Tek.no

Nyhet

– NSA har utnyttet Heartbleed i årevis

Etterretningsbyrået skal ha brukt den alvorlige feilen i snokingen sin, hevder nyhetsbyrå.

Shutterstock/heartbleed

Den svært utbredte sikkerhetsteknologien OpenSSL, som brukes til å sende ulike typer sensitive opplysninger over Internett, har lenge vært ansett for å være meget trygg. Sist vi rapporterte om et sikkerhetshull i løsningen var helt tilbake i 2003.

For noen få dager kunne vi imidlertid rapportere det nærmest utenkelige, nemlig at det er blitt oppdaget et svært alvorlig sikkerhetshull i OpenSSL døpt Heartbleed, som har ligget latent i teknologien siden 2012. Sikkerhetshullet kan påvirke så mange som to tredjedeler av verdens nettsteder.

Feilen har allerede sendt ringvirkninger langt utover i IT-bransjen, og omtales av mange som nettets største sikkerhetsfeil noensinne. I tillegg er det umulig å oppdage om uønskede har brukt svakheten til å snoke til seg data som sendes mellom bruker og tjenesteytere.

Utnyttet av NSA

Dette har nok gjort at det IT-kyndige etterretningsbyrået NSA har dukket opp i bevisstheten til mange i forbindelse med Heartbleed-feilen, og nyhetsbyrået Bloomberg melder nå at det ser ut til at byrået har gjort akkurat det som kanskje ikke var så vanskelig å gjette seg til.

To kilder «med kjennskap til saken» skal nemlig ha bekreftet overfor Bloomberg at NSA både visste om den alvorlige OpenSSL-feilen og utnyttet den regelmessig til å sanke etterretningsopplysninger.

Ifølge de anonyme kildene skal NSA ha oppdaget Heartbleed-feilen nesten umiddelbart etter at den dukket opp, men i stedet for å rapportere funnet skal organisasjonen simpelthen ha brukt feilen som et av sine «basis-verktøy» for stjeling av passord og andre ting.

«Rutinemessig» utnyttelse

En sikkerhetsekspert som Bloomberg har vært i kontakt med i forbindelse med saken, forteller at NSA har egne rutiner for hvordan oppdagelse av slike hull skal håndteres. Denne rutinen går blant annet ut på vurdere sannsynligheten for at feilen er blitt oppdaget av andre, og dermed velge blant flere mulige alternativer.

Et av disse alternativene er å bevisst utnytte sårbarheten, som altså ser ut til å ha vært stategien i dette tilfellet. Det er imidlertid uvisst hva NSA har brukt feilen til.

Etterretningsbyrået selv bestrider Bloombergs påstander:

– NSA var ikke kjent med den nylig identifiserte Heartbleed-sårbarheten før den ble gjort offentlig kjent, skriver selskapet i en uttalelse på Twitter.

Om NSA faktisk visste om feilen i så lang tid som Bloomberg hevder, vil det øke sannsynligheten for at andre etterretningsbyråer med kompetanse innen Internett-sikkerhet kan ha utnyttet Heartbleed-sårbarheten. Hvorvidt kriminelle kan ha oppdaget den også, er ennå uklart.

Har Heartbleed-nyheten gjort deg bekymret? Slik redder du passordene dine »

(Kilde: Bloomberg)

Les også
– NSA-ansatte bytter på nakenbildene de stjeler
Les også
Google starter «elite-gruppe» av hackere
Les også
Halvparten har ikke fikset Heartbleed-feilen
Les også
Nye OpenSSL-sårbarheter avdekket
Les også
Trues av myndighetene for å lete etter sikkerhetshull på Internett
Les også
Her installerer NSA spionutstyr i en Cisco-ruter
Les også
Betaler millioner for å hindre ny Heartbleed-krise
Les også
Utnyttet Heartbleed til å angripe stort selskap
Les også
Slik vil Heartbleed-feilen gjøre Internett tregere
Les også
Den første Heartbleed-hackeren er arrestert
Les også
Ruteren din kan være rammet av Heartbleed
Les også
Derfor ble Heartbleed en sikkerhetskrise
Les også
Ikke bytt passord ennå
Les også
Derfor er «Heartbleed» nettets største sikkerhetsfeil
annonse