Δευτέρα 14 Απριλίου 2014

Μυστική κλειδαρότρυπα - Η NSA «αξιοποιούσε το κενό ασφάλειας Heartbleed»


Η αμερικανική Εθνική Υπηρεσία Ασφάλειας γνώριζε για το κρίσιμο κενό ασφάλειας Heartbleed στο Διαδίκτυο, και όχι μόνο δεν το αποκάλυψε αλλά το αξιοποιούσε για να συλλέγει πληροφορίες, γράφειτο πρακτορείο Bloomberg επικαλούμενο «δύο άτομα που γνωρίζουν την υπόθεση».
 
Η NSA, πάντως, υποστηρίζει ότι έμαθε την ύπαρξη του Heartbleed μαζί με όλο τον κόσμο πριν από μερικές μέρες. «Οι αναφορές ότι η NSA ή άλλοι φορείς της κυβέρνησης είχαν επίγνωση της λεγόμενης ευπάθειας Heartbleed πριν από το 2014 είναι εσφαλμένες» δήλωσε στο Bloomberg το γραφείο του διευθυντή των υπηρεσιών Πληροφοριών της αμερικανικής κυβέρνησης.

  
Η διαβεβαίωση φαίνεται ότι δεν πείθει το αμερικανικό πρακτορείο, δεδομένου μάλιστα ότι η βρετανική εφημερίδα Guardian είχε αποκαλύψει ότι η αμερικανική NSA και η αντίστοιχη βρετανική υπηρεσία GCHQ είχαν καταφέρει να παραβιάζουν την κρυπτογράφηση δεδομένων στο Διαδίκτυο.

Το Heartbleed αφορά το λογισμικό κρυπτογράφησης που χρησιμοποιούν περίπου τα 2/3 των δικτυακών τόπων στη μετάδοση δεδομένων από και προς τους χρήστες τους. Το κενό ασφάλειας, το οποίο υπάρχει από το 2012 στο λογισμικό OpenSSL, είναι ένα από τα μεγαλύτερα κενά ασφάλειας στην ιστορία του Διαδικτύου, και ορισμένες εταιρείες και ειδικοί συνιστούν ακόμα και στους απλούς χρήστες να αλλάξουν κωδικούς πρόσβασης παντού.
  
Μεγάλες εταιρείες όπως η Yahoo, η Cisco και η Juniper Networks έσπευσαν να αναβαθμίσουν τα συστήματά τους μετά την ανακάλυψη του Heartbleed την περασμένη εβδομάδα, και η αμερικανική κυβέρνηση προειδοποίησε για ενδεχόμενο κύμα κυβερνοεπιθέσεων.

 
Οι πηγές του Bloomberg δηλώνουν ότι η NSA αξιοποιούσε συστηματικά το Heartbleed για παρακολουθήσεις, τακτική που έρχεται σε αντίθεση με έναν βασικό στόχο της υπηρεσίας, την προστασία των υπολογιστών στις ΗΠΑ.

 
Το δημοσίευμα σχολιάζει ότι οι αποκαλύψεις του πληροφοριοδότη Έντουαρντ Σνόουντεν για τις πρακτικές της NSA έδωσαν μια πιο ξεκάθαρη εικόνα για τους δύο ρόλους της υπηρεσίας, συχνά αντιφατικούς: από τη μία προστατεύει τα δίκτυα της κυβέρνησης και ορισμένων κρίσιμων υποδομών, από την άλλη να εξαπολύει επιθέσεις σε άλλους υπολογιστές, ακόμα και άλλων κυβερνήσεων, για να συλλέγει πληροφορίες.

 
Για το λόγο αυτό η NSA φέρεται να έχει έναν μακρύ κατάλογο με κενά ασφάλειας σε διάφορα προϊόντα λογισμικού, τα οποία όμως δεν αποκαλύπτει πάντα.

 
Πάντως η επιτροπή που ανέλαβε να επανεξετάσει τις πρακτικές της NSA μετά τις αποκαλύψεις Σνόουντεν συνέστησε μεταξύ άλλων στην υπηρεσία να σπεύδει να διορθώνει τα κενά ασφάλειας αντί να τα χρησιμοποιεί για παρακολουθήσεις.


id-ont
in
Load disqus comments

0 σχόλια