דיווח: ה-NSA הכירה וניצלה את Heartbleed; הסוכנות מכחישה

שני גורמים שמכירים את הנושא אמרו לבלומברג כי סוכנות הביטחון הלאומי בארה"ב השתמשה בבעיה לצורכי ריגול

עודד ירון
שתפו בפייסבוק
שתפו כתבה במיילשתפו כתבה במייל
שתפו כתבה במיילשתפו כתבה במייל
מעבר לטוקבקיםכתוב תגובה
עודד ירון

בעיית האבטחה חמורה שהתגלתה ב-Open SSL, תוכנת ההצפנה הפופולרית ביותר ברשת חוללה סערה משמעותית בימים האחרונים. ואולם לפי דיווח בסוכנות הידיעות בלומברג כנראה שכבר היה מי שידע והשתמש בפרצה, שזכתה לכינוי Heartbleed: סוכנות הביטחון הלאומי בארה"ב (ה-NSA). הסוכנות הכחישה את הדיווח.

שני מקורות שונים המכירים את הנושא אמר לכתב בלומברג מייקל ריילי כי הסוכנות הכירה את הבעיה והשתמשה בה כדי לאסוף מודיעין. מהסוכנות נמסר בתגובה כי לא ידעה על הפרצה עד הדיווח האחרון. "דיווחים לפיהם ה-NSA או כל חלק אחר של הממשל ידע על פרצת Heartbleed לפני 2014 אינם נכונים", מסרה הסוכנות. לדבריה, כאשר חוקרים של הסוכנות מגלים פרצות חדשות, הם מדווחים עליהן.

אך לדברי אחד הגורמים שדיבר עם בלומברג, ה-NSA זיהתה את הבעיה זמן קצר לאחר שנוצרה והחלה להשתמש בה. בבלומברג מזכירים כי ה-NSA מופקדת על הגנת הסייבר של הממשל האמריקאי ומחד ועל ריגול ותקיפות סייבר של מדינות זרות וארגוני טרור מאידך. "אם אתם משלבים את שני התפקידים האלה לסוכנות ממשלתית אחת, איזה תפקיד מנצח?", שאל ג'ון פסקטור, ממכון האבטחה SANS.

Heartbleed

הדיווח האחרון מצטרף לשלל החשיפות של אדוארד סנודן על הריגול הנרחב של ה-NSA אחרי אזרחים וראשי מדינות בעולם כולו, ובעיקר להדיווחים על כך שהסוכנות פעלה לשילוב חולשות במנגנוני הצפנה ואבטחה נפוצים באינטרנט, כדי שתוכל. בין אם הדיווח האחרון נכון ובין אם לאו, הוא שוב שם את הסוכנות באור הזרקורים ולא באופן מחמיא.

Heartbleed הוא בעיה שקיימת בתוסף Heartbeat של Open SSL ומאפשרת לצותת לתעבורה שאמורה להיות מוצפנת. מיליונים רבים אתרים ושירותים ברשת משתמשים בתוכנה ועל כן הגילוי עורר חשש רב בקרב אנשי אבטחת מידע.

תגובות

משלוח תגובה מהווה הסכמה לתנאי השימוש של אתר הארץ