Bruce Schneier wägt ausführlich ab, ob z. B. die NSA neu gefundene Sicherheitslücken aufdecken oder ausnutzen soll. Ein Teil des Kernproblems ist dieser Absatz:
The NSA can play either defense or offense. It can either alert the vendor and get a still-secret vulnerability fixed, or it can hold on to it and use it as to eavesdrop on foreign computer systems. Both are important US policy goals, but the NSA has to choose which one to pursue. By fixing the vulnerability, it strengthens the security of the Internet against all attackers: other countries, criminals, hackers. By leaving the vulnerability open, it is better able to attack others on the Internet.
Schwieriges Thema.
Jeder hintergeht jeden, die wenigsten veröffentlichen ihre Erkenntnisse, ordentliche (internationale) Behördenaufsicht gibt es nicht und wir sollen glauben, dass alles sicher ist.
Ich frage mich: müssen wir als Anwender es überhaupt hinzunehmen, dass so viele Sicherheitslücken „da draußen“ sind? Warum müssen nicht die Software-Hersteller dafür haften, gibt es kein Produkthaftungsgesetz für Software?