Skal man tro Bloomberg, har NSA i årevis kendt og brugt det meget kritiske hul i webkrypteringen OpenSSL, der er døbt Heartbleed. Det skrev den ansete avis i hvert fald i weekenden, men det har NSA selv meget tydeligt benægtet.
Og hvis NSA denne gang ikke gemmer noget bag de gennemarbejdede officielle udmeldinger og faktisk ikke kendte til Heartbleed før alle andre – skulle Google så have handlet anderledes?
Google opdagede nemlig Heartbleed-sårbarheden i marts måned, nogenlunde samtidig med det finske sikkerhedsfirma Codenomicon, men gav først de amerikanske myndigheder besked den 7. april, da sårbarheden blev meldt ud til offentligheden. Det skriver National Journal.
Inden den brede offentliggørelse havde Google også orienteret en stribe sikkerhedseksperter og andre firmaer i branchen, så for eksempel firmaet Cloudfare kunne lappe hullet den 31. marts. Dermed kom myndighederne i USA altså ikke højt på listen over, hvem Google mente skulle have besked om Heartbleed-sårbarheden.
En talsmand fra det Hvide Hus skriver, at hverken NSA eller andre dele af det amerikanske statsapparat kendte til Heartbleed-hullet før Googles offentlige udmelding. Hvis NSA havde opdaget problemet først, ville tjenesten have orienteret OpenSSL-organisationen, lyder meldingen.
Google valgte at vente nogle dage med at offentliggøre Heartbleed-problemet, så der var tid til at sikre alle Googles egne systemer mod sårbarheden.
I weekenden kom en tidligere melding fra Obama igen i fokus, nemlig om hvordan NSA fremover skal forholde sig til sikkerhedshuller. Det skriver New York Times.
I ‘de fleste tilfælde’ skal NSA og de øvrige sikkerhedstjenester offentliggøre de sårbarheder, der bliver opdaget. Men hvis der er et klart behov, til brug for nationens sikkerhed eller politiarbejde, er det i orden, at efterretningstjenesterne udnytter hullerne i al hemmelighed, har en talsmand for det Hvide Hus tidligere meldt ud.
Med præsidentens melding om Heartbleed-sårbarheden blev det præciseret, at USA’s regering nu hælder til, at sårbarheder som for eksempel Heartbleed i højere grad skal deles med it-branchen, så hullerne kan blive lappet.
Leave a Reply