Enligt källor till Bloomberg ska NSA ha känt till och nyttjat Heartbleedbuggen i flera år. Myndigheterna förnekar förstås uppgifterna.
Samtidigt har det inte kommit ut några uppgifter från Edward Snowdens visselblåsande om just detta, men Heartbleed kan förstås bara vara en av de tusentals säkerhetsläckor som NSA känner till.
För Sveriges del blir frågan om NSA delat med sig av lyckan till exempelvis FRA.
Man ska komma ihåg att nyttjande av denna lucka är kriminellt dataintrång, och rimligtvis saknar stöd i all form av lagstiftning, åtminstone i Sverige.
Detta undantaget att FRA har något frikort och kan kalla sådant för avlyssning. Samtidigt är det ju lagligt för FRA att tränga sig in i IT-system utomlands, även om det kan vara att betrakta som en krigshandling mot främmande makt.
Värt att notera för bloggens läsare är att Google evenuellt ska varit drabbade av buggen, men patchade innan offentliggörandet. Då jag använder Googles webtjänster för min e-post, så kan NSA och eventuellt FRA haft tillgång till mitt lösenord, och fritt kunnat läsa all min mail. Eller andra icke-myndigheter. Källskyddet kan alltså gåtts förbi.
Nu är detta inget nytt i sig, då man via PRISM mfl metoder, som Snowden avslöjade, redan hade denna möjlighet.
Även Facebook ska varit drabbade av Heartbleed, men de största webtjänsterna underrättades om buggen innan den offentliggjordes, för att den inte skulle utnyttjas av de som inte kände till den. Samtidigt bör man ju aldrig, under några omständigheter, ens privat på Facebook, skriva saker som inte kan läcka ut. Om inte annat kan “vänner” alltid ta skärmdumpar.
Swedbank avfärdar att torsdagens haveri skulle ha med Heartbleed att göra, eller att man ens behövt patcha sina system för Heartbleed. Samtidigt används som bekant tidsstämpelbaserade engångslösenord, eller challenge-responselösenord för känsligare ärenden hos banken, även om det går att logga in med ett fast lösenord. Heartbleed kan därmed använts för att läsa uppgifter om personers engagemang hos Swedbank, men inte till att flytta pengar, om banken varit drabbad.
BankID bygger på klientsidecertifikat, samt tredjepart, och är inte heller sårbart för den här typen av intrång, då man måste ha tillgång till certifikatet på klientsidan för ett intrång. Heartbleed är en intrångsmöjlighet på serversidan och når inte klientcertifikatet.
9 kommentarer
Överskattas inte NSAs kompetens nu… dom har ju redan samarbeten med Google, Microsoft m.fl. så varför tramsa runt med misstag av hobbyprogrammerare? Och varför skulle dom låta bli att gå ut med lösning om dom kände till problemet? Det verkar ju bara dumt, vilket iofs är det enda som talar för att det kan vara sant.
Jag tror Snowdens data sträcker sig fram till 2010 och Heartbleed lär ha skrivits in 2011, så han kan möjligtvis veta om den men sakna stödjande dokumentation.
För övrigt är Heartbleed ytterligare ett exempel på att metoden med bakdörrar i säkerhetssystem som underrättelsetjänsterna använder sig av är en gigantisk säkerhetsrisk och innebär ett hot mot global systemkritisk verksamhet. Jag bedömer (lekmannamässigt) att bakdörrarna och buggarna i säkerhetssystem hotar världen mycket mer än någon terr0ristorganisation är kapabel att göra. Om det nu inte är så att NSA etc. lyckas låta bli att läcka kunskapen om bakdörrarna till gangsters och terr0rister(fniss).
Endast en simpel amatör kan gör ett så flagrant misstag som den här buggen (har kollat i koden). Och eftersom personen anses vara kompetent och kunnig så är den enda möjliga slutsatsen att den lades in med avsikt.
Om man jobbar med seriös programvara, speciellt sådan som kan vara utsatt för hackning, så dubbel och trippelkollar man allt, och koden granskas av många innan den slutligen godkänns. Här verkar det som att en enskild person själv fick bestämma att koden skulle submittas, och sedan hävdar att det var ett enkelt misstag. Högst besynnerligt osannolikt!
OpenSSL utvecklas av volontärer som gillar att sitta och hacka runt med heartbeats i TLS på nyårsafton. Har också kollat på koden och det är gammaldags C, då får man den här typen av problem och det händer hela tiden. Jag är övertygad om att det är ett ärligt misstag.
Gammaldags C är jättebra enligt Linus T.
C är mindre imponerande i det här fallet faktiskt. Ett helt onödigt fel på grund av att man i praktiken gör boundscheckar manuellt (till skillnad från nyare språk) varje gång.
Finns troligtvis 1000-tals eller fler liknande checkar i ett stort projekt som OpenSSL. Även om man dubbel- och trippelkollar, har professionell "personal" (här är tveksam), så är det lätt att sånt här slinker förbi.
@F.Fenix
Linus T jämför C med C++ och om man vet vad man talar om så är det fullständigt uppenbart att C har en hel del fördelar. Bortsett från att C++ har lidit av portabilitetsproblem så innebär C++ också att man lätt får med implicit kod som kanske inte är helt uppenbar att man får med sig (och kommer som en överraskning av just medelmåttliga och undermåliga programmerare).
Man har helt enkelt i C++ alla de möjligheter C har att skjuta sig i foten, men man har fått en hel del nya kraftfulla sätt att skjuta sig i foten med.
"För Sveriges del blir frågan om NSA delat med sig av lyckan till exempelvis FRA".
Man kan ju även tänka sig att FRA kände till detta utan att någon annan säkerhetstjänst talade om detta, de är ju inte direkt inkompetenta på FRA.
Likaledes kan man nog förutsätta att Chin/Ru/Iran/Isre/Fra/GB också känner till globala säkerhetsläckor det är inte bara NSA som försöker hitta info som kan vara värd minnas alla andra gör exakt lika dant i varierande utsträckning.
Den här kommentaren har tagits bort av skribenten.