Уязвимость OpenSSL два года использовало АНБ

Издание The Verge, ссылаясь на данные Bloomberg, распространило информацию о том, что Агентством национальной безопасности США (АНБ) в течение двух лет использовалась уязвимость криптографического пакета OpenSSL, которая была обнаружена только на минувшей неделе.

 

Подчеркнем, что аналогичную возможность допускали некоторые эксперты. Теперь же она подтверждена сразу двумя анонимными источниками, приближенными к спецслужбам США. Как оказалось, сотрудники АНБ обнаружили уязвимость примерно два года назад. Однако оповещать об этом широкую аудиторию они не стали. 

 

Было принято решение о том, чтобы применить ее в собственных целях. Вот так в результате спецслужба фактически могла получить доступ к 65% всех серверов и тем самым иметь сведения из учетных записей пользователей.

 

Чуть позже было сделано опровержение распространенной информации. Это сделали представители властей США. В специально распространенном сообщении, которое поступило из управления директора Национальной разведки, было сказано следующее: все заявления, в которых говорится о том, что АНБ или какие-либо другие службы знали об указанной уязвимости до 2014 года, не соответствуют действительности.

 

 

Программист из Германии Робин Зеггельман дал интервью журналистам. Ведь именно он и пополнил пакет OpenSSL критической уязвимостью Heartbleed, и ему было что сказать. Он отметил сразу, что сделал это непреднамеренно. Им также было подчеркнуто, что ошибка произошла в коде случайно. Ее не обнаружил и специалист, который проверяет работу Зеггельмана. Вот так в итоге она и прошла. Ошибку не удалили из финальной версии очередного релиза OpenSSL.

 

О том, что в пакете OpenSSL, предназначенном для того, чтобы защищать сертификацию данных, есть серьезная уязвимость, стало известно, когда разработчиками было распространено сообщение о том, что ошибка устранена. А она существовала с марта 2012 года.

 

Ошибка, которую обнаружили, появилась потому, что не было должной проверки длины запроса в одной из процедур расширения Heartbeat. Вот почему какой угодно злоумышленник имел возможность получить прямой доступ к оперативной памяти компьютеров. А его коммуникации были защищены версией OpenSSL, которая, как мы теперь знаем, уязвима.

 

Многие эксперты назвали Heartbleed одной из самых серьезных угроз безопасности с тех пор, как существует интернет. Чтобы избежать проблем, пользователям различных интернет-сервисов порекомендовали сменить пароли. Надо только при этом предварительно убедиться, что администраторы сервисов произвели установку исправленной версии OpenSSL и перевыпустили сертификаты безопасности.