» »

Ali je NSA izkoriščala Heartbleed?

Ali je NSA izkoriščala Heartbleed?

Bloomberg - Ta teden je bila glavna varnostna novica odkritje ranljivosti Heartbleed v OpenSSL 1.0.1, ki je skorajda dve leti neopazno ždela v kodi in omogočala pridobitev vsebine strežnikovega pomnilnika. Ni znano, ali je ranljivost kdo izkoriščal, a Bloomberg trdi, da jo je vsaj ameriška NSA.

NSA naj bi za ranljivost vedela od samega nastanka in jo tudi aktivno izkoriščala, so zapisali, sklicujoč se na podatke dveh neodvisnih virov blizu NSA. Da bi jo lahko karseda dolgo izkoriščali, o njenem obstoju niso obvestili nikogar. Z uporabo NSA so pridobivali gesla, certifikate in drugo občutljivo vsebino, ki jim je omogočala neoviran dostop do tujih strežnikov.

NSA je sprva molčala, potem pa so trditve javno demantirali. V sporočilu za javnost in na Twitterju trdijo, da pred letom 2014 za ranljivost Heartbleed niso vedeli. To je precej malo verjetno, saj ima ogromna NSA z več kot 40.000 zaposlenimi posebne oddelke (skupno več kot 1000 zaposlenih), ki ne počno nič drugega kakor da prečesavajo odprto kodo in iščejo možne vektorje napada. Ranljivost Heartbleed, ki se je v OpenSSL prikradla v začetku leta 2012 z majhno spremembo kode, bi tako sila težko ostala spregledana.

Avtor dela kode, ki je ranljivost prinesel v OpenSSL, pravi, da je napaka resna, a povsem nenamerna in da se je zaradi spleta okoliščin znašla v končni, recenzirani verziji.

Prav tako ostaja neznanka vprašanje, ali je kdo drug še izkoriščal to luknjo. Trenutno ni dokazov za kaj takšnega, a tudi obveščevalne agencije v drugih državah niso neumne. CloudFare je preizkusil, kako enostavno je ranljivost izkoristiti za pridobitev zasebnih ključev, in ugotovil, da je to zelo težko, saj jim ni uspelo. Je pa to uspelo dvema raziskovalcema, kar tudi praktično potrjuje, da je ranljivost izjemno resna.

8 komentarjev

filip007 ::

Oni nočejo sodelovati pri spletni varnosti, zakaj pa bi priznali, tako da pljunek na njih in po njih.
Plejstejšon.

Phantomeye ::

NSA pa ze ne :D

stb ::

Matthai ::

Koda za krajo ključev:
https://gist.github.com/epixoip/10570627

Človek je rabil 7 ur za tole sprogramirat. NSA je imela dve leti časa... ;)
All those moments will be lost in time, like tears in rain...
Time to die.

s6c-gEL ::

Niso vedeli, majkemi !

Afo ::

Verjamem da je ravno prav tako verjetno da niso poznali te ranljivosti, kot da so jo. Dokler kdo od "verodostojnih" ne potrdi, je vse samo ugibanje.

To je precej malo verjetno, saj ima ogromna NSA z več kot 40.000 zaposlenimi posebne oddelke
Namreč zakaj pa bi vedli za vsako večjo ranljivost? Mogoče imajo pa v rokavu še kaj boljšega, pa se jim ni treba s čim takšnim zafrkavat. Lahko pa da so samo spregledali...
Bolje biti mlad in neumen, kot samo neumen!

b3D_950 ::

Gandalfar ::

Ce bi kdo o tem v slovenscini si video pogledal: http://tv.nil.si/rancic_heartbleed_open...


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Kritična ranljivost v OpenSSL bi lahko omogočala krajo strežniških zasebnih ključev (strani: 1 2 )

Oddelek: Novice / Varnost
7912825 (6474) Isotropic
»

Ali je NSA izkoriščala Heartbleed?

Oddelek: Novice / Varnost
83944 (1316) Gandalfar
»

Pregled kode TrueCrypta za zdaj ni našel stranskih vrat (strani: 1 2 )

Oddelek: Novice / Varnost
5313127 (10129) bobby
»

Kritična ranljivost v GnuTLS neodkrita skoraj devet let (strani: 1 2 3 )

Oddelek: Novice / Varnost
13415725 (11283) jype
»

NSA in Microsoft prestrezala komunikacijo pred šifriranjem (strani: 1 2 3 )

Oddelek: Novice / NWO
13024575 (19597) Truga

Več podobnih tem