Bloomberg: АНБ два года пользовалось критической уязвимостью в OpenSSL Статьи редакции
Агентство национальной безопасности США (АНБ) знало о критической уязвимости Heartbleed в пакете шифрования OpenSSL, но не распространялось о ней. Об этом сообщает издание Bloomberg.
Как сообщили два анонимных источника Bloomberg, АНБ как минимум два года знало об уязвимости Heartbleed, которая позволяла получать из множества сайтов конфиденциальную информацию. По их словам, секретное агентство регулярно использовало баг для сбора разведывательной информации.
Используя Heartbleed, АНБ могло получать пароли и другие данные миллионов простых пользователей со всего мира. Официальный представитель агентства отказалась комментировать информацию издания.
Решение АНБ в национальных интересах держать в секрете информацию об уязвимости грозит возобновлением жарких споров о роли правительственных компьютерных экспертов, предупреждает Bloomberg.
Позднее АНБ официально опровергло, что было осведомлено о Heartbleed до того, как это было известно публично. Агентство распространило заявление, где говорится, что исходя из национальных интересов, агентство бы предало уязвимость огласке, чем использовало для получения информации.
Statement: NSA was not aware of the recently identified Heartbleed vulnerability until it was made public.
— NSA/CSS (@NSA_PAO) April 11, 2014
Уязвимость Heartbleed была обнаружена 7 апреля. Злоумышленник, зная о ней, мог так составить запрос к серверу, поддерживающему защищённое соединение с помощью пакета OpenSSL, что тот выдавал содержимое случайных участков своей оперативной памяти. В этих фрагментах могли находиться данные для шифрования, фрагменты переписок, имена пользователей, пароли и другие данные.
Использование бага оставалось бесследным. Всего он просуществовал около двух лет. Немецкий программист, добавивший уязвимый код в одну из функций OpenSSL, заявил, что это произошло из-за невнимательности его самого и человека, проверявшего предложенные правки.
Несмотря на потенциальную опасность Heartbleed, вопрос эффективности практического применения уязвимости остаётся открытым. Эксперты из компании CloudFlare, занимающейся защитой сайтов от DDoS-атак, в ходе тестов не смогли использовать обнаруженный баг для получения секретных ключей.
Они запустили конкурс, в рамках которого предложили всем желающим атаковать специальный сайт. Компания по защите данных Ionic Security, в свою очередь, предложили награду в 10 тысяч долларов тому, кто сможет успешно применить Heartbleed против тестового сайта CloudFlare. Через несколько часов объявился победитель — москвич Фёдор Индутный. На всю атаку у него ушло три часа.
Мне тут один анонимный источник сообщил, что уже 4 года существует ещё одна дырка в OpenSSL, позволяющая получить дамп памяти, но не сказал как именно. После сообщения источник сжёгся.
"АНБ как минимум два года знало об уязвимости Heartbleed", а Сноуден ни словом не обмолвился.
Сноуден упоминал, что АНБ в состоянии взламывать SSL, меня это очень удивило, так я считала что они взламывают шифрование.
Комментарий недоступен
http://habrahabr.ru/post/219109/
хакнули, да
Breaking news!
https://twitter.com/ZekeJMiller/status/454721511283109888/photo/1
Коротко: Совет национальной безопасности США официально опровергает статью Bloomberg.
Уже поздно, их уже и так все ненавидят. Скоро активисты и борцы за анонимность и защиту информации раздуют из этого еще больший пузырь, но так им надо, этим NSA.
Звучит как 100% враньё. Сейчас как будто-бы дырку закрыли - АНБ обломили. =)
Собирали они информацию... как же. Да их самих-то через эту дыру никто не взломал ещё? Сноуден все файлы вынес у них из под носа, а кто-то ещё распространяет байки про то, что у АНБ всё под контролем... =)
Короче: жёлтая пресса этот Блумберг.
что сложнее проверить на безопасность: компьютер или человека?
Ни слова по-русски в твитторе.
Ну всё, теперь АНБ знает, какие кружевные трусики я заказывал...
Нужно запретить коммитеру пользоваться компьютерами, лол.