@ 2014.04.12 , 21:21

NSA被爆利用Heartbleed漏洞监视民众长达两年

[-]
有关Heartbleed漏洞,见前面这篇蛋文:漫画解释 openSSL 的「heartbleed」漏洞

经过安全专家一星期的验证,彭博(Bloomberg)报告称国家安全局(NSA)对此漏洞早有知晓,并利用这个Heartbleed漏洞长达两年。根据Michael Riley所说:

据事件报道人员讲,目前,NSA手里有上千种这样的漏洞,可以用来攻破一些世界上最敏感的计算机。情报主管声称,如果禁止使用这些漏洞,那么国家发现恐怖威胁和敌对国家领导人的意图的能力将大大降低。

星期三,Sophos高级安全顾问Chet Wisniewski告诉我们,NSA可能是唯一能够发现并利用像Heartbleed这类漏洞的机构。“如果他们真的知道,他们也不会告诉任何人,或是发出补丁,或是秘密的告诉别人‘看这行代码’。他们发现了这类东西后,会尽可能的藏着,因为这能让他们获得更多信息。”

在发表彭博报告后接受采访时,Wisniewski告诉我们,“这我不意外,但这很让人失望。如果NSA知道这个漏洞,那我们大可认为政府的其他机构也同样知道。”

“这种行为的确像是NSA的本职,”他继续说,“我们显然并不是唯一雇佣监视人员查询代码寻找漏洞的单位。我猜测,很有可能,俄国,中国,和以色列相关部门也知晓该漏洞。”

先前就有很多人预测,这将会在科技社区内掀起波澜。他们去年大部分时间都在分析NSA监控时使用的漏洞。Wisniewki说:“像谷歌这样大公司雇员和工程师在得知NSA利用漏洞这一消息后的第一反应是‘好大的胆!’ 我现在可以想象,雅虎,阿卡迈,亚马逊这些易受攻击的公司内,也会有同样的反应。”

进展:东部时间11号下午6点,国家安全局,白宫,和国家情报总监官员,强烈否认了这份报告。

[-]

不管怎样,奥巴马政府近年一直就电子侦查问题给出误导答案,一些观察员表示,怀疑这一否认。

海军前命令安全组官员Robert Caruso建议说,这种否认,很难是真的。

他说,“很有可能,他们尝试了,想如何在法律范围内利用漏洞监视敌人,并向我们隐瞒。这是个政治问题。我打赌他们发现了这个漏洞,搞懂了这个漏洞,然后想,‘嗯,利用它就能监视全美公民的数据——我们还是别用了,但是也不告诉任何人。’”(你这意思是他们没说但没利用?)

本文译自 BuzzFeed,由 K7419 编辑发布。

赞一个 (0)