NSA vedela o chybe Heartbleed a dlhodobo ju zneužívala na sliedenie

Ame­ric­ká Ná­rod­ná bez­peč­nos­tná agen­tú­ra (NSA) ve­de­la o chy­be Heartbleed naj­me­nej dva ro­ky a pra­vi­del­ne ju vy­uží­va­la na zís­ka­va­nie cit­li­vých in­for­má­cií z mno­hých webo­vých strá­nok. Dr­ža­la ju však v taj­nos­ti vraj v zá­uj­me bez­peč­nos­ti USA, pre­to­že chce­la po­mo­cou nej mo­ni­to­ro­vať po­ten­ciál­ne hroz­by. In­for­mo­va­la o tom agen­tú­ra Bloom­berg, kto­rej to potvr­di­li dva zdro­je oboz­ná­me­né so zá­le­ži­tos­ťou.

Heartbleed je zrej­me jed­na z naj­väč­ších chýb v his­tó­rii inter­ne­tu, má vplyv na zá­klad­nú bez­peč­nosť asi dvoch tre­tín inter­ne­to­vých strá­nok. NSA bo­la tak schop­ná zís­kať hes­lá a ďal­šie cit­li­vé úda­je, kto­ré sú sta­veb­ný­mi ka­meň­mi jej so­fis­ti­ko­va­ných hac­ker­ských ope­rá­cií.

Od­bor­ní­ci tvr­dia, že hľa­da­nie ta­kých­to chýb je ús­tred­ným pos­la­ním NSA, ho­ci ide o spor­nú prax. Taj­né služ­by si tak zís­ka­li prís­tup k hes­lám umož­ňu­jú­cim na­bú­rať sa do súk­rom­ných po­čí­ta­čov a zá­ro­veň vy­sta­vi­li mi­lió­ny bež­ných pou­ží­va­te­ľov mož­nos­ti úto­ku hac­ke­rov či za­hra­nič­ných spra­vo­daj­ských agen­túr.

Ve­de­nie NSA tú­to prax ofi­ciál­ne pop­re­lo, no sprá­va vy­vo­la­la no­vú de­ba­tu o čin­nos­ti ame­ric­kých taj­ných slu­žieb.

„Sprá­vy o tom, že NSA ale­bo aká­koľ­vek iná vlád­na agen­tú­ra ve­de­la o zra­ni­teľ­nos­ti Hearbleed pred ro­kom 2014, sú myl­né," uvá­dza sa v e-mai­le úra­du ria­di­te­ľa NSA.

NSA a ďal­šie spra­vo­daj­ské služ­by ve­nu­jú mi­lió­ny do­lá­rov na vy­hľa­dá­va­nie bež­ných sof­tvé­ro­vých chýb, kto­ré im umož­ňu­jú dos­tať sa k dá­tam na za­bez­pe­če­ných po­čí­ta­čoch. Open sour­ce pro­to­ko­ly ako OpenSSL, kde bo­la ob­ja­ve­ná chy­ba, sú ich pri­már­ne cie­le.

Za­tiaľ čo ve­ľa inter­ne­to­vých spo­loč­nos­tí sa spo­lie­ha na open sour­ce kód, kto­ré­ho in­teg­ri­ta je zá­vis­lá od ma­lé­ho poč­tu sla­bo pla­te­ných pra­cov­ní­kov, NSA má viac ako 1000 od­bor­ní­kov ve­nu­jú­cich sa hľa­da­niu chýb po­mo­cou so­fis­ti­ko­va­ných tech­ník ana­lý­zy.

Po úni­ku in­for­má­cií o roz­sia­hlej elek­tro­nic­kej špio­ná­ži NSA pre­zi­dent Ba­rack Oba­ma zos­ta­vil tím na pres­kú­ma­nie tej­to mo­ni­to­ro­va­cej čin­nos­ti a návrh re­fo­riem. Me­dzi de­siat­ka­mi pred­lo­že­ných od­po­rú­ča­ní bo­lo aj ta­ké, aby sa NSA rad­šej pos­ta­ra­la o rých­lu op­ra­vu náj­de­ných sof­tvé­ro­vých chýb na­mies­to to­ho, aby ich vy­uží­va­la. Vy­uží­vať by ich ma­la len vo „vý­ni­moč­ných prí­pa­doch a na krát­ky čas".

„Ak NSA vie o zra­ni­teľ­nos­ti, po­tom aj iné štá­ty, ba aj zlo­či­nec­ké or­ga­ni­zá­cie mô­žu vy­uží­vať rov­na­kú chy­bu za­bez­pe­če­nia," po­ve­dal Harley Gei­ger, se­nior po­rad­ca Cen­tra pre de­mok­ra­ciu a tech­no­ló­gie vo Was­hin­gto­ne (Cen­ter for De­moc­ra­cy & Tech­no­lo­gy). „Mô­že sa uká­zať, že to, čo mô­že byť dob­rý nás­troj pre NSA, mô­že byť nás­tro­jom aj pre or­ga­ni­zá­cie, kto­ré sú me­nej etic­ké ale­bo ne­ma­jú vô­bec žiad­nu eti­ku."

V sú­čas­nos­ti má NSA pod­ľa oboz­ná­me­ných zdro­jov v ta­ló­ne ti­síc­ky ta­kých­to chýb za­bez­pe­če­nia, kto­ré mož­no pou­žiť na prie­nik do po­čí­ta­čov na ce­lom sve­te. Pod­ľa ná­zo­ru šé­fov spra­vo­daj­stva mô­že byť vý­raz­ne zní­že­ná schop­nosť po­cho­piť zá­me­ry te­ro­ris­tic­kých vod­cov, ak sa ich pou­ži­tie za­ká­že.

Zdroj: bloom­berg.com


Ohodnoťte článok:
   
 

24 hodín

týždeň

mesiac

Najnovšie články

EÚ schvá­li­la sys­tém Pri­va­cy Shield na ochra­nu európ­skych dát na ame­ric­kých server­och
Európska únia ukončila rokovania s americkou stranou týkajúce sa odovzdávania osobných údajov spoločnostiam sídliacim v USA. čítať »
 
Hac­ke­ri ov­lád­li dro­ny NA­SA a plá­no­va­li ha­vá­riu Glo­bal Hawk
Hackerskej skupine vystupujúcej pod názvom AnonSec sa podarilo nabúrať do špeciálneho programu na ovplyvňovanie počasia, nad ktorým má v súčasnosti kontrolu americká NASA. čítať »
 
Alian­cii Fair-play a plat­for­me Slo­ven­sko.Di­gi­tal sa ne­poz­dá­va­jú šty­ri IT pro­jek­ty mi­nis­terstiev
Neziskové občianske združenie Aliancia Fair-play (AFP) a Platforma Slovensko.Digital žiadajú ministerstvá vnútra, dopravy a školstva, aby zastavili a prehodnotili obstarávania štyroch veľkých IT projektov, ktoré v rezortoch momentálne prebiehajú. čítať »
 
Mô­že sa zo zmu­to­va­nej zi­ky stať glo­bál­na hroz­ba?
Vírus zika sa začal rýchlo šíriť po celom svete. V teplých oblastiach oboch amerických kontinentov, kam sa dostal začiatkom minulého roka, už možno hovoriť o pandémii. čítať »
 
Jad­ro­vé zbra­ne ma­jú ochrá­niť Zem pred prí­pad­ným ar­ma­ge­do­nom
Aj keď sa o jadrových zbraniach hovorí zväčša v negatívom svetle, vedci v nich paradoxne vidia efektívny spôsob na záchranu Zeme pred prípadnou hrozbou. čítať »
 
Di­gi­tál­na bez­peč­nosť v ro­ku 2016: Inter­net ve­cí, mo­bil­né za­ria­de­nia a ochra­na de­tí
ESET každý rok pripravuje svoj prehľad bezpečnostných tém, ktoré budú v najbližších mesiacoch trápiť bežných používateľov alebo firmy a organizácie. čítať »
 
Len 17-roč­ný mla­dík vy­na­šiel ven­ti­lá­to­ro­vý sys­tém brá­nia­ci ší­re­niu mik­ró­bov v lie­tad­le
Chytiť nejakú chorobu na palube lietadla nie je nič príjemné. Pritom mnohé vírusy nebezpečných chorôb, ako je napr. SARS či vtáčia chrípka, sa v nedávnej minulosti šírili po svete práve prostredníctvom lietadiel. čítať »
 
ESET pri­dá­va do kon­zo­ly vzdia­le­nej sprá­vy ma­na­žo­va­nie iP­ho­nov a iPa­dov
ESET vydáva ESET Virtualization Security. Toto nové riešenie pre VMware vShield nevyžadujúce nasadenie agenta kombinuje využitie ESET Virtualization Security s konzolou vzdialenej správy ESET Remote Administrator tak, aby poskytovalo ochranu oceňovaného skenovacieho jadra spolu s osvedčenou vzdialenou správou. čítať »
 
 
 
  Zdieľaj cez Facebook Zdieľaj cez Google+ Zdieľaj cez Twitter Zdieľaj cez LinkedIn Správy z RSS Správy na smartfóne Správy cez newsletter