليوم صفر استغلال، "هو في المصلحة الوطنية للكشف عن مسؤولية الضعف." وبعد ذلك استشهد VEP باسم الحكومة طريقة لتحديد متى الكشف عن تلك المآثر، ووصفته بأنه "منحاز نحو" الكشف.


    وتنص الوثيقة على صدر حديثا أنه من أجل لاستغلال الذي سيقدم إلى داخل VEP، يجب أن تلبي الحد الأدنى من كونها "كلا المكتشفة حديثا وغير معروفة في السابق." في السابق، أن الحكومة رفضت الكشف عن هذه العتبة.


    تحت VEP، وكالة الأمن القومي مديرية أمن المعلومات / بمثابة الأمانة التنفيذية لهذه العملية، التي تستلزم تيسير المناقشات والقرارات وحفظ السجلات المتعلقة مآثر. وتنص الوثيقة على أن دور يجب أن يقوم "لكي تبقى محايدة ومستقلة للأسهم المنظمة في أي قضية معينة."


    الوكالات التي يمكن أن تشارك في العملية تشمل ولكن لا تقتصر على وزارتي الخارجية والعدل والأمن الداخلي، والخزانة والتجارة، والطاقة، ومكتب مدير الاستخبارات الوطنية، طالما لديهم "الذاتي حدد "مصلحة في الضعف التي تجري مناقشتها.


    تحت قسم تعيين لوصف "عملية الضعف الأسهم،" كل من النص ومنقحة.


    ضمن الجزء الموجود بعنوان "نظرة عامة على عملية" تصف الحكومة الخطوات التي تتخذها عندما يتم التعرف على الضعف. ومع ذلك، يتم حجب هذه الخطوات أيضا.


    حجب الحكومة أيضا على المقطع الذي يصف الخطوات المتخذة لتنفيذ القرار الذي لا يجد الكشف عن البرمجيات استغلال وستبذل.


    تم اتخاذ القرار الفعلي حول ما إذا كان لنشر المعلومات حول استغلال من قبل مجلس مراجعة الوكالات الأسهم. الخبراء في الموضوع (SME) مناقشة هذه القضية وتقديم توصيات إلى ERB، الذي يأتي بعد ذلك إلى قرار. إذا كان لا يمكن أن تشكل قرارا معا، إجراء التصويت واتخاذ القرار من قبل حكم الأغلبية.


    يزال غير واضح هو كم من نقاط الضعف وكشف الحكومة وعدد المرات فإنه يفعل ذلك. وقال ممثل المؤسسة انها لا تزال "هضم" وثيقة ولم تقرر ما إذا كان سيسعى للكشف عن أي من صيغ منقحة المتبقية.


    استخدام الحكومة من يستغل اليوم صفر وجاءت لأول مرة في السؤال عندما بدأت تقارير تفيد بأن وكالة الأمن القومي أعرف عن علة ضررا "هارتبليد" في وقت مبكر ولكن قررت أن تبقي سرا وجودها من أجل استغلالها.


    ردا على ذلك، نفى مكتب مدير الاستخبارات الوطنية أن هذا هو الحال وجعلت أول ذكر للVEP.


    في مقابلة مع السلكية، المساعد الخاص لمنسق الرئيس والأمن السيبراني وقال مايكل دانيال أنه في حين كان VEP في المكان، وكان لا بد من "تنشيط" لأنه "لم تنفذ حتى الدرجة الكاملة التي كان ينبغي أن يكون."


    المصدر : RT
  2. بواسطة محمد القطبي

    ​مجهودك رؤؤؤعة مجموجي:4:
  3. بواسطة مرتجى العامري

    النت الاروع حمودي :4:
  4. بواسطة شـ,ـهـ,ـد

    طرح قيم
    ومضمون رائع. عاشت الايادي مجهود مميز وممتميز
  5. بواسطة مرتجى العامري

    المميز والمتميز هو مرورك وتعطيرك الموضوع
    انرتِ وشكرا جزيلا لكِ على المرور
  6. بواسطة Adonai

    شكراا لك
  7. بواسطة مرتجى العامري

    العفو حبيبي نورت