» »

Ali je NSA izkoriščala Heartbleed?

Ali je NSA izkoriščala Heartbleed?

Bloomberg - Ta teden je bila glavna varnostna novica odkritje ranljivosti Heartbleed v OpenSSL 1.0.1, ki je skorajda dve leti neopazno ždela v kodi in omogočala pridobitev vsebine strežnikovega pomnilnika. Ni znano, ali je ranljivost kdo izkoriščal, a Bloomberg trdi, da jo je vsaj ameriška NSA.

NSA naj bi za ranljivost vedela od samega nastanka in jo tudi aktivno izkoriščala, so zapisali, sklicujoč se na podatke dveh neodvisnih virov blizu NSA. Da bi jo lahko karseda dolgo izkoriščali, o njenem obstoju niso obvestili nikogar. Z uporabo NSA so pridobivali gesla, certifikate in drugo občutljivo vsebino, ki jim je omogočala neoviran dostop do tujih strežnikov.

NSA je sprva molčala, potem pa so trditve javno demantirali. V sporočilu za javnost in na Twitterju trdijo, da pred letom 2014 za ranljivost Heartbleed niso vedeli. To je precej malo verjetno, saj ima ogromna NSA z več kot 40.000 zaposlenimi posebne oddelke (skupno več kot 1000 zaposlenih), ki ne počno nič drugega kakor da prečesavajo odprto kodo in iščejo možne vektorje napada. Ranljivost Heartbleed, ki se je v OpenSSL prikradla v začetku leta 2012 z majhno spremembo kode, bi tako sila težko ostala spregledana.

Avtor dela kode, ki je ranljivost prinesel v OpenSSL, pravi, da je napaka resna, a povsem nenamerna in da se je zaradi spleta okoliščin znašla v končni, recenzirani verziji.

Prav tako ostaja neznanka vprašanje, ali je kdo drug še izkoriščal to luknjo. Trenutno ni dokazov za kaj takšnega, a tudi obveščevalne agencije v drugih državah niso neumne. CloudFare je preizkusil, kako enostavno je ranljivost izkoristiti za pridobitev zasebnih ključev, in ugotovil, da je to zelo težko, saj jim ni uspelo. Je pa to uspelo dvema raziskovalcema, kar tudi praktično potrjuje, da je ranljivost izjemno resna.

8 komentarjev

filip007 ::

Oni nočejo sodelovati pri spletni varnosti, zakaj pa bi priznali, tako da pljunek na njih in po njih.
Vivaldi in Ubuntu.

Phantomeye ::

NSA pa ze ne :D

stb ::

Matthai ::

Koda za krajo ključev:
https://gist.github.com/epixoip/10570627

Človek je rabil 7 ur za tole sprogramirat. NSA je imela dve leti časa... ;)
All those moments will be lost in time, like tears in rain...
Time to die.

s6c-gEL ::

Niso vedeli, majkemi !

Afo ::

Verjamem da je ravno prav tako verjetno da niso poznali te ranljivosti, kot da so jo. Dokler kdo od "verodostojnih" ne potrdi, je vse samo ugibanje.

To je precej malo verjetno, saj ima ogromna NSA z več kot 40.000 zaposlenimi posebne oddelke
Namreč zakaj pa bi vedli za vsako večjo ranljivost? Mogoče imajo pa v rokavu še kaj boljšega, pa se jim ni treba s čim takšnim zafrkavat. Lahko pa da so samo spregledali...
Bolje biti mlad in neumen, kot samo neumen!

b3D_950 ::

Gandalfar ::

Ce bi kdo o tem v slovenscini si video pogledal: http://tv.nil.si/rancic_heartbleed_open...


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Začenja se revizija kode OpenSSL

Oddelek: Novice / Varnost
339839 (5800) Poldi112
»

Po dvajsetih letih se maščuje ranljivost FREAK

Oddelek: Novice / Varnost
196639 (3074) Isotropic
»

Kritična ranljivost v OpenSSL bi lahko omogočala krajo strežniških zasebnih ključev (strani: 1 2 )

Oddelek: Novice / Varnost
7915655 (9304) Isotropic
»

Iz OpenSSL tudi BoringSSL

Oddelek: Novice / Varnost
155735 (4058) Looooooka
»

Del OpenSSL bo postal LibreSSL

Oddelek: Novice / Varnost
166516 (5073) LightBit

Več podobnih tem