Azt azonban már többen bebizonyították, hogy átlagos felhasználók adatait (jelszavait, bankkártya-számát) könnyedén el lehet lopni ezt a hibát kihasználva.
Ezzel a lehetőséggel élt a Bloomberg szerint az NSA is, és jutott ilyen módon információkhoz nemzetbiztonsági okokból fontos személyek kapcsán. Nem sokkal a hiba 2012-es megjelenése után rá is bukkantak a résre, és egyik alapvető és legfontosabb eszközük lett a digitális megfigyelésre.
|
A kanadai adóhatoság a polgárok adatainak védelmében egy időre lezárta az internetes adóbevallásokat a Heartbleed biztonsági rés leleplezése után Marc Blinch / Reuters |
Az NSA tagadja, hogy korábban is tudomása lett volna a Heartbleed nevet kapott biztonsági résről, állításuk szerint csak akkor hallottak róla, amikor e hét elején nyilvánosságra hozták (a Heartbleed szívvérzést jelent, utalva arra, hogy ez egy apró hiba hatalmas veszélyekkel).
A hír nyomán szakértők szerint újra fellángolhat a vita az NSA szerepéről, amely a Snowden-botrány óta heves támadások középpontjában áll. Ugyanis a magyarul Nemzetbiztonsági Ügynökség nevű, a digitális információszerzésre szakosodott hivatalnak kettős a feladata: meg kell védenie az amerikai számítógépes rendszereket a külső támadásoktól, illetve meg kell terveznie és kiviteleznie az USA-ból induló internetes támadásokat és meg kell szereznie minden információt, amelyet nemzetbiztonsági okokból fontosnak ítélnek.
Amerikát is veszélyeztették?
|
A német karneváli tutajról nem véletlenül hiányzik az A-betű: így utalnak az amerikai titkosszolgálat szerintük názi módszereire Wolfgang Rattay / Reuters |
Ha egy, a Heartbleed-hez hasonló biztonsági rés a tudomásukra jut, annak kettős szerepe van. Egyrészt felhasználhatják saját céljaikra: megszerezhetnek vele szükséges információkat. Ám az NSA-nak a védelem is a feladata, és egészen addig, amíg titokban tartják ezeket a hibákat, és nem hívják fel rá a szoftver készítőinek, illetve a felhasználóinak a figyelmét, kiteszik őket annak a veszélynek, hogy egy másik ország titkosszolgálata vagy egyszerű kiberbűnözők megtámadják őket.
"Ez szembemegy az NSA azon állításaival, hogy számukra a védelem az első. A számítástechnika biztonságával foglalkozók darabokra fogják őket tépni ezért" mondta a hírügynökségnek Jason Healey, az Atlantic Council szakértője, a légierő korábbi kiberbiztonsági munkatársa.
Az NSA-botrány kirobbanása nyomán Barack Obama elnök felkért egy öttagú tanácsadói testületet, hogy vizsgálja meg a szövetségi ügynökségek digitális hírszerzési gyakorlatát.
Egyik javaslatuk az volt: hagyjanak fel a biztonsági rések, szoftverhibák "gyűjtögetésével", akármilyen fontos elem is ez a működésükben. A javaslatok szerint csak ritkán és rövid ideig szabadna kihasználni egy-egy ilyen hibát. A
Bloomberg szerint azonban több ezer ilyen biztonsági rés van még a NSA tarsolyában. A hírszerző ügynökségeknek ugyanis kiemelt feladata a hasonló biztonsági rések keresése, amelyeket utána saját céljaikra használhatnak ki. Különös figyelmet fordítanak az OpenSSL-hez hasonló, nyílt forráskódú szoftverek átvizsgálására.
A "játszma" pedig kiegyenlítetlen: az ilyen programokat általában egy maroknyi, rosszul fizetett szakember írja, lelkesedésből. Az NSA-nak ezzel szemben több mint ezer alkalmatottja van, akik csak ezekre a hibákra "vadásznak.
Az amerikai hírszerzési igazgató irodája a Bloombergnek azt válaszolta: ha a Hertbleed-hez hasonló bizotnsági rés tudomásukra jut, azt nyilvánosságra hozzák. A közleményben azt írják, világos eljárási szabályok léteznek arra, hogy eldöntség, mikor hozzák nyilvánosságra ezekez.
"Hacsak nincs egyértelmű nemzetbiztonsági vagy bűnüldözési érdek, akkor a folyamat az ilyen biztonsági rések nyilvánosságra hozatala mellett van", írják.