Heartbleed è un bug nei protocolli TLS/DTLS di OpenSSL, la cui notizia è stata diffusa solamente pochi giorni fa e che è rimasto attivo per circa due anni. In altre parole, per due anni molti dei sistemi crittografici utilizzati online non erano sicuri come promesso sulla carta.
Il bug minava la sicurezza del 66% di siti web HTTPS da cui la NSA avrebbe attinto a piene mani, secondo le nuove rivelazioni di Bloomberg. In base alle parole di alcune fonti anonime, l'agenzia governativa americana otteneva attraverso Heartbleed password ed altri dati sensibili degli utenti.
La vulnerabilità è stata utilizzata per attaccare servizi come Gmail ed Amazon, probabilmente da quando questa è attiva. Negli ultimi due anni, insomma, la NSA ha attinto a man bassa dalle informazioni presenti nei due terzi dei server crittografati del web. Ma c'è di più: Heartbleed è ben lungi dall'essere un caso unico.
Secondo le parole delle fonti citate, è probabile che la NSA sia consapevole ed abbia accesso a migliaia di vulnerabilità simili, che la stessa organizzazione difende e definisce come estremamente importanti per la raccolta di dati per la sicurezza nazionale. L'agenzia di sicurezza americana, tuttavia, ha subito smentito le accuse mosse da Bloomberg.
"La NSA non era a conoscenza della vulnerabilità recentemente nota come Heartbleed fino a quando non è stata resa pubblica", ha comunicato la società su Twitter. "Se il governo federale, inclusa la community di intelligence, avesse scoperto la vulnerabilità prima della scorsa settimana, sarebbe stata comunicata alla community responsabile di OpenSSL", sono invece le parole rilasciate dalla Casa Bianca.
Di seguito riportiamo il comunicato formale (in inglese) rilasciato dall'agenzia:
Reports that NSA or any other part of the government were aware of the so-called Heartbleed vulnerability before April 2014 are wrong. The Federal government was not aware of the recently identified vulnerability in OpenSSL until it was made public in a private sector cybersecurity report. The Federal government relies on OpenSSL to protect the privacy of users of government websites and other online services. This Administration takes seriously its responsibility to help maintain an open, interoperable, secure and reliable Internet. If the Federal government, including the intelligence community, had discovered this vulnerability prior to last week, it would have been disclosed to the community responsible for OpenSSL.
Tuttavia, si tratta in entrambi i casi di comunicati formali e quanto meno "necessari". Secondo il Washington Post, la NSA investe circa 1,6 miliardi di dollari l'anno esclusivamente per rintracciare vulnerabilità (e capire come sfruttarle) nei differenti protocolli di sicurezza utilizzati online, ovvero migliaia di volte il budget dell'intero progetto OpenSSL, e resta lecito pensare che forse la NSA sapeva già qualcosa.
Anda sedang membaca artikel tentang
Heartbleed sfruttato per anni dalla NSA, l'organizzazione smentisce
Dengan url
https://pamarankom.blogspot.com/2014/04/heartbleed-sfruttato-per-anni-dalla-nsa.html
Anda boleh menyebar luaskannya atau mengcopy paste-nya
Heartbleed sfruttato per anni dalla NSA, l'organizzazione smentisce
namun jangan lupa untuk meletakkan link
Heartbleed sfruttato per anni dalla NSA, l'organizzazione smentisce
sebagai sumbernya
0 komentar:
Posting Komentar