internetWiadomość główna

Bloomberg: NSA korzystało z Heartbleed od dwóch lat

Nigdy nie zgadniecie, kto korzystał z Heartbleed od dawna, ale nie uznał za stosowne podzielić się wiedzą o najpoważniejszej z do tej pory odkrytych luk w OpenSSL. No dobra, nie czarujmy się, chyba wszyscy podejrzewali, że luka ta mogła zostać wykorzystana przez instytucje pokroju NSA, ale dopiero w sobotę pojawiły się pierwsze doniesienia o tym, że rzeczywiście tak było.

Przynajmniej tak twierdzi Bloomberg. Według amerykańskiej agencji prasowej NSA od samego początku wiedziało o Heartbleed i regularnie wykorzystywało tę lukę do zdobywania istotnych informacji. Według dwóch anonimowych źródeł Bloomberga, NSA sama odkryła błąd dwa lata temu i korzystała z niego przez cały ten czas.

NSA oczywiście zaprzeczyło doniesieniom Bloomberga twierdząc, że o zagrożeniu dowiedziało się w poniedziałek, czyli wtedy, gdy po raz pierwszy ujawniono szczegóły dotyczące Heartbleed. Nie można tego wykluczyć, ale trochę trudno w to uwierzyć. Zwłaszcza, że nie jest tajemnicą, iż amerykańskie (ale nie tylko) agencje wywiadowcze skupują informacje o wszystkich możliwych lukach w zabezpieczeniach, by wykorzystać je do własnych celów. Proceder ten jest podobno tak powszechny, że, jeszcze przed wybuchem skandalu związanego z osobą Edwarda Snowdena, byli doradcy Białego Domu do spraw cyberbezpieczeństwa ostrzegali publicznie, że takie praktyki po prostu narażają bezpieczeństwo zwykłych użytkowników.

Jeśli doniesienia Bloomberga są prawdą, ostrzeżenia Howarda Schmidta i Richarda Clarke’a z maja 2013 roku byłyby prorocze. Tymczasem administracja Obamy wystosowała oświadczenie, w którym czytamy, że:

„Jeśli rząd federalny, łącznie z wspólnotą wywiadowczą, odkryłby tę lukę wcześniej niż w ubiegłym tygodniu, informacja o niej zostałaby przekazana społeczności odpowiedzialnej za OpenSSL.”

Możliwe. Choć moim zdaniem dużo bliższe prawdzie są słowa pewnego anonimowego pracownika firmy zbrojeniowej, który twierdził rok temu, że jego zadaniem było mieć zawsze po ręką 25 sztuk tzw. zero-day exploitów kupionych od hackerów, które rząd USA mógłby wykorzystać do swoich celów.


podobne treści