(Bilde: Shutterstock/heartbleed)

– NSA har utnyttet Heartbleed i årevis

Etterretningsbyrået skal ha brukt den alvorlige feilen i snokingen sin, hevder nyhetsbyrå.

Den svært utbredte sikkerhetsteknologien OpenSSL, som brukes til å sende ulike typer sensitive opplysninger over Internett, har lenge vært ansett for å være meget trygg. Sist vi rapporterte om et sikkerhetshull i løsningen var helt tilbake i 2003.

For noen få dager kunne vi imidlertid rapportere det nærmest utenkelige, nemlig at det er blitt oppdaget et svært alvorlig sikkerhetshull i OpenSSL døpt Heartbleed, som har ligget latent i teknologien siden 2012. Sikkerhetshullet kan påvirke så mange som to tredjedeler av verdens nettsteder.

Feilen har allerede sendt ringvirkninger langt utover i IT-bransjen, og omtales av mange som nettets største sikkerhetsfeil noensinne. I tillegg er det umulig å oppdage om uønskede har brukt svakheten til å snoke til seg data som sendes mellom bruker og tjenesteytere.

Utnyttet av NSA

Dette har nok gjort at det IT-kyndige etterretningsbyrået NSA har dukket opp i bevisstheten til mange i forbindelse med Heartbleed-feilen, og nyhetsbyrået Bloomberg melder nå at det ser ut til at byrået har gjort akkurat det som kanskje ikke var så vanskelig å gjette seg til.

To kilder «med kjennskap til saken» skal nemlig ha bekreftet overfor Bloomberg at NSA både visste om den alvorlige OpenSSL-feilen og utnyttet den regelmessig til å sanke etterretningsopplysninger.

Ifølge de anonyme kildene skal NSA ha oppdaget Heartbleed-feilen nesten umiddelbart etter at den dukket opp, men i stedet for å rapportere funnet skal organisasjonen simpelthen ha brukt feilen som et av sine «basis-verktøy» for stjeling av passord og andre ting.

«Rutinemessig» utnyttelse

En sikkerhetsekspert som Bloomberg har vært i kontakt med i forbindelse med saken, forteller at NSA har egne rutiner for hvordan oppdagelse av slike hull skal håndteres. Denne rutinen går blant annet ut på vurdere sannsynligheten for at feilen er blitt oppdaget av andre, og dermed velge blant flere mulige alternativer.

Et av disse alternativene er å bevisst utnytte sårbarheten, som altså ser ut til å ha vært stategien i dette tilfellet. Det er imidlertid uvisst hva NSA har brukt feilen til.

Etterretningsbyrået selv bestrider Bloombergs påstander:

– NSA var ikke kjent med den nylig identifiserte Heartbleed-sårbarheten før den ble gjort offentlig kjent, skriver selskapet i en uttalelse på Twitter.

Om NSA faktisk visste om feilen i så lang tid som Bloomberg hevder, vil det øke sannsynligheten for at andre etterretningsbyråer med kompetanse innen Internett-sikkerhet kan ha utnyttet Heartbleed-sårbarheten. Hvorvidt kriminelle kan ha oppdaget den også, er ennå uklart.

Har Heartbleed-nyheten gjort deg bekymret? Slik redder du passordene dine »

(Kilde: Bloomberg)

Kommentarer (39)

Norges beste mobilabonnement

Januar 2017

Kåret av Tek-redaksjonen

Jeg bruker lite data:

ICE Mobil 1GB


Jeg bruker middels mye data:

Hello 5GB


Jeg bruker mye data:

Hello 10 GB


Jeg er superbruker:

Komplett MegaFlex 30GB


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen