NSA benægter årelangt misbrug af Heartbleed-hul

Selvom præsident Obama har givet NSA lov til at udnytte sikkerhedshuller, før andre opdager dem, har NSA ikke brugt det alvorlige Heartbleed-hul, siger tjenesten. Nu bliver Google hængt ud for ikke at have fortalt myndighederne om hullet.

Skal man tro Bloomberg, har NSA i årevis kendt og brugt det meget kritiske hul i webkrypteringen OpenSSL, der er døbt Heartbleed. Det skrev den ansete avis i hvert fald i weekenden, men det har NSA selv meget tydeligt benægtet.

Og hvis NSA denne gang ikke gemmer noget bag de gennemarbejdede officielle udmeldinger og faktisk ikke kendte til Heartbleed før alle andre - skulle Google så have handlet anderledes?

Google opdagede nemlig Heartbleed-sårbarheden i marts måned, nogenlunde samtidig med det finske sikkerhedsfirma Codenomicon, men gav først de amerikanske myndigheder besked den 7. april, da sårbarheden blev meldt ud til offentligheden. Det skriver National Journal.

Inden den brede offentliggørelse havde Google også orienteret en stribe sikkerhedseksperter og andre firmaer i branchen, så for eksempel firmaet Cloudfare kunne lappe hullet den 31. marts. Dermed kom myndighederne i USA altså ikke højt på listen over, hvem Google mente skulle have besked om Heartbleed-sårbarheden.

En talsmand fra det Hvide Hus skriver, at hverken NSA eller andre dele af det amerikanske statsapparat kendte til Heartbleed-hullet før Googles offentlige udmelding. Hvis NSA havde opdaget problemet først, ville tjenesten have orienteret OpenSSL-organisationen, lyder meldingen.

Google valgte at vente nogle dage med at offentliggøre Heartbleed-problemet, så der var tid til at sikre alle Googles egne systemer mod sårbarheden.

I weekenden kom en tidligere melding fra Obama igen i fokus, nemlig om hvordan NSA fremover skal forholde sig til sikkerhedshuller. Det skriver New York Times.

I 'de fleste tilfælde' skal NSA og de øvrige sikkerhedstjenester offentliggøre de sårbarheder, der bliver opdaget. Men hvis der er et klart behov til brug for nationens sikkerhed eller politiarbejde, er det i orden, at efterretningstjenesterne udnytter hullerne i al hemmelighed, har en talsmand for Det Hvide Hus tidligere meldt ud.

Med præsidentens melding om Heartbleed-sårbarheden blev det præciseret, at USA's regering nu hælder til, at sårbarheder som for eksempel Heartbleed i højere grad skal deles med it-branchen, så hullerne kan blive lappet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Andreas Bach Aaen

Blandt de tjeneser der masseovervåger borgerne, må der kunne findes viden om, der er nogen der har udnyttet Heartbleed hullet. Der må kunne søges i de massive bjerge af logget data om (andre end dem selv) har forsøgt at få meget lange svar ud af SSL heartbeat.

Tjenester med adgang til disse mængder af data bør også kunne fortælle om sandsynligheden for hvilken dato, der er skæringsdatoen for hvornår hullet er blevet udnyttet.

  • 1
  • 0
#2 Finn Aarup Nielsen

Først havde vi Newsweek's besyndelige historie om Satoshi Nakamoto. Nu har vi så Bloomberg der mener at have noget fra "two people familiar with the matter". Bloomberg skal selvfølgelig beskytte deres kilder hvis der er tale om to ansatte ved NSA. Men historien lyder tynd i mine ører. Bloombergs forfatter Michael Riley synes dog at være noget mere inde i sagerne end Newsweeks's Leah McGrath Goodman, men han er før blevet kritiseret se http://wlcentral.org/node/1209 og http://wlcentral.org/node/1002 : "Riley's article betrays a credulity that could only come from a lack of acquaintance with the technologies involved."

Jeg sætter mine penge på at Riley er gået galt i byen.

  • 0
  • 0
#4 Mogens Lysemose

Nu har NSA og lignende efterretningstjenester i årevis misbrugt deres myndighed, kæmpet imod it-sikkerhed og demokratisk kontrol. De har skadet it-verdenen og også amerikanske virksomheder. De har gjort fortjent til at få nyheden sidst - på linje med fremmede magter og demokratiets fjender.

Man sender jo ikke potentielle våben til sine fjender!

  • 2
  • 0
#5 Niels Elgaard Larsen

Hvis der er nogen, der har en god chance for at afsløre om NSA eller andre har udnyttet Heartbleed, så er det GovCert.

Men hvis nogen har udnyttet Heartbleed, så er det jo nok NSA. For hvis fx kriminelle har udnyttet det til at få adgang til passwords eller kreditkortdata, så ville vi formodentlig allerede vide det.

Spørgsmålet er så om GovCert(FE) ville fortælle os det, hvis de vidste det.

  • 0
  • 0
#6 Steen Poulsen

Jeg har for nogle år siden konstateret at 2 af mine server var blevet hacket gennem ssh, og det undrede mig faktisk. Så valgte jeg at lukke for port 22 generelt på firewallen, og kun have åben for de kendte ip adresser/net som brugte tjenesten. Det resulteret i mange lange log filer med port 22 adgangsforsøg. Og jeg har nogle gange krydstjekket hvor adgangen kom fra, og det var både USA, og Kina i stor stil. Det kunne jo være portscan, men efter at det typisk kun var port 22 de forsøgte på, tror jeg ikke det er en tilfældighed.

Denne fejl har været kendt længe.

Jeg har også læst 2-3 år gamle anbefalinger på at droppe password på ssh og kun tillade at logge ind med RSA nøgler, med passphrase. Har tænk meget over hvorfor netop den anbefaling. Men set i lyset af den nye viden om Heartbleed, så giver det jo kanon god mening, - Man får jo nok svært ved at fiske en RSA nøgle ud af det memory som man kan hente... :-) Den springer jo ikke ligefrem i øjenene, som et password ville gøre ...

  • 0
  • 0
#7 Niels Elgaard Larsen

Ja, ssh bliver konstant angrebet. De forsoger at gaette passwords. ssh er ikke direkte saarbar overfor heartbleed. Men hvis man har brugt samme password til ssh og fx paa en webside, saa kan man have et problem.

Derudover er det svaert, at lave gode passwords, som man kan huske, men som ikke kan gaettes i 1000-vis af forsog. Saa det er en god ide ikke at tillade ssh-login med password.

Som sagt saa er SSH ikke saarbar overfor heartbleed, og selvom den var, ville man stadig ikke kunne fiske dine hemmelige RSA-nogler ud af serverens lager.

  • 0
  • 0
Log ind eller Opret konto for at kommentere