Agencja NSA używa luki Heartbleed od lat! [AKTUALIZACJA]

Afera Heartbleed przybrała nieoczekiwany obrót. Agencja Bloomberg dotarła do źródeł, według których agencja NSA wie o luce niemal od samego początku. I aktywnie z niej korzysta. Internet stanie na głowie?

AKTUALIZACJA

NSA początkowo odmówiła dziennikarzom Bloomberga komentarza. W piątkowe popołudnie agencja wystosowała dementi:

"NSA nie była świadoma istnienia luki odkrytej ostatnio w bibliotece OpenSSL do czasu, aż informacje o Heartbleed upubliczniono. Doniesienia, że było inaczej są mylne".

***

Według dwóch anonimowych źródeł, do których dotarła agencja informacyjna Bloomberg, NSA od dawna wiedziała o luce Heartbleed. Od niemal dwóch lat agencja aktywnie wykorzystuje ją do przejmowania haseł i innych danych.

Przypomnijmy, że przez ten czas luka w zabezpieczeniach OpenSSL mogła być wykorzystywania do penetrowania wielu popularnych serwisów jak choćby poczta Gmail czy usługi hostingowe Amazon. Ze względu na specyfikę błędu przechwytywanie danych nie pozostawiało żadnych śladów. Dziś nie sposób więc ocenić co "przeczytała" NSA.

Potencjalnie w zasięgu Amerykanów było 2/3 serwerów na całym świecie.

Wielkie pieniądze i wielki błąd

Co gorsza jedno ze źródeł Bloomberga twierdzi, że NSA ma "dziesiątki tego typu luk do dyspozycji". Ilość informacji przechowywanych na serwerach NSA jest oczywiście nieznana. Warto jednak zwrócić uwagę na szacunki, według których agencja wydała na samo tylko przetwarzanie danych 1,6 miliarda dolarów. Przypomnijmy: twórcy OpenSSL na swoją działalność zebrali z publicznych datków 850 tys. dol.

Niemiecki programista Robin Seggelman - "twórca" Heartbleed - w rozmowie z dziennikarzami oświadczył, że luka powstała na skutek zwykłego błędu w programowaniu, odrzucił jakiekolwiek oskarżenia o celowe działanie.

Afera Heartbleed stała się jedną z największych w historii całego internetu. Społeczność programistów, administratorów, szefowie koncernów takich jak Facebook czy Google nie pozostawią tej sprawy bez konsekwencji. Nikt z nas nie może mieć bowiem pewności, że jego dane nie stały się obiektem zainteresowania NSA. Dla agencji najpewniej nie ma absolutnie żadnych barier.

Komentarz eksperta

O komentarz do sprawy znów poprosiliśmy Michała "ryśka" Woźniaka z Fundacji Wolnego i Otwartego Oprogramowania . Jest specjalistą zarówno jeśli chodzi o kwestię zabezpieczeń w sieci jak i wolnego internetu. Nie kryje oburzenia:

Wyobraźmy sobie, że służby bezpieczeństwa miałyby informację o poważnym błędzie w oprogramowaniu używanym na pokładzie samolotów (np. autopilocie), mogącym doprowadzić do katastrofy, i przez 2 lata nie przekazały by tej informacji producentom, liniom lotniczym i instytucjom nadzoru lotniczego. Ocena takiego działania, niezależnie od próby ubrania go w kostium "bezpieczeństwa narodowego", byłaby tyleż krótka, co jednoznaczna. Jeżeli NSA znalazło ten błąd, również inne agencje (z Rosji czy Chin) oraz cyberprzestępcy mogli o nim wiedzieć. Słowem, NSA pozwoliło na sytuację, w której cyberprzestępcy i obce wywiady były przez 2 lata w stanie wykorzystywać krytyczną lukę w zabezpieczeniach stron na całym świecie. Pamiętajmy przy tym, że z projektu OpenSSL korzystają nawet najwięksi, od Google po strony banków. Każdy z nas był więc z powodu NSA przez 2 lata poważnie zagrożony. Pozostaje pytanie, o ilu jeszcze podobnych lukach NSA wie?

Czekamy na wasze komentarze.

Więcej o: