بلومبرگ گزارش داد: NSA از دو سال پیش از وجود باگ موسوم به خونریزی قلبی آگاه بوده و از آن استفاده کرده است

شنبه ۲۳ فروردین ۱۳۹۳ - ۱۲:۴۵
مطالعه 2 دقیقه
همانطور که در زومیت خواندید در هفته‌ای که پشت سر نهادیم، کشف یک باگ خطرناک موسوم به خونریزی قلبی، فضای وب را شدیداً تحت‌تأثیر قرار داد. اما ساعاتی پیش بلومبرگ گزارشی منتشر کرده است که پرده از واقعیت‌های پنهان سوءاستفاده از این باگ خطرناک برداشته است. براساس گزارش منتشر شده، آژانس امنیت ملی آمریکا در دو سال اخیر، از این باگ آگاه بوده و با سرپوش قرار‌دادن روی آن، خود از خونریزی فلبی بهره‌برداری کرده است.
تبلیغات

براساس اطلاعات ارائه شده توسط دو فرد آگاه، این باگ بنابر خواسته‌ی NSA مخفی نگاه داشته شده تا این آژانس امنیتی از این طریق، رمز‌های عبور و اطلاعات مدنظر خود را به دست آورد. براین اساس گویا NSA در سال 2012 میلادی خونریزی قلبی را کشف کرده است و در طول دوران حیات آن تا هفته‌ی پیش از آن برای مقاصد خود که شنود اطلاعات و دریافت اطلاعات کاربران بوده، استفاده کرده است.

این ضعف امنینی مطمئناً برای حمله به سرویس‌های متعددی به کار گرفته شده‌اند که پیش از اعمال پچ ارائه شده آسیب‌پذیر بوده‌اند. از جمله‌ی این سرویس‌ها می‌توان به جیمیل و وب‌سرویس‌های آمازون اشاره کرد که مصون‌بودن آن از باگ خونریزی قلبی به هفته‌ی پیش و پس از اعمال بسته‌ها امنیتی برمی‌گردد. این باگ امکان دسترسی به اطلاعات دو سوم از سرورهای رمزگذاری شده را در اختیار آژانس امنیت ملی آمریکا قرار داده است. براساس گزارش Open Source آژانس امنیت ملی آمریکا لیستی از باگ‌های این چنینی را در دست داشته و خونریزی قلبی تنها نمونه‌ای از این باگ‌ها است. NSA در جستجوهای جاسوسی خود این اطلاعات را به دست آورده است.

اما آژانس امنیت ملی با انتشار بیانیه‌ای تمامی موراد مورد بحث درباره‌ی اطلاع از این باگ را تکذیب کرده و اعلام کرده که تا زمان اعلام عمومی مبنی بر وجود چنین مشکلی از وجود آن بی‌اطلاع بوده است. کاخ سفید نیز به گزارش منتشر شده واکنش نشان داده و تمامی موارد مطرح شده مرتبط با NSA را تکذیب کرده است. کاخ سفید در بیانیه‌ی خود چنین اظهار نظر کرده است:

در صورتی که دولت فدرال که شامل نهادهای اطلاعاتی است، از وجود این باگ اطلاعاتی داشته و وجود آن را پیش از این کشف کرده بودند، مطمئناً آن را فاش کرده و عموم کاربران و همچنین سرویس‌دهندگان در فضای وب را از چنین باگی مطلع می‌ساختند.

اما NSA از ساختار لازم برای یافتن چنین باگ‌های برخوردار است؛ چراکه این نهاد امنیتی با صرف هزینه‌ای 1.6 میلیارد دلاری بصورت سالیانه به پردازش اطلاعات و استخراج داده‌ها می‌پردازد که این بودجه چندین برابر بودجه‌ای است که سالانه جذب پروژه‌ی OpenSSL می‌شود. این گمانه‌زنی‌ها و گزارش‌های منتشر شده در کنار تکذیب اطلاع‌داشتن از این باگ در کنار موارد پیشین مربوط به شنود اطلاعات توسط این آژانس امنیتی، تا حدودی نظرها را نسبت به NSA بیش از پیش منفی کرده؛ بطوریکه تمام جامعه‌ی آی‌تی را رودرروی NSA قرار داده است.

تبلیغات
داغ‌ترین مطالب روز

نظرات

تبلیغات