Actualitate
NSA a profitat timp de doi ani de o vulnerabilitate a protocolului de criptare OpenSSL pentru a colecta date ale utilizatorilor
Agenţia Naţională de Securitate (NSA) din Statele Unite a profitat în ultimii doi ani de vulnerabilitate a protocolului de criptare OpenSSL denumită ”Heartbleed” prin intermediul căreia colecta date private ale utilizatorilor serviciilor de internet.
Agenţia Naţională de Securitate (NSA) din Statele Unite. Sursă foto: DailytechYahoo, Gmail și Facebook sunt afectate
Vulenerabilitatea a fost descoperită în această săptămână în cadrul protoculului OpenSSL, un protocol open-source de implementare a funcţiilor criptografice de bază. Eroarea a fost denumită Heartbleed şi poate fi folosită pentru a extrage date de pe orice server care utilizează OpenSSL, potrivit Wired care citează un reportaj Bloomberg.
Printre serverele afectate de această eroare se numără cele ale Yahoo, Gmail şi Facebook, iar utilizatorii acestor servicii sau site-uri au fost, cel mai probabil, expuşi, potrivit aceleași surse.
În prezent eroarea afectează aproximativ 66% din spațiile de stocare de pe internet, iar administratorii de servere trebuie să treacă la o nouă versiune a protocolului.
Heartbleed, instrumentul de spionaj al NSA
Mai multe zvonuri au apărut zilele acestea potrivit cărora agenția de spionaj americană știa încă de acum doi ani despre slăbiciunea protocolului OpenSSL care le-ar permite hackerilor să spargă parole, să acceseze conținuturi ale e-mailurilor utilizatorilor și alte informații din memoria unor servere web sau a altor sisteme mai vulnerabile.
Aceste zvonuri au fost confirmate de două surse care au dorit să rămână anonime și care au declarat pentru Bloomberg faptul că un programator al NSA descoperise această vulnerabilitate încă din 2012. ”Defectul devenise la scurt timp după ce a fost descoperit o parte esenţială a setului de instrumente ale agenţiei pentru a fura parolele conturilor și nu numai”.
Potrivit documentelor făcute publice de Edward Snowden, agenția de spionaj a folosit o serie de metode în cadrul unui program cu nume de cod "Project Bullrun" pentru a submina protocolul de criptare. ”Sub Bullrun, NSA putea ”ocoli” protocoalele de criptare precum HTTPS, voice-over-IP și Secure Sockets Layer (SSL), utilizate pe scară largă pentru protejarea magazinelor on-line și serviciilor bancare", afirmă Wired.
Astfel, potrivit surselor jurnalistului Michael Riley de la Bloomberg, în prezent NSA dispune de o bază de date care conţine mii de vulnerabilităţi care probabil nu au fost observate de către specialiştii în securitate.
NSA neagă
NSA neagă informaţiile publicate de Bloomberg potrivit cărora ştia despre vulnerabilitatea Heartbleed. „NSA nu ştia despre recent descoperita vulnerabilitate din OpenSSL, denumită Heartbleed, până ce nu s-a aflat despre aceasta în sectorul privat al securităţii online. Informarţiile care prezintă altă situaţie sunt greşite“, se arată în comunicatul oficial.
Purtătorul de cuvânt al Consiliului Național de Securitate al Casei Albe, Caitlin Hayden, a negat, de asemenea, că agenția federală știa despre eroarea Heartbleed. "Dacă guvernul federal, inclusiv comunitatea de informații, ar fi descoperit aceasta vulnerabilitate înainte de săptămâna trecută, cei din comunitatea OpenSSL ar fi fost anunțați", a declarat Caitlin Hayden.