传NSA长期利用Heartbleed漏洞 NSA否认

BI中文站 4月12日据一些媒体的消息称，多年以来，NSA（美国国家安全局）一直在利用“Heartbleed（心脏出血）”这一巨大的安全漏洞来收集互联网用户的信息。相关阅读：OpenSSL TLS心跳读远程信息泄露漏洞（CVE-2014-0160） http://www.linuxidc.com/Linux/2014-04/99741.htmOpenSSL严重bug允许攻击者读取64k内存，Debian半小时修复 http://www.linuxidc.com/Linux/2014-04/99737.htmOpenSSL “heartbleed” 的安全漏洞 http://www.linuxidc.com/Linux/2014-04/99706.htm通过OpenSSL提供FTP+SSL/TLS认证功能，并实现安全数据传输 http://www.linuxidc.com/Linux/2013-05/84986.htmHeartbleed漏洞充分利用被广泛使用的加密协议中此前未发现的程序失误，来诱骗网络服务器溢出大量有价值的用户数据和信息，这种高危漏洞几乎影响了使用互联网的所有人。正如我们在周二的文章中阐述的那样，几乎约三分之二的网络使用了隐藏Heartbleed漏洞的软件，其中就包括Facebook、雅虎和Gmail等重要服务提供商。这种情况当然会使得Heartbleed漏洞成为NSA收集用户各种数据的极其有效的工具，尽管这会引发人们对NSA的动机和效力产生质疑。不过，对于上述传闻，NSA方面坚持否认利用Heartbleed漏洞。业界认为，NSA能够在Heartbleed漏洞出现之后不久就快速地发现这一漏洞，这并不奇怪，因为这是一个小错误，并不会明显地破坏SSL（安全套接层）中的任何功能，因此开放源领域中将不会有人发现这种漏洞。当然，这恰恰可能是NSA及其一小部分军方安全专家试图寻找的漏洞——即一些被广泛使用但又很难被发现的漏洞。据知情人士透露，Heartbleed漏洞在出现之后不久，很快就成为了“NSA窃取用户帐户密码和其它普通任务工具的基本组成部分”。这位知情人士还透露，NSA建立了一个数据库，里面收集了成千上万个漏洞，其中的多数漏洞目前可能仍没有被独立计算机安全研究人员发现。当然，NSA一直在竭力否认上述传闻，并通过Twitter发布消息称，NSA“也是直到Heartbleed漏洞近期被公开之后才确认了这一漏洞”。Heartbleed 的详细介绍：请点这里
Heartbleed 的下载地址：请点这里OpenSSL：我们真穷啊，没钱堵漏洞DNS攻击原理与防范相关资讯 NSA Heartbleed漏洞

NSA 如何窃听 Google 的加密流量— （01月04日）
如何应对NSA对加密流量的拦截（10/18/2015 12:48:25）
NSA宣布过渡到能抗量子计算机的加（08/16/2015 08:08:45）

NSA帮助GCHQ发现Juniper防火墙漏洞（12/24/2015 17:24:18）
NSA如何破译加密网络流量（10/16/2015 18:52:02）
WikiLeaks称NSA监视日本内阁、银行（08/02/2015 08:23:43）

本文评论查看全部评论（0）

评论声明

尊重网上道德，遵守中华人民共和国的各项有关法律法规
承担一切因您的行为而直接或间接导致的民事或刑事法律责任
本站管理人员有权保留或删除其管辖留言中的任意内容
本站有权在网站内转载或引用您的评论