NSA被爆利用Heartbleed漏洞监视民众长达两年

[-]
有关Heartbleed漏洞，见前面这篇蛋文：漫画解释 openSSL 的「heartbleed」漏洞

经过安全专家一星期的验证，彭博(Bloomberg)报告称国家安全局(NSA)对此漏洞早有知晓，并利用这个Heartbleed漏洞长达两年。根据Michael Riley所说：

据事件报道人员讲，目前，NSA手里有上千种这样的漏洞，可以用来攻破一些世界上最敏感的计算机。情报主管声称，如果禁止使用这些漏洞，那么国家发现恐怖威胁和敌对国家领导人的意图的能力将大大降低。

星期三，Sophos高级安全顾问Chet Wisniewski告诉我们，NSA可能是唯一能够发现并利用像Heartbleed这类漏洞的机构。“如果他们真的知道，他们也不会告诉任何人，或是发出补丁，或是秘密的告诉别人‘看这行代码’。他们发现了这类东西后，会尽可能的藏着，因为这能让他们获得更多信息。”

在发表彭博报告后接受采访时，Wisniewski告诉我们，“这我不意外，但这很让人失望。如果NSA知道这个漏洞，那我们大可认为政府的其他机构也同样知道。”

“这种行为的确像是NSA的本职，”他继续说，“我们显然并不是唯一雇佣监视人员查询代码寻找漏洞的单位。我猜测，很有可能，俄国，中国，和以色列相关部门也知晓该漏洞。”

先前就有很多人预测，这将会在科技社区内掀起波澜。他们去年大部分时间都在分析NSA监控时使用的漏洞。Wisniewki说：“像谷歌这样大公司雇员和工程师在得知NSA利用漏洞这一消息后的第一反应是‘好大的胆！’ 我现在可以想象，雅虎，阿卡迈，亚马逊这些易受攻击的公司内，也会有同样的反应。”

进展：东部时间11号下午6点，国家安全局，白宫，和国家情报总监官员，强烈否认了这份报告。

[-]

不管怎样，奥巴马政府近年一直就电子侦查问题给出误导答案，一些观察员表示，怀疑这一否认。

海军前命令安全组官员Robert Caruso建议说，这种否认，很难是真的。

他说，“很有可能，他们尝试了，想如何在法律范围内利用漏洞监视敌人，并向我们隐瞒。这是个政治问题。我打赌他们发现了这个漏洞，搞懂了这个漏洞，然后想，‘嗯，利用它就能监视全美公民的数据——我们还是别用了，但是也不告诉任何人。’”(你这意思是他们没说但没利用？)

本文译自 BuzzFeed，由 K7419 编辑发布。