Doniesienia te z jednej strony nie powinny być szczególnym zaskoczeniem, bo oczywistym jest, że takie informacje są dla instytucji prowadzących działania wywiadowcze w Internecie niezwykle cenne. Ale dziwić może fakt, że rząd USA jest najaktywniejszych nabywcą takich danych - wszak od lat słyszymy, że państwem, które takie działania podejmuje najchętniej, są Chiny, regularnie oskarżane o ataki hakerskie na zachodnie firmy i instytucje państwowe.

Dodajmy, że w tym roku takie oskarżenia po raz pierwszy pojawiły się w oficjalnym dokumencie rządowym w USA - informacje o domniemanych chińskich atakach znalazły się w corocznym raporcie nt. bezpieczeństwa, składanym w Kongresie przez Departament Obrony USA (Chiny oczywiście zdążyły już nazwać te doniesienia "oszczerczymi" i "bezpodstawnymi").

Zobacz również:

• Apple ostrzega użytkowników w 92 krajach. Uwaga na ataki szpiegowskie
• VMware wzywa do pilnej aktualizacji oprogramowania Aria for Network Operations
• ByteDance: nie mamy zamiaru sprzedawać TikToka

Raport został zresztą w USA przyjęty dość sceptycznie - tamtejsi specjaliści ds. bezpieczeństwa zwracali uwagę, że demonizuje się w nim chińskich hakerów, a zupełnie pomija fakt, że amerykańskie instytucje rządowe podejmuje bardzo podobne działania wobec chińskich systemów informatycznych. Eksperci, z którymi rozmawiali dziennikarze agencji Reuters, twierdzą, że w ostatnim czasie amerykańskie władze dramatycznie zintensyfikowały prace w tym kierunku.

"Moja praca dla Departamentu Obrony polegała m.in. na tym, aby w każdej chwili mieć do dyspozycji nowych 25 luk typu zero-day, które można by wykorzystać w jakimś ataku informatycznym" - powiedział agencji anonimowy przedstawiciel jednej z firm z branży IT security, współpracującej z władzami USA. Jego zdaniem zapotrzebowanie na luki jest obecnie tak duże, że wiele podobnych firm zatrudnia dodatkowych specjalistów, tylko po to, by analizować popularne oprogramowanie pod kątem błędów zero-day. Kwoty, które rząd USA jest w stanie zapłacić za informacje o takiej luce zaczynają się od 50 tys. USD (ich ostateczna wysokość uzależniona jest m.in. od popularności danej aplikacji, stopnia zagrożenia itp.).

Dziennikarze zwracają uwagę, że postępowanie władz USA jest dość nieodpowiedzialne - ponieważ z punktu widzenia użytkowników oprogramowania byłoby zdecydowanie lepiej, gdyby informacje o lukach były przekazywane producentom aplikacji (w celu rozwiązania problemu). Obecnie nie ma gwarancji, że szczegółowy opis błędu nie zostanie przekazany również innym rządom lub sprzedany jakiejś grupie cyberprzestępczej - a wtedy na atak narażeni będą nie tylko zwykli użytkownicy, ale również firmy oraz instytucje administracji publicznej.

Tworzenie popytu na informacje o lukach ma też dodatkowy negatywny efekt - okazuje się, że specjaliści ds. bezpieczeństwa coraz rzadziej decydują się na nieodpłatne udostępnianie takich informacji firmom. Swój udział w tym zjawisku mają zresztą również Google oraz Facebook, które od dawna wypłacają nagrody za błędy, aczkolwiek ich przedstawiciele przyznają, że proponowane przez nich kwoty są niewielkie w porównaniu z tym, ile za lukę jest w stanie zapłacić amerykańska instytucja rządowa…