@ 2014.04.12 , 21:21
36

NSA被爆利用Heartbleed漏洞监视民众长达两年

[-]
有关Heartbleed漏洞,见前面这篇蛋文:漫画解释 openSSL 的「heartbleed」漏洞

经过安全专家一星期的验证,彭博(Bloomberg)报告称国家安全局(NSA)对此漏洞早有知晓,并利用这个Heartbleed漏洞长达两年。根据Michael Riley所说:

据事件报道人员讲,目前,NSA手里有上千种这样的漏洞,可以用来攻破一些世界上最敏感的计算机。情报主管声称,如果禁止使用这些漏洞,那么国家发现恐怖威胁和敌对国家领导人的意图的能力将大大降低。

星期三,Sophos高级安全顾问Chet Wisniewski告诉我们,NSA可能是唯一能够发现并利用像Heartbleed这类漏洞的机构。“如果他们真的知道,他们也不会告诉任何人,或是发出补丁,或是秘密的告诉别人‘看这行代码’。他们发现了这类东西后,会尽可能的藏着,因为这能让他们获得更多信息。”

在发表彭博报告后接受采访时,Wisniewski告诉我们,“这我不意外,但这很让人失望。如果NSA知道这个漏洞,那我们大可认为政府的其他机构也同样知道。”

“这种行为的确像是NSA的本职,”他继续说,“我们显然并不是唯一雇佣监视人员查询代码寻找漏洞的单位。我猜测,很有可能,俄国,中国,和以色列相关部门也知晓该漏洞。”

先前就有很多人预测,这将会在科技社区内掀起波澜。他们去年大部分时间都在分析NSA监控时使用的漏洞。Wisniewki说:“像谷歌这样大公司雇员和工程师在得知NSA利用漏洞这一消息后的第一反应是‘好大的胆!’ 我现在可以想象,雅虎,阿卡迈,亚马逊这些易受攻击的公司内,也会有同样的反应。”

进展:东部时间11号下午6点,国家安全局,白宫,和国家情报总监官员,强烈否认了这份报告。

[-]

不管怎样,奥巴马政府近年一直就电子侦查问题给出误导答案,一些观察员表示,怀疑这一否认。

海军前命令安全组官员Robert Caruso建议说,这种否认,很难是真的。

他说,“很有可能,他们尝试了,想如何在法律范围内利用漏洞监视敌人,并向我们隐瞒。这是个政治问题。我打赌他们发现了这个漏洞,搞懂了这个漏洞,然后想,‘嗯,利用它就能监视全美公民的数据——我们还是别用了,但是也不告诉任何人。’”(你这意思是他们没说但没利用?)

本文译自 BuzzFeed,由译者 K7419 基于创作共用协议(BY-NC)发布。


给这篇稿打赏,让译者更有动力
支付宝打赏 [x]
您的大名: 打赏金额:

0.0
赞一个 (0)

TOTAL COMMENTS: 36+1

  1. 2378884

    嗯,握爪~~,我真的相信NSA没有利(fa)用(xian)这个漏洞

  2. 2378889

    不错,有这闲工夫分析随机数据,美帝真有钱。

  3. 2378925

    早就知道了,不就是传说中的棱镜计划嘛~

  4. 2378926

    怎么可能是真的

  5. ID不允许数字
    @4 years ago
    2378932

    以后战争非常重要的一环就是掌握对方的软件漏洞

  6. 2378967

    @Junius:
    在下真心不懂编程等等,所以很白的问一下,请不要太嘲笑。
    问:如果从基础语言开始都用汉语编程,大概有多大难度。

  7. eggache
    @4 years ago
    2378978

    棱镜个毛线

  8. 2379024

    @ZS: 这个问题有点深,反正冯诺依曼架构的计算机底层都是以0和1为逻辑判断的机器码驱动,在这个层面上,不存在汉语/外语的问题,都是数学。往上把0010101的机器码抽象成汇编,就开始有了代码,代码是用来给人看的,谁发明的电脑,谁就决定了最早的代码是什么语言,如果是中国人发明了计算机,那么可能就是「加」、「去」、「开」、「关」之类的关键词,而不是26个字母,这只是一种约定,谁先发明谁定规矩。

    所以,你所说的从底层开始用汉语编程,无非就是让中国人从头发明一遍计算机,然后用武力和经济实力强制推行成标准就行了。不过考虑到拼音文字加上标点符号一套ASCII码就够了的优势,只要中国的科学家不赌气,也不会拒绝用英文字母当约定符号的。

  9. 2379028

    @Junius: 不可能,象形文字不可能成为底层语言,因为太复杂,做个手机都要专门焊个字库呢,编程语言只能是字母文字,天生优势没办法

  10. 2379031

    @ID不允许数字: 相信我,真正重要的计算机,都是物理隔断的

  11. 2379033

    @aza: 你说的没错,历史也不能假设,但是开开脑洞还是可以的。

  12. 2379035

    @aza: 如果有黑客真心想把支付宝干趴下,那性价比要比打仗高多了,也够天朝喝一壶的了。

  13. 2379043

    @Junius:
    也就是说以后不论是谁学编程学计算机算法都要会外语才行么?貌似加了一个难度坎。
    想想我遇到过的理科才子们大多都有那么点英语不好。于是考研或是考博时都卡了下来。

  14. 2379044

    @Junius:
    另附一句:非常感谢您的解答。

  15. 2379050

    @ZS: 未必要是外语……但是一定要是字母,如果你不想学那点英语的话,拼音也是可以的……但是编程涉及的英文其实极少,真正有难度的反而是大部分技术文档都是英语

  16. 2379057

    @Junius: 这个其实蛮难说的,支付宝如果倒了有多大影响我说不好,对金融没有了解,只是觉得影响再大也大不过印钞票吧,我只是担心武器资料泄露,或者布防资料泄露这种危害国家安全的问题

  17. yingjh
    @4 years ago
    2379064

    @ZS: 其实真正编写程序主要是一些逻辑,关键字就那一点,英语不好也可以啊

  18. 我是大叔啊
    @4 years ago
    2379138

    @ZS
    可以谷歌易语言

  19. 路过
    @4 years ago
    2379162

    @aza: 现在这个世界,在中美这样的大国间发生战事的可能性很小,倒是类似东南亚金融风暴这样的事比较可能。所以干支付宝确实更可行,影响也更大。当然支付宝也不是吃闲饭的,也没那么容易。

  20. 公民小王
    @4 years ago
    2379181

    煎蛋现在五毛太多了,还有一帮被洗脑的网民居然也相信五毛编造的那些抹黑美国的谣言

    我早就说过了,NSA窃听中国和世界是为了更好的知道中国和世界人民需要什么,这样美国才能更好的无私奉献整个人类,美国政府和一大批有良知的公司和机构如NSA, 民主基金会,谷歌 为全人类的和平和慈善事业做出了巨大贡献,居然还被天朝这些被洗脑的网民不理解并敌视,只能说中国人的劣根性太可悲了

  21. 2379187

    @yingjh:
    但是考研考博时要求高啊,没有考上这个学术平台,才智基本也就无用武之地了。
    不过英语一是用的广,二是学术上领先,三是计算机必需用,所以想问问能不能有汉语的计算机生态圈,毕竟前两个可以用翻译工具的,而这个工具也还是英语的。

  22. KODstop
    @4 years ago
    2379218

    @公民小王: 是的,南望王师又一年。。。

  23. 阿布
    @4 years ago
    2379396

    @公民小王:
    卧了个槽~ 这位公民,你这是认真的说的么? 看起来像高级黑一样可笑的言论,但貌似还很认真……
    如果真不是高级黑,那只能说,你个人的劣根性太可悲了……

  24. 阿布
    @4 years ago
    2379425

    @公民小王:
    “NSA窃听中国和世界是为了更好的知道中国和世界人民需要什么,这样美国才能更好的无私奉献整个人类”
    哈,笑死我了….

    包括棱镜计划在内的此类政府组织的窃听计划,不仅仅是出于政治考量,其中还包含了大量的商业价值。

    两个相互竞争的国家的中一方的大型企业,通过政府技术手段支持,获取对方商业机密资料
    这种行为估计在你眼中,估计也算是,试图友好站在对手的立场上 充分的理解竞争对手,这样,能在对手有困难的时候,第一时间能够伸出援手来吧?

    另外,美国民主基金会 到你这成了为全球人类和平和慈善事业做出巨大贡献的 有良知的机构了。
    有民主基金会活动的地区,不仅不会和平,而且还会动乱

    国内来说,东突势力热比娅,西藏分裂势力达赖,法/轮/功/李/洪/志,反/华媒体/新/唐/人,以及全国的美分党 每年数千万美金的财政预算支持。哪一样不是美国民主基金会所掌控?
    港独占领中环 和茂名反PX,甚至台湾反服贸,背后也有美国民主基金会支持的影子。

  25. 阿布
    @4 years ago
    2379427

    国际上,就在眼前的例子,乌克兰暴乱,美国民主基金会大张旗鼓的公开参与。
    叙利亚自由军、利比亚自由军,美国民主基金会也是完全公开参与,而且一直作为财政预算支持负责人。

    再远些,已经死去的本拉登、萨达姆,哪个当年没反美时,不是和美国民主基金会混的火热?

    民主基金会,只是名字好听些而已。实际上就是美国政府下面的 一个专门负责策反行动的组织而已。
    到你这到你这成了为全球人类和平和慈善事业做出巨大贡献的 有良知的机构了。

    非洲有大量的贫穷战乱地区需要和平和慈善事业的帮助
    但你看美国民主基金会去参与那种对美国来说,没价值的破事么?

    非洲保持有限且持续的战乱,完全符合美国的国家利益,毕竟美国也是世界最大的轻武器军火销售国。

  26. 阿布
    @4 years ago
    2379440

    @Junius:
    实际上,在中国的第三方支付企业交易规模总额已经超过7万亿元了的情况下

    作为最主要的第三方支付平台的支付宝,一直不停的在被多方进行金融手段、和黑客技术手段、以及证券舆论手段进行全方位立体化的攻击。

    只不过,支付宝暂时还扛的住。支付宝在国内的地位还是比较稳固的,轻易不会被攻击彻底打垮。
    就算支付宝实在支持不住了,中国银行界也会下水给支付宝救市的。

    如果支付宝彻底被攻击打垮,那造成的损失还是比较可观的,虽然不会产生让中国难以承受的重大损失,但的确是够中国喝一壶的。

  27. 2379447

    学计算机就一定要懂英文,至少在现阶段。如果有人说他学计算机的,而且从来不读英文,那你大可以怀疑他技术的水平跟先进性。

    并不是说要代码是英文而要学英文,而是老外写的技术文章你要去读懂才最要命,别想着别人给你翻译,这需要时间也需要相应水平的人,很多外语专业的女大学生英文挺好啊,但她们翻译得了吗?国内不少翻译书就是请不懂计算机的人来翻的,搞得鬼都看不懂。什么人适合,大学里那帮领闲钱的,不过在中国生活了那么多年,想必你也知道中国人什么尿性。

    没办法的事,人家在研究芯片的时候,你在大跃进,人家在登月的时候,你在闹文革。没有改革开放以后资本主义的高效率机制在驱逐,中国人懂个毛的计算机。

  28. 2379481

    @ZS:
    指望翻译来学术是不可能的,毫不客气的说国内计算机方面的翻译书籍98%都是一堆狗屎。

  29. 称呼太长
    @4 years ago
    2379498

    我信bloomberg!

  30. 公民小王
    @4 years ago
    2379503

    @阿布: 像你这种发表反正义言论的人,就应该被禁言,收押起来,永不释放

  31. 阿布
    @4 years ago
    2379651

    @公民小王:
    哈,如果我们两个人的观点和立场 被放大N倍,你觉得谁更有可能被收押起来哈?
    国内受美国民主基金会扶持的美分党中的出头鸟 秦火火 目前正在审判中
    在这种时期,劝你还是老实点吧哈

  32. 2379681

    @公民小王 肯定是高级黑啦。。。。。。。。大家有点幽默感好不好

  33. 阿布
    @4 years ago
    2379689

    @impp:
    额…… 如果果然是高级黑的话….貌似不是很成功啊…..有点过于像认真说的了哈….orz

  34. 阿布
    @4 years ago
    2379706

    @公民小王:
    不好意思 小王同学,把你的高级黑当做美粉了 看你在另一帖里的评论 才看出来 – –
    恕我迟钝了 对不起Orz

  35. KODstop
    @4 years ago
    2379979

    皿煮兹油的大灯塔国监视民众是为了更好建设和谐社会。。。。

  36. athaste
    @4 years ago
    2381837

    @aza: 有汉语 还不止一种 只不过都没推广开而已

发表评论


24H最赞