Bloomberg: АНБ два года пользовалось критической уязвимостью в OpenSSL Материал редакции

Агентство национальной безопасности США (АНБ) знало о критической уязвимости Heartbleed в пакете шифрования OpenSSL, но не распространялось о ней. Об этом сообщает издание Bloomberg.

Как сообщили два анонимных источника Bloomberg, АНБ как минимум два года знало об уязвимости Heartbleed, которая позволяла получать из множества сайтов конфиденциальную информацию. По их словам, секретное агентство регулярно использовало баг для сбора разведывательной информации.

Используя Heartbleed, АНБ могло получать пароли и другие данные миллионов простых пользователей со всего мира. Официальный представитель агентства отказалась комментировать информацию издания.

Решение АНБ в национальных интересах держать в секрете информацию об уязвимости грозит возобновлением жарких споров о роли правительственных компьютерных экспертов, предупреждает Bloomberg. 

Позднее АНБ официально опровергло, что было осведомлено о Heartbleed до того, как это было известно публично. Агентство распространило заявление, где говорится, что исходя из национальных интересов, агентство бы предало уязвимость огласке, чем использовало для получения информации.

Уязвимость Heartbleed была обнаружена 7 апреля. Злоумышленник, зная о ней, мог так составить запрос к серверу, поддерживающему защищённое соединение с помощью пакета OpenSSL, что тот выдавал содержимое случайных участков своей оперативной памяти. В этих фрагментах могли находиться данные для шифрования, фрагменты переписок, имена пользователей, пароли и другие данные.

Использование бага оставалось бесследным. Всего он просуществовал около двух лет. Немецкий программист, добавивший уязвимый код в одну из функций OpenSSL, заявил, что это произошло из-за невнимательности его самого и человека, проверявшего предложенные правки.

Несмотря на потенциальную опасность Heartbleed, вопрос эффективности практического применения уязвимости остаётся открытым. Эксперты из компании CloudFlare, занимающейся защитой сайтов от DDoS-атак, в ходе тестов не смогли использовать обнаруженный баг для получения секретных ключей.

Они запустили конкурс, в рамках которого предложили всем желающим атаковать специальный сайт. Компания по защите данных Ionic Security, в свою очередь, предложили награду в 10 тысяч долларов тому, кто сможет успешно применить Heartbleed против тестового сайта CloudFlare. Через несколько часов объявился победитель — москвич Фёдор Индутный. На всю атаку у него ушло три часа.

{ "author_name": "Султан Сулейманов", "author_type": "self", "tags": ["\u0447\u0442\u043e_\u0442\u0430\u043a\u043e\u0435_heartbleed","\u0441\u043b\u0435\u0436\u043a\u0430","\u0430\u043d\u0431","openssl","heartbleed","heartbeat","cloudflare"], "comments": 12, "likes": 13, "favorites": 0, "is_advertisement": false, "subsite_label": "flood", "id": 50460, "is_wide": true, "is_ugc": true, "date": "Sat, 12 Apr 2014 03:17:25 +0400", "is_special": false }
Комментарии

Атомный череп

6

Мне тут один анонимный источник сообщил, что уже 4 года существует ещё одна дырка в OpenSSL, позволяющая получить дамп памяти, но не сказал как именно. После сообщения источник сжёгся.

Офтоп
дискуссии в сообществе доступны только владельцам клубного аккаунта
С клубным аккаунтом вы сможете
создавать записи и вести дискуссии в закрытых сообществах
наслаждаться нашим сайтом без рекламы
помочь проекту и почувствовать себя лучше
Купить за 75₽
Обсуждаемое
Технологии
Apple представила MacBook Pro с экраном на 16 дюймов и исправленной клавиатурой
Это первое серьёзное обновление линейки с момента редизайна в 2016 году.
Интернет и мемы
Как и где легально смотреть кино и сериалы в России: большой гид по стриминговым сервисам
Сравниваем онлайн-кинотеатры по стоимости подписки, удобству, библиотеке, эксклюзивам и бесплатным периодам.
Технологии
Вице-президент Apple Фил Шиллер назвал Chromebook «дешёвыми ноутбуками, с которыми студенты не добьются успеха»
По его словам, устройства популярны в колледжах только из-за низкой цены.
Популярное за три дня
Новости
В чешских супермаркетах начали продавать шампуни и гели для душа на разлив ради экологии
Чтобы клиентам не нужно было каждый раз покупать новую ёмкость.
Технологии
Во «ВКонтакте» появятся дизлайки к комментариям
Их введут в начале 2020 года.
Интернет и мемы
Протестующие в Чили слепят полицию десятками лазеров. Из-за этого митинги напоминают огромный «рейв»
В соцсетях ролики и фото с протестов описывают как «киберпанковое сопротивление».

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "i", "ps": "cndo", "p2": "fizc" } } }, { "id": 4, "label": "Article Branding", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "cfovy", "p2": "glug" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "ezfk" } } }, { "id": 6, "disable": true, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "clmf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byswn", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "cndo", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223677-0", "render_to": "inpage_VI-223677-0-130073047", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=cndo&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Баннер в ленте на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudv", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "ccydt", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "cndo", "p2": "fzvc" } } }, { "id": 20, "label": "Кнопка в сайдбаре", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "chfbk", "p2": "gnwc" } } } ]