NSA věděla o chybě v OpenSSL celé roky a zneužívala ji, říká zpráva

O vážné zranitelnosti v OpenSSL, implementaci protokolu SSL používaného k zabezpečení komunikace, věděla americká Národní bezpečnostní agentura údajně přes dva roky a měl ji zneužívat k získávání hesel a obsahu. Tvrdí to společnost Bloomberg ve své zprávě s odvoláním na dva zdroje obeznámené s případem.

Chyba přezdívaná "Heartbleed" (krvácení srdce) v knihovně OpenSSL plnila a stále plní přední stránky nejen IT médií po celém světě. Zda jde o největší chybu v historii informačních technologií, jak někteří píší, se teprve uvidí, až budou hotovy analýzy dopadů. Nicméně ty reálně půjdou zjistit jen stěží.

Softwarové společnosti využívající tuto implementaci SSL vydaly aktualizace téměř okamžitě po zjištění problému, mnohé z nich stále provádějí analýzy svých systémů i produktů. Nicméně jak Bloomberg napsal, americká Národní bezpečností agentura (NSA) údajně věděla o chybě přes dva roky, tedy zhruba celou dobu, co byla zranitelnost do kódů zanesena. Dva anonymní zdroje pro Bloomberg uvedly, že NSA chybu používala pro své účely k získávání informací. NSA spekulace odmítá. Tvrdí, že před rokem 2014 o chybě Heartbleed nevěděla.

Bezpečnostní odborníci odhadují, že chyba v OpenSSL postihla na dvě třetiny všech webových serverů po celém světě. Jak bylo řečeno, pro různé operační systémy byly vydány příslušné záplaty a záleží jen na provozovatelích serverů, zda své systémy aktualizovali. Samotní uživatelé nemají raději dělat nic: změna hesla je v případě napadeného serveru naprosto kontraproduktivní, jelikož právě při přihlášení k takové webové službě získá útočník vše, co potřebuje.  

14. 4. 2014

Autor: Redakce DSL.cz