Notícias

NSA pode ter sabido do bug Heartbleed antes deste ser público

26 Comentários

Por esta altura já todos estão conscientes do problema de segurança que está a afectar a Internet. O bug Heartbleed é uma das maiores falhas de segurança até agora descobertas e durante alguns esteve disponível para qualquer um explorar.

Tudo indica que a falha manteve-se discreta e sem ser usada, tendo apenas sido apresentada esta semana, pela equipa do OpenSSL, altura em que todos tomaram consciência da existência e da sua magnitude.

Mas segundo a Bloomberg esta pode não ser a verdade para a NSA, que supostamente já sabia desta falha de segurança há pelo menos dois anos.

nsa_1

O que a Bloomberg noticiou no final desta semana dá a entender que a NSA sabia da existência do Heartbleed há já alguns anos e que optou por manter em segredo este problema, para que pudesse explorá-lo sempre que tivesse necessidade.

O Heartbleed é um bug que permite que qualquer atacante mal intencionado consiga capturar informações sobre os utilizadores dos serviços ou até sobre os próprios serviços.

Se inicialmente se pensava que estaria apenas associado a sites web, veio a perceber-se que está mais disseminado e atinge também equipamentos de rede.

A revelação de que a NSA teve conhecimento deste problema muito antes dele ser revelado vem mostrar mais uma vez a postura desta agência.

Segundo a Bloomberg, e apesar de saber do problema, a NSA optou por não o revelar ao mundo e assim permitir que os serviços se protegessem, ficando com esta informação para seu proveito.

É no entanto pouco claro se a NSA fez ou não uso do Heartbleed para seu proveito e para conseguir informações sobre quem procuravam monitorizar.

Mas pouco tempo depois da publicação da notícia por parte da Bloomberg, uma conta do Twitter que se julga estar associada à NSA, apensar de não estar verificada, veio desmentir essa informação.

Esse desmentido acabou por depois ser passado para papel, de forma mais extensa, indicando mais uma vez que a NSA não teria qualquer conhecimento desta vulnerabilidade e que se tivesse sabido antes as teria comunicado para ser tratada.

nsa_2

Este caso não está relacionado com os recentes escândalos que foram revelados por Edward Snowden sobre a NSA e, mesmo que não seja verdadeira esta situação, seria algo que se entende ser perfeitamente executável por esta agência secreta.

O Heartbleed têm-se revelado uma verdadeira dor de cabeça para todos os que gerem serviços assentes na Internet e teria sido evitada se tivesse sido sabida mais cedo.

PUB
Autor: Pedro Simões
Partilhar:
Tags:
Bloomberg bug Heartbleed nsa Segurança

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Meo Cloud: Aprenda a instalar e a usar no Linux
Artigo anterior

Meo Cloud: Aprenda a instalar e a usar no Linux
Apache: Limitar o acesso a sites com base nos IP’s
Próximo artigo

Apache: Limitar o acesso a sites com base nos IP’s
PUB

Comentários

26

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de Pedro Sá
    Pedro Sá

    Só é estranho não saber do avião..

    Responder
  2. Avatar de lmx
    lmx

    pois a falha é conhecida desde pelo menos 2012…embora que de forma discreta, eu já tinha ouvido falar dela…imagino a NSA 😀

    Claro que tiraram proveito da mesma, mas isso é evidente…então quem tem comportamentos obsessivos em espiar os outros, então tendo uma borla não a usa?? claro que sim…!!

    Mas eu começo a ver um padrão na criação de erros e posterior detecção(ou oficialização) de erros e correcção…que me começa a preocupar no openssl…

    Dá ideia que há erros que são propositados,e só depois de algum tempo são corrigidos…epá pode ser a minha visão das coisas…mas tendo em conta aquilo que se vai tornando publico sobre a devassidão americana…começo a ver demasiadas coisas a funcionar de uma forma pelo menos estranha…é que favorecem sempre estas agências…demasiadas coincidências.

    Responder
    1. Avatar de Nunes
      Nunes

      parece estranho que tu já soubesses da falha! Não estarás a confundir com a extensão que deu nome ao bug, que apareceu em 2012!

      Responder
      1. Avatar de lmx
        lmx

        A falha já existe até desde 2011, mas eu tive conhecimento dela a mais de um ano…não sabia era o que era detalhes técnicos…porque não aprofundei…

        Até pensava que dada a gravidade, já tinha sido corrigida…mas só agora foi corrigida…

        “Bug was introduced to OpenSSL in December 2011 and has been out in the wild since OpenSSL release 1.0.1 on 14th of March 2012. OpenSSL 1.0.1g released on 7th of April 2014 fixes the bug.”

        Responder
        1. Avatar de lmx
          lmx

          como vês está disponível ao publico desde 2012…

          Responder
          1. Avatar de Johnny Bravo
            Johnny Bravo

            O bug está disponível desde 2011. Mas a falha foi tornada pública há pouco tempo. Prova disso é que a Google apenas corrigiu o problema nos seus servidores à umas semanas.

            Por isso estás certamente a confundir com a extensão (ou então devias ter contado ao resto do mundo que a falha existia, já que mais ningúem, à excepção da NSA sabia da sua existência).

          2. Avatar de lmx
            lmx

            o problema só foi corrigido agora…porque só agora saiu a correcção…

          3. Avatar de lmx
            lmx

            johny…

            a falha existe desde 2011, foi quando foi criada…passou a estar acessível no software em 2012…e em 2014(OpenSSL 1.0.1g)saiu a correcção para a mesma…

            eu não sei mais que ninguém…simplesmente já tinha ouvido falar deste problema a bastante tempo..não conhecia era a gravidade do problema…

            Nestas coisas há muita burocracia…repara que antes de fosse aberto um bug report oficial…enfim…eles primeiro vão tentar descobrir se a falha é real, e tentar reproduzi-la…enquanto não conseguirem …não há bug oficial…

            A versão 1.0.1 do openssl usa a extensão hertbeat…ou melhor deveria usar, porque não usava correctamente(esse é que é o verdadeiro problema… a implementação tls 1.1 2 1.2) desde a 1.0.1 até á 1.0.1g, agora passou a usar correctamente…quer dizer que qualquer individuo podia ter acesso a todos os dados, etc…

            Se juntares a isto que pelo menos apache e nginx usam por defeito esta ferramenta, sendo que 66% pelo menos da internet a usa…imagina a loucura que foi…

            Conclusão…já todos podem ter visto o que não deviam…e os certificados teem que ser emitidos novamente, porque deixaram de ser confiáveis, grande negócio para os certificadores…

            Este bug foi aberto como CVE-2014-0160 estranhamente tornado oficial apenas em 20131203, embora existam outros relacionados…este foi o primeiro oficial, portanto todos se referem a ele…

            mesmo que não se conhecesse o bug…epa 4 meses(desde 2013-12) numa coisa desta natureza era uma iresponsablidade!!!

            Se eles queriam lançar uma versão com suporte a mais features, deveriam ter testado primeiro se elas eram utilizadas, e a serem se estavam a ser correctamente usadas, e depois libertavam o software para o publico, mas aconteceu ao contrario…a pressão de competirem com GNUTLS dá nestas coisas…

            Pior é que gozavam com o GNUTLS, por causa de 1 bug, e de outras coisas do passado…mas foram capazes de lançar um software que dava a ideia de segurança e não tinha nenhuma…!!

            Parece que engoliram em seco, eles e pelo menos 66% da internet…ou seja de todos nós…

        2. Avatar de Nunes
          Nunes

          A falha existir publicamente desde 2012 não significa que houvesse conhecimento generalizado da mesma, isso nem faz muito sentido dada a reacção que houve agora!
          Não será que estás a confundir com alguma outra coisa? Como um bug nesta extensão, não relacionado com a falha actual? Aliás esta falha, pelo o que percebo, é um somatório de bugs!

          Responder
          1. Avatar de lmx
            lmx

            sim é um somatório…

            a falha foi criada em 2011, e sendo que a versão 1.0.1 saiu para o publico…ficou disponível para todos em 2012, e saiu a correcção em…2014, mas atenção…apenas na versão 1.0.1g, todas as anteriores são afectadas a partir da versão 1..

            O problema é o mesmo, com a implementação dos protocolos tls, a forma como o openssl lida com esta extensão não era a melhor e pelos vistos não corria bem, permitindo…aquilo que todos já sabemos…independentemente de onde estejas…conseguias aceder aos certificados, passwords, users, etc,etc and so on…de uma forma directa…épa isto é demais, isto prova que não houve controlo sobre o que estavam a lançar…aliás…com esta falha até era possível fazer ddos em larga escala tipo ntp 😀 um abuso!!

            a ideia que tenho é que houve revisão de código quer na extenção TLS quer no openssl que usa esta libraria…mas já era conhecido este problema.

            Não sei até que ponto é que se sabia de tudo, muito possivelmente não se sabia a abrangência que isto poderia ter, o pânico surgiu depois de investigadores começarem a olhar para a coisa com olhos de ver(é sempre assim…seres humanos a fazer código dá nisto lol) 😀

            Não era de conhecimento generalizado obviamente…mas acredito que muitos milhões pelo mundo fora já soubessem…o mundo tem vários biliões de pessoas…

            eu acho que tive conhecimento em alguma das milhentas mailing lists que me enchem o email dedicado para mailing lists…para o bem e para o mal lol, mas não me recordo…no entanto já tinha ouvido falar disto(mas nem eu sabia a gravidade do problema, e penso que na altura não era reportada como sendo de tamanha urgência…)…mas não era divulgado nos meios “normais”..

    2. Avatar de pixar
      pixar

      “imagino a NSA”
      Independentemente do bug ser propositado ou não, como era de esperar, a NSA esteve bem caladinha… Não podemos esquecer que é uma agência de segurança e a segurança está acima de tudo. 😀

      Responder
  3. Avatar de Azeiteiro
    Azeiteiro

    “Eles” (NSA) tem como trabalho ler os dados que circulam no mundo… e tem feito de tudo para ter acesso às informações… e apesar de este problema ter sido descoberto, estou certo que eles sabem de pelo menos uma dúzia de outros que permitem o mesmo nível de acesso e interferência.

    Quem quer ter uma aplicação realmente segura tem de a fazer ele próprio, fazer todo o tipo de testes, e pagar a muita gente/ empresas para cair em cima do código e testá-lo até à exaustão para garantir que não há nada de errado… e em especial não usar coisa alguma recomendada pela NSA… se é recomendado pela NSA, não é seguro.

    Aliás, é o que todos os estados de países avançados fazem… usar algoritmos secretos (tanto quanto é possível ser-se secreto nestas coisas) e normalmente evitam tudo o que é recomendado pela NSA… por motivos óbvios, nem a própria NSA usa o que recomenda na Suite B para eles próprios… para o que tem de ficar realmente seguro, usam a Suite A… só pode querer dizer uma coisa… Suite B = Inseguro.

    Por exemplo em vez de encriptação simétrica AES256, usar Threefish256, em vez de integridade SHA2-512/SHA3-512 usar Whirlpool512, em vez de usar certificados NIST P-384 usar Curve41417, não usar Dual_EC_DRBG para criar aliatoriedade nos números por exemplo… e por aí em diante… os programadores já ficaram com a ideia :p

    Responder
    1. Avatar de pixar
      pixar

      “Quem quer ter uma aplicação realmente segura tem de a fazer ele próprio, fazer todo o tipo de testes, e pagar a muita gente/ empresas para cair em cima do código e testá-lo até à exaustão para garantir que não há nada de errado…”

      A questão é que se a NSA tiver conhecimento que está a ser desenvolvido um novo protocolo, vai oferecer ainda mais dinheiro que tu para introduzir uma backdoor. Aparentemente foi o que aconteceu com a RSA.

      Responder
      1. Avatar de Azeiteiro
        Azeiteiro

        O dinheiro pode comprar muita gente… e compra… mas se tu tens interesse em que seja realmente seguro a sério… digamos que és a Airbus, ou o estado Espanhol… provavelmente não há dinheiro que consiga comprar-te, porque tu já tens rios de dinheiro, e queres é mantê-los à distância! E sim, é possível introduzir backdoors… mas é muito mais fácil quando é no teu país que te mandam meter… ora a NSA pode mandar lá nos EUA, mas não manda no resto do mundo, pode tentar subornar (e fá-lo todos os dias) mas com dezenas/ centenas de programadores a testar e a verificar a segurança do teu programa… e a serem bem pagos por ti a probabilidade de conseguirem subverter o código é mínima/ nula… não estamos a falar de projetos tipo OpenSSL e outros que ninguém sabe quem realmente quem são as pessoas que mantêm o código… e se são americanos, eles tem a obrigação legal de meter backdoors se isso lhes for exigido pela NSA, FBI, CIA e outras… o outro do serviço de e-mail recusou-se a isso na empresa e está em tribunal a correr risco de ir preso por se recusar a cumprir ordens do tribunal secreto da NSA (ou a pedido do FBI não tenho a certeza… mas a ordem judicial era secreta… tinha de fazer e não dizer nada a ninguém).

        Responder
        1. Avatar de lmx
          lmx

          pois teoricamente quem começou o projecto foi a Austrália e a Europa :S

          Mas a australia faz parte dos Paises ligados a NSA…e europa…é o quê??É que reino unido também faz parte :S a Holanda, também se mete “na cama” com os EUA :S

          Na verdade alguns developers são americanos :D, como é que isto é um projecto Europeu/Australiano??Alguém explica?? 😀

          Já o GNUTLS é desenvolvido pela Grécia e pela Suécia, e está debaixo da Alçada da FSF, o que dá algumas garantias, em relação a NSA…mas já nem sei lol

          Responder
  4. Avatar de António Nunes
    António Nunes

    Cego não é aquele que não vê.Cego é aquele que não quer ver.

    Responder
    1. Avatar de António Midas
      António Midas

      Cego também é aquele que não vê. Aliás, julgo que essa é mesmo a definição de cego.

      Responder
      1. Avatar de Antoneco
        Antoneco

        Cego é aquele que ve e nada pode fazer.

        Responder
  5. Avatar de superneo
    superneo

    someone…kill NSA!

    Responder
  6. Avatar de Ru1Sous4
    Ru1Sous4

    “A revelação de que a NSA teve conhecimento deste problema muito antes dele ser revelado vem mostrar mais uma vez a postura desta agência.”

    Sim porque as agencies Europeias tem uma postura muito melhor. ..

    Responder
    1. Avatar de lmx
      lmx

      Mas as agências europeias…são EUROPEIAS…

      ou seja para nós, são mais “legais” do que alguma entidade de fora da Europa!!

      Responder
      1. Avatar de Ru1Sous4
        Ru1Sous4

        Refiro-me a postura que as agencias Europeias tem relativamente à (não) defesa dos interesses dos seus cidadãos, sabe-se tudo o q a NSA esta a fazer e n vejo nenhum organismo Europeu a tomar acções exemplares.

        Responder
        1. Avatar de Azeiteiro
          Azeiteiro

          As agências secretas europeias cooperam a todos os níveis com a sua congenere dos EUA e outras do mundo inteiro, e vice-versa… todos guardam informações para si, mas no geral partilham alguma informação para benefício de todos (excepto claro a população). Claro que quem lá trabalha, poderá dizer que já salvaram milhares e milhares de vida… e provavelmente será verdade… mas também já estragaram milhares e milhares de vidas… porque é óbvio que abusam das suas capacidades todos os dias a toda a hora… uns mais que outros, claro.

          Responder
  7. Avatar de Nelson
    Nelson

    Lol, para mim, não me interessa, e não…

    Se a NSA quisesse saber do meu cartão de crédito e historial deste, ou da minha password, eles mandavam um pedido á MasterCard (acho que o meu é MasterCard, não sei…)

    Ainda mais fácil, vejam lá…

    Responder
    1. Avatar de lmx
      lmx

      sim, para fins legais e até certo ponto sim é verdade.

      Mas as agências de espionagem são usadas para tudo o que é ilegal e isso é feito “off the record” para o País ou os estados não ficarem mal vistos perante outros estados…

      Aquilo que é legal podes fazer aos olhos de todos, mas o que é ilegal…só podes fazer, se outros não souberem…

      os mecanismos que falas, já existem e são legais, sendo que por exemplo em Portugal tens tribunais que aprovam essas medidas, mas aqui o caso(NSA) é ter condutas ilegais…é para isso que a agência existe… 🙁

      Responder
  8. Avatar de tiago
    tiago

    Isto já me parece aquele filme muito conhecido de todos “Impacto Profundo – Deep Impact” em que já sabiam há mais de um ano que um asteroide ia embater na terra… ok, é um filme e até que ponto não se confunde com a realidade?

    Em quase tudo, partindo do principio que muitas agências mundiais, como esta, sabem de situações que se passam e não dizem nada á população… que é uma vergonha mundial!

    É por estas e por outras que muitas informações não se devem colocar na internet… que é um mundo dentro deste!

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.