:

Szerző: Bodnár Ádám

2014. április 14. 12:04

Régóta tudhatott az NSA az OpenSSL sebezhetőségéről

Nem csak hogy régóta tudott az OpenSSL könyvtárat, és azon keresztül az internetre csatlakozó eszközök hatalmas tömegét érintő biztonsági sérülékenységről a National Security Agency, NSA, hanem aktívan ki is használta a sebezhetőséget, állítják a Bloomberg üzleti lap forrásai.

A Heartbleed hibaként elhíresült problémára a múlt héten derült fény: az OpenSSL könyvtár 2012 óta tartalmazta a sérülékenységet, amelyen keresztül támadók autentikáció nélkül hozzáférhetnek az OpenSSLt futtató eszközök memóriájához és onnan közvetlenül képesek adatokat eltulajdonítani. A hétvége során az is bizonyítást nyert, hogy internetes kommunikáció titkosításához használt privát kulcsok is megszerezhetők az OpenSSL sebezhetőségén keresztül, így ha valakinek birtokában vannak titkosított információk, azokat is visszafejtheti.

Az NSA tagadja, hogy tudott a Heartbleedről

A Bloomberg úgy értesült, az National Security Agency (NSA) régóta tudott a Heartbleed sebezhetőségről és azt titokban tartotta, miközben kihasználta annak érdekében, hogy információkat gyűjtsön például más országok számítógépes rendszereiről, potenciális terroristákról vagy bárkiről. Az NSA kezdetben nem kommentálta ezeket az információkat, majd egy rövid közleményben tagadta, hogy ismerte volna a Heartbleed hibát. "A jelentések, amelyek szerint az NSA vagy a kormányzat bármely része tudatában lett volna az ún. Heartbleed sebezhetőségnek 2014 előtt, hibásak. A Szövetségi kormány egészen addig nem tudott az OpenSSL-ben azonosított hibáról, amíg egy privát kiberbiztonsági vizsgálat során nem publikálták. A Szövetségi kormány is az OpenSSL-re támaszkodva védi a kormányzati weboldalak és más online szolgáltatások felhasználóit."

Az AI és a nagy full-full-stack trend

Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.

Az AI és a nagy full-full-stack trend Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.

A Heartbleed sérülékenységet kihasználó támadások közvetlen a memória olvasását teszik lehetővé, és semmilyen nyomuk nem marad a szerverlogokban, így utólag nem lehet eldönteni egy rendszerről, érte-e támadás az OpenSSL sebezhetőségén keresztül. Magyarán szólva soha nem lesz bizonyíték arra, hogy az NSA vagy bárki más kihasználta-e a sérülékenységet valaha, vagy hogy egy rendszert kompromittáltak-e a Heartbleed bug felhasználásával.

A National Security Agency több ezer informatikai biztonsági szakértőt foglalkoztat annak érdekében, hogy sebezhetőségeket találjanak dobozos szoftverekben és nyílt forrású projektekben. Ezeket a hibákat kihasználva az NSA észrevétlenül jár ki-be a kompromittált rendszerekbe és szerez érzékeny információkat, állítják a Bloombergnek nyilatkozó bennfentesek. Az ügynökség egy időben állítólag gyűjtötte a különféle sebezhetőségeket, ezt a gyakorlatot azonban a Snowden-botrány kipattanása után leállították.

Szándékosan gyengítettek titkosítási algoritmusokat

A Bloomberg informátora szerint az NSA szakértőinek kedvelt célpontjai a nyílt forrású szoftverek, amelyeket gyakran alulfizetett programozók fejlesztenek tisztán hobbiból, az ügynökség hatalmas szakértői csapata ezekben előszeretettel keresett olyan sérülékenységeket, amelyek hozzásegítették céljaihoz. A Bloomberg által megszólaltatott bennfentes elmondása alapján az NSA röviddel azt követően tudomást szerzett az OpenSSL sérülékenységéről, hogy 2012 tavaszán megjelent a módosított, sebezhető kód. A sérülékenység ezután bekerült az NSA eszköztárába és alapja lett számos olyan eszköznek, amelyet az ügynökség titkos információk, például felhasználói nevek és jelszavak beszerzésére használt az interneten.

Korábban, az Edward Snowden által kiszivárogtatott dokumentumokból már kiderült, az NSA szándékosan gyengített titkosítási protokollokat és bennük használt algoritmusokat annak érdekében, hogy hozzájuthasson titkosítva tárolt vagy továbbított információkhoz. Ilyen volt többek között a Dual_EC_DRBG véletlenszám-generáló algoritmus is, amelynek végleges változatában az NSA nyomására jelent még néhány változtatás, amelyek bizonyos feltételek között megjósolhatóvá tették a generált véletlen számokat, és  így támadhatóvá tették az algoritmust használó titkosítást. Egyebek mellett az OpenSSL könyvtár is alkalmazza ezt a véletlenszám-generátort.

Többet szeretnél tudni a Heartbleedről és hatásairól, és meg is szeretnéd beszélni azt más szakemberekkel egy sör mellett? Gyere el április 24-én délután az ingyenes App!free eseményünkre, amelynek kiemelt témája a biztonság lesz, főszereplője pedig az OpenSSL sérülékenysége.

Szeptember 15-én, hétfőn ONLINE formátumú, a Kafka alapjaiba bevezető képzést indít a HWSW, ezért most összefoglaltuk röviden, hogy miért érdemes részt venni ezen a tanfolyamon.

a címlapról

MS

0

Lezárta a Teams-ügyet az EU

2025. szeptember 12. 12:45

A Bizottság elfogadta a Microsoft által tett engedményeket, nincs retorzió az idestova öt éve húzódó eljárás végén.

bango

7

Tartalomautomatával bővül a OneTV

2025. szeptember 12. 09:27

A One tévés platformjába a Bango DVM-jét integrálják, ami jelentős mértékben megkönnyíti az új tartalomszolgáltatások bevezetését.