:

Szerző: Bodnár Ádám

2014. április 14. 12:04

Régóta tudhatott az NSA az OpenSSL sebezhetőségéről

Nem csak hogy régóta tudott az OpenSSL könyvtárat, és azon keresztül az internetre csatlakozó eszközök hatalmas tömegét érintő biztonsági sérülékenységről a National Security Agency, NSA, hanem aktívan ki is használta a sebezhetőséget, állítják a Bloomberg üzleti lap forrásai.

A Heartbleed hibaként elhíresült problémára a múlt héten derült fény: az OpenSSL könyvtár 2012 óta tartalmazta a sérülékenységet, amelyen keresztül támadók autentikáció nélkül hozzáférhetnek az OpenSSLt futtató eszközök memóriájához és onnan közvetlenül képesek adatokat eltulajdonítani. A hétvége során az is bizonyítást nyert, hogy internetes kommunikáció titkosításához használt privát kulcsok is megszerezhetők az OpenSSL sebezhetőségén keresztül, így ha valakinek birtokában vannak titkosított információk, azokat is visszafejtheti.

Az NSA tagadja, hogy tudott a Heartbleedről

A Bloomberg úgy értesült, az National Security Agency (NSA) régóta tudott a Heartbleed sebezhetőségről és azt titokban tartotta, miközben kihasználta annak érdekében, hogy információkat gyűjtsön például más országok számítógépes rendszereiről, potenciális terroristákról vagy bárkiről. Az NSA kezdetben nem kommentálta ezeket az információkat, majd egy rövid közleményben tagadta, hogy ismerte volna a Heartbleed hibát. "A jelentések, amelyek szerint az NSA vagy a kormányzat bármely része tudatában lett volna az ún. Heartbleed sebezhetőségnek 2014 előtt, hibásak. A Szövetségi kormány egészen addig nem tudott az OpenSSL-ben azonosított hibáról, amíg egy privát kiberbiztonsági vizsgálat során nem publikálták. A Szövetségi kormány is az OpenSSL-re támaszkodva védi a kormányzati weboldalak és más online szolgáltatások felhasználóit."

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata!

A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

CI/CD-vel folytatódik az AWS hazai online meetup-sorozata! A sorozat december 12-i, ötödik állomásán bemutatjuk az AWS CodeCatalyst platformot, és a nyílt forráskódú Daggert is.

A Heartbleed sérülékenységet kihasználó támadások közvetlen a memória olvasását teszik lehetővé, és semmilyen nyomuk nem marad a szerverlogokban, így utólag nem lehet eldönteni egy rendszerről, érte-e támadás az OpenSSL sebezhetőségén keresztül. Magyarán szólva soha nem lesz bizonyíték arra, hogy az NSA vagy bárki más kihasználta-e a sérülékenységet valaha, vagy hogy egy rendszert kompromittáltak-e a Heartbleed bug felhasználásával.

A National Security Agency több ezer informatikai biztonsági szakértőt foglalkoztat annak érdekében, hogy sebezhetőségeket találjanak dobozos szoftverekben és nyílt forrású projektekben. Ezeket a hibákat kihasználva az NSA észrevétlenül jár ki-be a kompromittált rendszerekbe és szerez érzékeny információkat, állítják a Bloombergnek nyilatkozó bennfentesek. Az ügynökség egy időben állítólag gyűjtötte a különféle sebezhetőségeket, ezt a gyakorlatot azonban a Snowden-botrány kipattanása után leállították.

Szándékosan gyengítettek titkosítási algoritmusokat

A Bloomberg informátora szerint az NSA szakértőinek kedvelt célpontjai a nyílt forrású szoftverek, amelyeket gyakran alulfizetett programozók fejlesztenek tisztán hobbiból, az ügynökség hatalmas szakértői csapata ezekben előszeretettel keresett olyan sérülékenységeket, amelyek hozzásegítették céljaihoz. A Bloomberg által megszólaltatott bennfentes elmondása alapján az NSA röviddel azt követően tudomást szerzett az OpenSSL sérülékenységéről, hogy 2012 tavaszán megjelent a módosított, sebezhető kód. A sérülékenység ezután bekerült az NSA eszköztárába és alapja lett számos olyan eszköznek, amelyet az ügynökség titkos információk, például felhasználói nevek és jelszavak beszerzésére használt az interneten.

Korábban, az Edward Snowden által kiszivárogtatott dokumentumokból már kiderült, az NSA szándékosan gyengített titkosítási protokollokat és bennük használt algoritmusokat annak érdekében, hogy hozzájuthasson titkosítva tárolt vagy továbbított információkhoz. Ilyen volt többek között a Dual_EC_DRBG véletlenszám-generáló algoritmus is, amelynek végleges változatában az NSA nyomására jelent még néhány változtatás, amelyek bizonyos feltételek között megjósolhatóvá tették a generált véletlen számokat, és  így támadhatóvá tették az algoritmust használó titkosítást. Egyebek mellett az OpenSSL könyvtár is alkalmazza ezt a véletlenszám-generátort.

Többet szeretnél tudni a Heartbleedről és hatásairól, és meg is szeretnéd beszélni azt más szakemberekkel egy sör mellett? Gyere el április 24-én délután az ingyenes App!free eseményünkre, amelynek kiemelt témája a biztonság lesz, főszereplője pedig az OpenSSL sérülékenysége.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek.

a címlapról