12 апреля 2014 года
Авторитетный ресурс Bloomberg сообщает, что масштабная уязвимость "Сердечное кровотечение" (Heartbleed) в весьма популярном криптографическом пакете OpenSSL, которая шокировала специалистов по безопасности в Интернете, была известна Агентству национальной безопасности США (АНБ). Более того, со ссылкой на двух анонимных информаторов сообщается, что АНБ активно использовало уязвимость.
Об уязвимости якобы сознательно не сообщалось общественности в национальных интересах, а агентство могло относительно легко получать пароли и необходимые данные с серверов и систем, подверженных уязвимости. Bloomberg утверждает, что первоначально Heartbleed была обнаружена специалистами АНБ в 2012 году, так что агентство имело возможность эксплуатировать уязвимость почти всё время её существования.
Напомним: уязвимость могла быть использована для доступа к важным данным многих и многих служб и сайтов, включая Google Gmail и Amazon Web Services (упомянутые компании устранили ошибку лишь на днях). Технология OpenSSL применяется едва ли не в двух третях всех веб-сайтов и служб, использующих шифрование SSL/TLS. Один из источников Bloomberg даже заявляет, что в картотеку АНБ занесены сотни подобных уязвимостей, и агентство постоянно их использует для слежки и сбора данных.
АНБ, впрочем, официально отвергло обвинения, заявив, что не было осведомлено об ошибке до тех пор, пока она не была предана огласке в понедельник. Белый дом тоже отверг обвинение через необычно решительное и незамедлительное заявление Совета национальной безопасности: "Если бы федеральное правительство, включая разведывательное сообщество, обнаружили эту уязвимость ранее прошлой недели, о ней бы сообщили команде, ответственной за развитие OpenSSL".
Тем не менее, легко представить, что АНБ действительно могла обнаружить ошибку ранее, учитывая огромные ресурсы этой организации: считается, что агентство тратит $1,6 млрд в год на обработку данных и разведку, что более чем в тысячу раз больше годового бюджета проекта OpenSSL. Заинтересованная в доступе к зашифрованной информации, АНБ не могла не обращать внимание и не изучать исходные коды OpenSSL.
Если АНБ в национальных интересах действительно решило держать в секрете информацию об уязвимости Heartbleed, это может вызвать жаркие дискуссии о роли спецслужб в сообществе специалистов по компьютерной безопасности.
Константин Ходаковский
|