W czasie dyskusji na temat wycieków Edwarda Snowdena pojawiła się w mediach opinia, że amerykańskie służby mogą być bardzo zaawansowane w niektórych obszarach i bardzo opóźnione w innych. Niestety w obszarze bezpieczeństwa informatycznego najwyraźniej są opóźnienia i dotyczą one również Armii Stanów Zjednoczonych. 

W ubiegłym tygodniu serwis BuzzFeed poinformował o ciekawej luce w wojskowych komputerach oraz o jeszcze ciekawszym sposobie "rozwiązania problemu" tej luki.

Znalazłeś lukę? Siedź cicho!

Anonimowy oficer ujawnił serwisowi BuzzFeed, że możliwe jest korzystanie z wojskowego komputera z takim poziomem uprawnień, jaki miała osoba używająca wcześniej z tej samej maszyny.

Korzystając z komputera wojskowy musi używać specjalnej karty. Po wylogowaniu zabiera tę kartę ze sobą, ale sam proces wylogowania przebiega dość wolno. Odkrywca luki zauważył, że kolejna osoba podchodząca do komputera może przerwać proces wylogowania i korzystać z komputera z uprawnieniami innej osoby.

Oficer, z którym rozmawiał BuzzFeed, odkrył lukę już w roku 2011(!). Skontaktował się ze swoimi przełożonymi, a oni przyznali, że nic nie mogą w tej sprawie zrobić, że to niepraktyczne, że trzeba by zmienić kontrakty itd.

Ostatecznie przełożeni dali żołnierzowi do podpisania dokument, w którym zobowiązywał się on do nieujawniania informacji o luce (zob. Exclusive: How An Army Computer Security Flaw Got Swept Under The Rug).

Na lukę trzeba uważać

W czasie ubiegłego weekendu BuzzFeed otrzymał oficjalne potwierdzenie, że luka faktycznie istnieje. Czy armia ma zamiar coś z tym zrobić? Z pewnością poinformuje ona żołnierzy, aby uważali przy procesie wylogowania. Oficjalnie wojsko nie chciało komentować faktu zobowiązywania swojego oficera do milczenia o luce.

Z ustaleń BuzzFeeda wynika, że wielu żołnierzy miało świadomość istnienia luki, nawet na niższym szczeblu. Co najmniej dwóch żołnierzy próbowało formalnie zgłaszać fakt istnienia luki. Być może nie powinni oni zgłaszać tego przełożonym, ale osobom odpowiedzialnym za IT. Czy jest to jednak wytłumaczenie dla ignorowania istnienia luki?

Całą tę historię można uznać za klasyczny przykład do książki pt. "Jak nie postępować z lukami bezpieczeństwa". Niestety ta praktyka stosowana jest w najnowocześniejszej i najbardziej potężnej armii świata. Teraz może się wydawać, że liczba whistleblowerów, takich jak Snowden i Manning, i tak jest w USA bardzo niska.

Czytaj także: Snowden w sekrecie wyniósł informacje z NSA. Skoro on mógł, inni też mogli