Тем не менее, представители АНБ в ответ на публикацию этих данных заявили, что баг CVE-2014-0160 стали известен экспертам агентства лишь после распространения информации о нём в последние дни. Heartbleed — пожалуй, наиболее опасная уязвимость в истории Интернета, ей были затронуты основы безопасности приблизительно двух третей всех веб-сайтов.
С помощью этой узявимости злоумышленник может получить доступ к областям оперативной памяти целового сервера, что даёт ему возможность украсть пароли пользователей и приватные ключи. Брюс Шнайер, эксперт по информационной безопасности, оценил степень опасности уязвимости по десятибалльной шкале в 11 баллов. Разработчик, допустивший ошибку и ставший автором этой уязвимости, утверждает, что сделал это по невнимательности.
Многие интернет-компании и миллионы простых пользователей полагаются на свободное программное обеспечение, которое пишут несколько тысяч разработчиков, не получая при этом никакой оплаты за приложенные усилия. Именно на этих разработчиках держится безопасность свободного кода.
АНБ же имеет в своём штате более тысячи оплачиваемых экспертов, основной задачей которых является поиск уязвимостей в свободном программном обеспечении. Основной целью являются открытые реализации протоколов безопасности. Разумеется, найденные уязвимости не предаются огласке и засекречиваются для использования в преследуемых агентством целях. Ещё бы — АНБ тратит миллионы долларов на поиск багов, позволяющих красть информацию.
Как утверждает неназываемый источник, об уязвимости CVE-2014-0160 агентству стало известно вскоре послё её появления в коде OpenSSL — то есть в начале 2012 года. Heartbleed быстро стал важной частью инструментария хакерских атак АНБ. Как говорит Джеймс Льюис, процесс поиска уязвимостей хорошо налажен, и информация об интересных багах быстро попадает от обычных экспертов руководству. Специалисты агентства оценивают известность уязвимости и возможности её использования, а также прикидывают риски безопасности для организаций США.
Далее, как утверждает Льюис, АНБ может решить использовать найденные уязвимости для получения секретной информации в ограниченные периоды времени. Как говорит эксперт, протокол SSL хорошо известен своими проблемами, поэтому не является основным способом защиты для государственных структур. Данные же миллионов обычных пользователей были открыты для атаки.
Поиск «дыр» является важной частью деятельности агентства. Совет президента США, который проводил обзор деятельности АНБ после утечек Эдварда Сноудена, заметил, что агентству следует прекратить собирать уязвимости программного обеспечения, а вместо этого содействовать их исправлению. Скрытие настолько важной уязвимости может спровоцировать новый виток критики деятельности АНБ.
Баг CVE-2014-0160 в силу своей распространённости мог позволить АНБ получать пароли обычных пользователей по всему миру. Остаётся неясным, использовали ли правительственные структуры США Heartbleed для своих частных целей.
Согласно данным неназываемого источника, на данный момент АНБ располагает тысячами узявимостей, с помощью которых можно пробить безопасность многих важных компьютерных систем. В руководстве разведки, однако, говорят, что невозможность использовать подобного набора уязвимостей сильно ослабит возможности для обнаружения террористических угроз и получения информации о намерениях враждебных режимов.
This entry passed through the Full-Text RSS service — if this is your content and you're reading it on someone else's site, please read the FAQ at http://ift.tt/jcXqJW.
Комментариев нет:
Отправить комментарий