galéria megtekintése

Az NSA látta a vérzést, és örült neki

1 komment


Kőműves Anita
NOL

A lehallgatási botrányban elhíresült amerikai titkosszolgálat, az NSA már két éve tudott a hét elején nyilvánosságra került biztonsági résről, amelyet az internet kétharmadán alkalmazott titkosítási rendszerben találtak.

Az amerikai Bloomberg hírügynökség az ügyet ismerő forrásokra hivatkozva azt írta: az NSA nem csak tudott a biztonsági résről az elmúlt két évben, de ki is használta azt információszerzésre.

Az NSA-nak több mint ezer alkalmatottja van, akik csak ezekre a hibákra "vadásznak"

Az OpenSSL nevű, nyílt forráskódú titkosítási programnak a 2012 májusa óta használt verziójában volt az a hiba, amely szakértők szerint lehetővé tette, hogy az azt használó szerverek titkosítási kulcsait megszerezzék illetéktelenek, így azok adatait elolvassák. Szakértők szerint ez utóbbi, azaz a szerverek feltörése még nem biztos, hogy könnyedén lehetséges volt, és egyelőre nem találták nyomát, hogy valóban használta-e valaki erre a biztonsági rést.

 

Azt azonban már többen bebizonyították, hogy átlagos felhasználók adatait (jelszavait, bankkártya-számát) könnyedén el lehet lopni ezt a hibát kihasználva. 

Ezzel a lehetőséggel élt a Bloomberg szerint az NSA is, és jutott ilyen módon információkhoz nemzetbiztonsági okokból fontos személyek kapcsán. Nem sokkal a hiba 2012-es megjelenése után rá is bukkantak a résre, és egyik alapvető és legfontosabb eszközük lett a digitális megfigyelésre.

A kanadai adóhatoság a polgárok adatainak védelmében egy időre lezárta az internetes adóbevallásokat a Heartbleed biztonsági rés leleplezése után
A kanadai adóhatoság a polgárok adatainak védelmében egy időre lezárta az internetes adóbevallásokat a Heartbleed biztonsági rés leleplezése után
Marc Blinch / Reuters

Az NSA tagadja, hogy korábban is tudomása lett volna a Heartbleed nevet kapott biztonsági résről, állításuk szerint csak akkor hallottak róla, amikor e hét elején nyilvánosságra hozták (a Heartbleed szívvérzést jelent, utalva arra, hogy ez egy apró hiba hatalmas veszélyekkel). 

A hír nyomán szakértők szerint újra fellángolhat a vita az NSA szerepéről, amely a Snowden-botrány óta heves támadások középpontjában áll. Ugyanis a magyarul Nemzetbiztonsági Ügynökség nevű, a digitális információszerzésre szakosodott hivatalnak kettős a feladata: meg kell védenie az amerikai számítógépes rendszereket a külső támadásoktól, illetve meg kell terveznie és kiviteleznie az USA-ból induló internetes támadásokat és meg kell szereznie minden információt, amelyet nemzetbiztonsági okokból fontosnak ítélnek.

Amerikát is veszélyeztették?

A német karneváli tutajról nem véletlenül hiányzik az A-betű: így utalnak az amerikai titkosszolgálat szerintük názi módszereire
A német karneváli tutajról nem véletlenül hiányzik az A-betű: így utalnak az amerikai titkosszolgálat szerintük názi módszereire
Wolfgang Rattay / Reuters

Ha egy, a Heartbleed-hez hasonló biztonsági rés a tudomásukra jut, annak kettős szerepe van. Egyrészt felhasználhatják saját céljaikra: megszerezhetnek vele szükséges információkat. Ám az NSA-nak a védelem is a feladata, és egészen addig, amíg titokban tartják ezeket a hibákat, és nem hívják fel rá a szoftver készítőinek, illetve a felhasználóinak a figyelmét, kiteszik őket annak a veszélynek, hogy egy másik ország titkosszolgálata vagy egyszerű kiberbűnözők megtámadják őket. 

"Ez szembemegy az NSA azon állításaival, hogy számukra a védelem az első. A számítástechnika biztonságával foglalkozók darabokra fogják őket tépni ezért" mondta a hírügynökségnek Jason Healey, az Atlantic Council szakértője, a légierő korábbi kiberbiztonsági munkatársa.

Az NSA-botrány kirobbanása nyomán Barack Obama elnök felkért egy öttagú tanácsadói testületet, hogy vizsgálja meg a szövetségi ügynökségek digitális hírszerzési gyakorlatát.

Egyik javaslatuk az volt: hagyjanak fel a biztonsági rések, szoftverhibák "gyűjtögetésével", akármilyen fontos elem is ez a működésükben. A javaslatok szerint csak ritkán és rövid ideig szabadna kihasználni egy-egy ilyen hibát. A

Bloomberg szerint azonban több ezer ilyen biztonsági rés van még a NSA tarsolyában. A hírszerző ügynökségeknek ugyanis kiemelt feladata a hasonló biztonsági rések keresése, amelyeket utána saját céljaikra használhatnak ki. Különös figyelmet fordítanak az OpenSSL-hez hasonló, nyílt forráskódú szoftverek átvizsgálására.

A "játszma" pedig kiegyenlítetlen: az ilyen programokat általában egy maroknyi, rosszul fizetett szakember írja, lelkesedésből. Az NSA-nak ezzel szemben több mint ezer alkalmatottja van, akik csak ezekre a hibákra "vadásznak.

Az amerikai hírszerzési igazgató irodája a Bloombergnek azt válaszolta: ha a Hertbleed-hez hasonló bizotnsági rés tudomásukra jut, azt nyilvánosságra hozzák. A közleményben azt írják, világos eljárási szabályok léteznek arra, hogy eldöntség, mikor hozzák nyilvánosságra ezekez.

"Hacsak nincs egyértelmű nemzetbiztonsági vagy bűnüldözési érdek, akkor a folyamat az ilyen biztonsági rések nyilvánosságra hozatala mellett van", írják.

Bejelentkezés
Bejelentkezés Bejelentkezés Facebook azonosítóval

Regisztrálok E-mail aktiválás Jelszóemlékeztető

Tisztelt Olvasó!

A nol.hu a továbbiakban archívumként működik, a tartalma nem frissül, és az egyes írások nem kommentelhetőek.

Mediaworks Hungary Zrt.