La NSA ha – non sorprende – negato di essere a conoscenza del bug Heartbleed prima che i ricercatori lo rivelassero la scorsa settimana, nonostante i rapporti che il presidente Obama consenta all’agenzia di spionaggio di sfruttare tali difetti.
Heartbleed è un difetto critico in OpenSSL, una libreria open source di crittografia SSL/TLS, utilizzata per proteggere la posta elettronica, la messaggistica istantanea e alcune VPN online.
Il bug consente a chiunque di accedere alle chiavi di crittografia e quindi di ottenere l'accesso a qualsiasi dato presumibilmente protetto da OpenSSL nei sistemi che utilizzano versioni vulnerabili della tecnologia.
I rapporti secondo cui la NSA o qualsiasi altra parte del governo erano a conoscenza della cosiddetta vulnerabilità Heartbleed prima del 2014 sono errati
Tuttavia, la gravità del difetto ha portato molti a suggerire che sia stato l'NSA a installarlo Lo sviluppatore tedesco Robin Seggelmann da allora ha rivendicato la responsabilità, dicendo che si è trattato di “un errore onesto”.
Tuttavia, Seggelmann ha affermato che “in materia di sicurezza è sempre meglio assumere il caso peggiore che quello migliore importa", ammettendo che è possibile che Heartbleed sia stato utilizzato dalle agenzie di sicurezza per curiosare su Internet comunicazioni.
La NSA inizialmente si era rifiutata di commentare le accuse, ma da allora lo ha fatto ha rilasciato una dichiarazione dicendo: “I rapporti secondo cui la NSA o qualsiasi altra parte del governo erano a conoscenza della cosiddetta vulnerabilità Heartbleed prima del 2014 sono sbagliati”.
Tuttavia, questa smentita arriva quando i rapporti suggeriscono che il presidente Obama ha dato alla NSA il via libera per sfruttare le falle di sicurezza senza allertare le aziende o il pubblico della loro esistenza in casi di “chiara sicurezza nazionale o applicazione della legge”. Bisogno".
La NSA è coinvolta in scandali sulla sicurezza ormai da nove mesi, in seguito al rilascio di documenti riservati da parte dell'ex appaltatore Edward Snowden.
Non impossibile
Le aziende, tra cui banche, fornitori di servizi cloud e ISP, si sono affrettate a patchare la vulnerabilità Heartbleed nell'ultima settimana.
Seguente una sfida lanciata dalla rete di distribuzione dei contenuti CloudFlare, l'ingegnere informatico Fedor Indutny è riuscito a estrarre le chiavi SSL private - qualcosa che secondo CloudFlare "potrebbe in effetti essere impossibile" - entro nove ore e il codice utilizzato per farlo è stato successivamente pubblicato.
In risposta al successo dell’exploit di Heartbleed da parte di Indutny per raccogliere questi dati, CloudFlare ha affermato: “La nostra raccomandazione basata su questo risultato è che tutti riemettano e revochino le proprie chiavi private”.
