Новости Software

Bloomberg: АНБ знало об уязвимости OpenSSL

Авторитетный ресурс Bloomberg сообщает, что масштабная уязвимость «Сердечное кровотечение» (Heartbleed) в весьма популярном криптографическом пакете OpenSSL, которая шокировала специалистов по безопасности в Интернете, была известна Агентству национальной безопасности США (АНБ). Более того, со ссылкой на двух анонимных информаторов сообщается, что АНБ активно использовало уязвимость.

The Verge

The Verge

Об уязвимости якобы сознательно не сообщалось общественности в национальных интересах, а агентство могло относительно легко получать пароли и необходимые данные с серверов и систем, подверженных уязвимости. Bloomberg утверждает, что первоначально Heartbleed была обнаружена специалистами АНБ в 2012 году, так что агентство имело возможность эксплуатировать уязвимость почти всё время её существования.

Bloomberg, Brooks Kraft/Corbis

Bloomberg, Brooks Kraft/Corbis

Напомним: уязвимость могла быть использована для доступа к важным данным многих и многих служб и сайтов, включая Google Gmail и Amazon Web Services (упомянутые компании устранили ошибку лишь на днях). Технология OpenSSL применяется едва ли не в двух третях всех веб-сайтов и служб, использующих шифрование SSL/TLS. Один из источников Bloomberg даже заявляет, что в картотеку АНБ занесены сотни подобных уязвимостей, и агентство постоянно их использует для слежки и сбора данных.

АНБ, впрочем, официально отвергло обвинения, заявив, что не было осведомлено об ошибке до тех пор, пока она не была предана огласке в понедельник. Белый дом тоже отверг обвинение через необычно решительное и незамедлительное заявление Совета национальной безопасности: «Если бы федеральное правительство, включая разведывательное сообщество, обнаружили эту уязвимость ранее прошлой недели, о ней бы сообщили команде, ответственной за развитие OpenSSL».

Bloomberg, Brooks Kraft/Corbis

Bloomberg, Brooks Kraft/Corbis

Тем не менее, легко представить, что АНБ действительно могла обнаружить ошибку ранее, учитывая огромные ресурсы этой организации: считается, что агентство тратит $1,6 млрд в год на обработку данных и разведку, что более чем в тысячу раз больше годового бюджета проекта OpenSSL. Заинтересованная в доступе к зашифрованной информации, АНБ не могла не обращать внимание и не изучать исходные коды OpenSSL.

Если АНБ в национальных интересах действительно решило держать в секрете информацию об уязвимости Heartbleed, это может вызвать жаркие дискуссии о роли спецслужб в сообществе специалистов по компьютерной безопасности.

Bloomberg, Brooks Kraft/Corbis

Bloomberg, Brooks Kraft/Corbis

Источники:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме
window-new
Soft
Hard
Тренды 🔥