NSA demantira da je znala za Heartbleed bug
- Objavljeno u Novosti
Ovih je dana zajednica koja se bavi antihakerskom zaštitom uskovitlala puno prašine objavom informacija o pronađenoj ranjivosti, Heartbleed OpenSSL bugu, koji omogućuje krađu informacija zaštićenih SSL/TLS enkripcijom. Slanjem posebno oblikovanog upita poslužitelju (eng. heartbeat) moguće je izvući 64 KB podataka, a ovisno o sustavu, najčešće ne ostaju nikakvi tragovi. Ranjivost je otkrivena tek nakon dvije godine u kodu biblioteke za baratanje šifriranjem.
Novi oblak prašine je uskovitlao portal Bloomberg koji je tvrdio kako posjeduje informacije da je agencija NSA dvije godine znala za navedenu ranjivost, no držala je to u tajnosti.
Mada NSA nije direktno odgovorio na ove optužbe, izdali su priopćenje u kojem navode da nisu znali za OpenSSL ranjivost, sve dok se ta informacija nije pojavila u javnosti.
Mada Bloomberg ne navodi od kuda je došao do informacije o tome da je NSA znala za ovaj bug, neki analitičari smatraju da su oni to možda zaključili temeljem informacija iz Snowdenovih procurjelih dokumenata u kojima se opisuje prilično sličan bug za koji je agencija znala i koristila ga za svoje špijunske potrebe.
Federalna američka vlada, odnosno NSC (National Security Council) brani NSA, te tvrdi da njihovo skrivanje takve informacije ne dolazi u obzir, jer da je obavještajna zajednica otkrila bug, to bi bilo javno objavljeno.
Ukoliko se bojite da se Heartbleed OpenSSL bug možda nalazi i na vašem poslužitelju, njegovu ranjivost možete testirati preko ove poveznice, a na web stranici Nacionalnog CERT-a nedavno su objavljene sigurnosne preporuke za ranjivi paket. Korisnike se upućuje na žurnu primjenu izdane nadogradnje.