Спецслужбы США могли скрывать уязвимость Heartbleed

Спецслужбы США могли два года пользоваться обнаруженной на прошлой неделе уязвимостью в протоколе OpenSSL, получая доступ к информации пользователей.

Агентство национальной безопасности США благодаря уязвимости под названием Heartbleed («Кровоточащее сердце») в криптографическом пакете OpenSSL могло в течение двух лет получать доступ к личной информации граждан по всему миру, сообщает The Wall Street Journal со ссылкой на анонимные источники, близкие к спецслужбам США.

Протокол OpenSSL используется многими интернет-сервисами для защиты информации. На прошлой неделе компании Google Security и Codenomicon сообщили о наличии уязвимости в OpenSSL: она поставила под угрозу примерно две трети всех сайтов в интернете. По данным сервиса LastPass, уязвимость присутствовала на всех массовых сайтах рунета, кроме Google. В частности, с этой уязвимостью в течение двух лет работал почтовый сервис «Яндекса».

Пакет OpenSSL — базовый компонент, которому в интернете априори доверяли, объясняет хакер, пожелавший остаться неназванным. Используя Heartbleed, злоумышленник мог подключиться к серверу и запустить собственный код, который мог дать ему доступ к данным пользователей интернет-ресурса — паролям, логинам, номерам банковских карт, добавляет он.

Власти США опровергли информацию, что АНБ знало о наличии дыры в OpenSSL и не предавало это огласке. Между тем еще в январе 2013 г. президент США Барак Обама принял решение, что АНБ США не обязано делиться информацией о найденных уязвимостях в протоколах шифрования, пишет The New York Times.

Нет никаких доказательств, что АНБ знала о Heartbleed до апреля 2014 г., считает ведущий эксперт по информационной безопасности InfoWatch Андрей Прозоров. АНБ использует противоречивые методы сбора информации, но хуже, если об этой уязвимости знали те, кто мог извлечь прямую выгоду от доступа к данным пользователей, в том числе в системах интернет-банкинга, сетует он. Так, в Канаде с ее помощью хакеры украли свыше 900 номеров социального страхования граждан, заявило вчера канадское налоговое агентство.

У американских и китайских спецслужб возможностей создавать уязвимости в софте или добавлять так называемые закладки в оборудование больше, чем у других, поскольку львиная доля всей IT-продукции разрабатывается или производится в этих государствах, но были случаи нахождения и российских закладок в поставляемой на экспорт высокотехнологичной продукции, считает консультант по безопасности крупной технологической компании Алексей Лукацкий. Почти вся криптография в России разработана при участии спецслужб, подчеркивает он, и они пользуются этим. По его мнению, спецслужбы чаще всего добавляют закладки на этапе доставки оборудования заказчику. Самым эффективным, но и самым сложным является встраивание их в математический аппарат протокола, а самым простым на первый взгляд, но и самым неуправляемым и непредсказуемым — использование для установки закладки сотрудников разработчика.

Артем Михайлов