搜索
❏ 站外平台:

内幕:NSA已经利用Heartbleed漏洞多年

| 2014-04-12 10:03   评论: 7 分享: 4    

据彭博社(Bloomberg)消息,两名不愿透露姓名的内部人士爆料,美国国家安全局NSA早已在两年前就得知Heartbleed漏洞的存在,且一直隐蔽地利用漏洞来窃取密码和收集数据。报道显示,当漏洞2012年首次现身时,NSA就发现该漏洞并一直保留访问权限。

漏洞在未被爆出并修复之前(上周),包括Gmail和亚马逊在内的众多服务器都可以被其攻击。这使得NSA几乎可以访问网络上三分之二的加密服务器。报道同时指出Heartbleed漏洞仅仅是冰山一角,安全局还有上千个类似的漏洞记录在案,用以收集重要的情报。

安全局拥有的资源优势可以让其轻易发现此类漏洞,有“黑色预算”的支持,该局每年在数据处理和获取上耗资达16亿美元,远超出OpenSSL项目每年的预算。这个巨大的差距让人们不得不怀疑国家安全局在信息防卫战中所扮演的角色。据一位前空军信息官透露,“计算机安全社区在这方面完全无能为力”。

补充:

彭博社援引知情人士的消息称,美国国家安全局(NSA)至少两年前知道了OpenSSL的高危漏洞Heartbleed,并且定期利用Heartbleed获取重要情报。NSA对此坚决予以否认,称它也是直到今年4月才知道。

彭博称,NSA决定保密的做法引发了争论,因为NSA的一个使命就是寻找漏洞。NSA和其它主要情报机构投入了数百万美元寻找可能被用于窃取数据的常用软件漏洞,开源加密协议实现如OpenSSL是其主要目标。OpenSSL由缺乏资助的安全研究人员开发,相比之下NSA有超过1000名专家使用先进的分析工具搜寻漏洞。知情人士称,NSA在漏洞加入到软件后不久就发现了它。

 


返回顶部

分享到微信

打开微信,点击顶部的“╋”,
使用“扫一扫”将网页分享至微信。