В АНБ знали о уязвимости Heartbleed два года назад

Агентству национальной безопасности было известно о уязвимости, которая недавно получила название Heartbleed, на протяжении как минимум двух последних лет. Также АНБ регулярно использовало эту уязвимость для получения доступа к желаемой информации. Это стало известно ^[1] от двух неназываемых источников.

Тем не менее, представители АНБ в ответ на публикацию этих данных заявили, что баг CVE-2014-0160 стал известен экспертам агентства лишь после массового распространения информации о нём в СМИ. Heartbleed — пожалуй, наиболее опасная уязвимость в истории Интернета, ей были затронуты основы безопасности приблизительно двух третей всех веб-сайтов.

С помощью этой узявимости злоумышленник может получить доступ к областям оперативной памяти целевого сервера, что даёт ему возможность украсть пароли пользователей и приватные ключи. Брюс Шнайер, эксперт по информационной безопасности, оценил ^[2] степень опасности уязвимости по десятибалльной шкале в 11 баллов. Разработчик, допустивший ошибку и ставший автором этой уязвимости, утверждает, что сделал это по невнимательности.

Многие интернет-компании и миллионы простых пользователей полагаются на свободное программное обеспечение, которое пишут несколько тысяч разработчиков, не получая при этом никакой оплаты за приложенные усилия. Именно на этих разработчиках держится безопасность свободного кода.

АНБ же имеет в своём штате более тысячи оплачиваемых экспертов, основной задачей которых является поиск уязвимостей в свободном программном обеспечении. Основной целью являются открытые реализации протоколов безопасности. Разумеется, найденные уязвимости не предаются огласке и засекречиваются для использования в преследуемых агентством целях. Ещё бы — АНБ тратит миллионы долларов на поиск багов, позволяющих красть информацию.

Как утверждает неназываемый источник, об уязвимости CVE-2014-0160 агентству стало известно вскоре послё её появления в коде OpenSSL — то есть в начале 2012 года. Heartbleed быстро стал важной частью инструментария хакерских атак АНБ. Как говорит Джеймс Льюис, процесс поиска уязвимостей хорошо налажен, и информация об интересных багах быстро попадает от обычных экспертов руководству. Специалисты агентства оценивают известность уязвимости и возможности её использования, а также прикидывают риски для организаций США.

Далее, как говорит Льюис, АНБ может решить использовать найденные уязвимости для получения секретной информации. Эксперт утверждает, что протокол SSL на протяжении своего развития имел множество проблем, поэтому не является основным способом защиты информации государственных структур. Данные же миллионов обычных пользователей были открыты для атаки.

Поиск «дыр» является важной частью деятельности агентства. Совет президента США, который проводил обзор деятельности АНБ после утечек Эдварда Сноудена, заметил, что агентству следует прекратить собирать уязвимости программного обеспечения, а вместо этого содействовать их исправлению. Скрытие настолько важной уязвимости может спровоцировать новый виток критики деятельности АНБ.

Баг CVE-2014-0160 в силу своей распространённости мог позволить АНБ получать пароли обычных пользователей и приватные данные по всему миру. Остаётся неясным, использовали ли правительственные структуры США Heartbleed для своих частных целей.

Согласно данным неназываемого источника, на данный момент АНБ располагает тысячами узявимостей, с помощью которых можно пробить безопасность многих важных компьютерных систем. В руководстве разведки, однако, говорят, что невозможность использовать сформированный набор атак сильно ослабит возможности для обнаружения террористических угроз и получения информации о намерениях враждебных режимов.

Автор: FakeFactFelis

Источник ^[3]