В АНБ узнали о уязвимости Heartbleed два года назад

По сообщению Bloomberg, Агентству национальной безопасности было известно о уязвимости OpenSSL, которая получила название Heartbleed, на протяжении двух последних лет. Также АНБ регулярно использовало эту уязвимость для получения доступа к желаемой информации. Утверждая это, Bloomberg ссылается сразу на два анонимных источника.

Тем не менее, представители АНБ в ответ на публикацию этих данных заявили, что с багом CVE-2014-0160 эксперты агентства ознакомились лишь после массового распространения информации о нём в СМИ. Heartbleed — пожалуй, наиболее опасная уязвимость в истории Интернета, ей были затронуты основы безопасности приблизительно двух третей всех веб-сайтов.

С помощью этой уязвимости злоумышленник может получить доступ к областям оперативной памяти целевого сервера, что даёт ему возможность украсть пароли пользователей и приватные ключи. Брюс Шнайер, эксперт по информационной безопасности, оценил степень опасности уязвимости по десятибалльной шкале в 11 баллов. Разработчик, допустивший ошибку и ставший автором этой уязвимости, утверждает, что сделал это по невнимательности.

Многие интернет-компании и миллионы простых пользователей полагаются на свободное программное обеспечение, которое пишут несколько тысяч разработчиков, не получая при этом никакой оплаты за приложенные усилия. Именно на этих разработчиках держится безопасность свободного кода.

АНБ же имеет в своём штате более тысячи оплачиваемых экспертов, основной задачей которых является поиск уязвимостей в свободном программном обеспечении. Основной целью являются открытые реализации протоколов безопасности. Разумеется, найденные уязвимости не предаются огласке и засекречиваются для использования в преследуемых агентством целях. Ещё бы — АНБ тратит миллионы долларов на поиск багов, позволяющих красть информацию.

Как утверждает неназываемый источник, об уязвимости CVE-2014-0160 агентству стало известно вскоре послё её появления в коде OpenSSL — то есть в начале 2012 года. Heartbleed быстро стал важной частью инструментария хакерских атак АНБ. Джеймс Льюис, эксперт компьютерной безопасности Центра стратегических и международных исследований, говорит, что процесс поиска уязвимостей хорошо налажен, и информация об интересных багах быстро попадает от обычных экспертов руководству. Специалисты агентства оценивают известность уязвимости и возможности её использования, а также прикидывают риски для организаций США.

Далее, как говорит Льюис, АНБ может решить использовать найденные уязвимости для получения секретной информации. Эксперт утверждает, что протокол SSL на протяжении своего развития имел множество проблем, поэтому не является основным способом защиты информации государственных структур. Данные же миллионов обычных пользователей были открыты для атаки.

Поиск «дыр» является важной частью деятельности агентства. Совет президента США, который проводил обзор деятельности АНБ после утечек Эдварда Сноудена, заметил, что агентству следует прекратить собирать уязвимости программного обеспечения, а вместо этого содействовать их исправлению. Скрытие настолько важной уязвимости может спровоцировать новый виток критики деятельности АНБ.

Баг CVE-2014-0160 в силу своей распространённости мог позволить АНБ получать пароли обычных пользователей и приватные данные по всему миру. Остаётся неясным, использовали ли правительственные структуры США Heartbleed для своих частных целей.

Согласно данным неназываемого источника, на данный момент АНБ располагает тысячами уязвимостей, с помощью которых можно пробить безопасность многих важных компьютерных систем. В руководстве разведки, однако, говорят, что невозможность использовать сформированный набор атак сильно ослабит возможности для обнаружения террористических угроз и получения информации о намерениях враждебных режимов.

Источник: habrahabr.ru

Реклама
Запись опубликована в рубрике News с метками , . Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s