Федеральное бюро расследований (ФБР) США впервые призналось в том, что его агенты используют неизвестные уязвимости в программном обеспечении для взлома компьютеров подозреваемых в совершении преступлений. Об этом изданию Washington Post заявила 49-летняя Эми Хес (Amy Hess), руководитель научно-технологического подразделения бюро — Operational Technology Division (OTD), — которое этом занимается.

Под неизвестными уязвимостями подразумеваются те уязвимости, о которых не знает производитель ПО, и "заплатки" для которых по этой причине пока не выпущены (другое название - уязвимости 0-day).

Ненадежный метод

Хес добавила, что взлом компьютеров — это не самый любимый метод ФБР, потому что найденные уязвимости можно использовать лишь определенное время — а потом они "исчезают", так как производитель выпускает патч. "Поэтому в плане надежности нет ничего лучше традиционной прослушки", — сказала Хес.

Роль OTD

"Что бы ни потребовалось — просто получить доказательства или обработать большие объемы данных с камер видеонаблюдения, — подразделению Хес достается работа в любом расследовании", — заявила бывшая сотрудника ФБР Стефани Дуглас (Stephanie Douglas).

Например, в 2013 г. благодаря анализу видео с камер наблюдения, выполненному специалистами подразделения OTG, удалось найти и осудить организатора теракта на Бостонском марафоне в 2013 г.

Перехват сотового сигнала

Помимо использования неизвестных уязвимостей в собственных целях, ФБР занимается и другой деятельностью, которую многие осуждают. Речь идет об установке базовых станций сотовой связи для перехвата сигналов с мобильников. В сентябре 2014 г. компания ESD America, специализирующаяся на технологиях защиты, сообщила, что обнаружила в США свыше 20 подозрительных вышек, которые не имели стандартных идентификаторов и были установлены на военных объектах.

Критика

Использование уязвимостей и перехват сотовых сигналов, наряду с отслеживанием мобильных телефонов и использованием систем идентификации лиц и радужных оболочек глаза — методы ФБР, за которые бюро часто критикуют правозащитники. Однако Эми Хес в этом плане занимает жесткую позицию.

"Что было бы лучше: выяснить личность человека, представляющего угрозу общественной безопасности, или предупредить разработчика программного обеспечения, что уязвимость в его продукте позволит нанести вред пользователям?", — задает риторический вопрос Хес. По ее мнению, выбор очевиден.