image

NSA al 2 jaar op de hoogte van Heartbleed

zaterdag 12 april 2014, 00:50 door Redactie, 15 reacties
Laatst bijgewerkt: 13-04-2014, 08:09

Volgens het Amerikaanse Persbureau Bloomberg was de NSA al 2 jaar bekend met de Heartbleed bug en heeft ze de kwetsbaarheid in OpenSSL regelmatig gebruikt om informatie te verzamelen. Bloomberg beroept zich op bronnen die “op de hoogte van de situatie” zijn.

De beslissing van de NSA om de bug in het kader van nationale veiligheidsbelangen geheim te houden zal de discussie over de rol van de computerexperts van de Amerikaanse overheid weer flink doen oplaaien.

Heartbleed lijkt een van de grootste lekken in de geschiedenis van het internet te zijn. Maar liefst tweederde van de websites wereldwijd wordt er door geraakt. De ontdekking en de advisory die 5 dagen geleden door onderzoekers werd gepubliceerd heeft er toe geleid dat consumenten massaal hun wachtwoorden hebben gewijzigd, dat de Canadese overheid de elektronische belastingaangifte heeft uitgesteld en dat grote technische bedrijven zoals Cisco Systems en Juniper Networks patches voor hun systemen hebben uitgebracht. Ook worden er enorm veel nieuwe SSL certificaten uitgegeven.

Door de Heartbleed bug stilletjes aan het arsenaal toe te voegen is de NSA in staat geweest om wachtwoorden en andere belangrijke gegevens te verkrijgen. De prijs hiervoor was hoog. Miljoenen gewone gebruikers zijn aan hun lot overgelaten en al die tijd kwetsbaar geweest voor aanvallen door geheime diensten en cybercriminelen.

Jason Healey, directeur van het “cyber statecraft initiative at the Atlantic Council“ en een voormalige luchtmacht officier verklaart: “De security community zal geen spaan van ze heel laten na deze onthulling."

De NSA heeft zojuist op twitter ontkend van Heartbleed op de hoogte te zijn geweest voordat de kwetsbaarheid afgelopen week openbaar werd.

Image

Reacties (15)
12-04-2014, 02:06 door Anoniem
Als dit klopt is het wel duidelijk dat verschillende onderdelen van de Amerikaanse regering flink tegen elkaar in aan het werken zijn, zo beveelt US-CERT n.a.v. deze vulnerability nu zelfs forward secrecy aan, dat heb ik Snowden ook een keer horen roepen.
12-04-2014, 08:46 door Anoniem
De NSA heeft zojuist op twitter ontkent van Heartbleed op de hoogte te zijn geweest voordat de kwetsbaarheid afgelopen week openbaar werd.
Ja, natuurlijk. Dat zullen ze vast niet geweten hebben...

En wie gelooft de NSA nu nog? Die hebben nog nooit de waarheid vertelt. En dit keer dan ineens wel.....
12-04-2014, 09:05 door Anoniem
En de media maar weer brullen: "grootste internetlek aller tijden"....

Dat valt, denk ik, wel heel erg mee, omdat het lek alleen in de laatste versies van OpenSSL zat.
Iedereen die nog jaren ondersteunde distributies als RHEL5, SL5 of CentOS5 (en zelfs de versies 6.1 tot 6.3) als basis voor zijn webservers draaide, gebruikt een OpenSSL-versie die dit lek NIET bevat.

Het is blijkbaar niet zo verstandig om altijd meteen de nieuwste versies te installeren, of versies buiten de distributie om (-;)
12-04-2014, 12:33 door Anoniem
Door Anoniem: En de media maar weer brullen: "grootste internetlek aller tijden"....

Dat valt, denk ik, wel heel erg mee,
...
?
Maar liefst tweederde van de websites wereldwijd wordt er door geraakt.
!
Het is blijkbaar niet zo verstandig om altijd meteen ...
... een mening klaar te hebben staan?
12-04-2014, 13:05 door Anoniem
Ik verdenk de NSA ervan achter de lek te zitten, want zoals altijd zien zij hun belang als meest bepalende factor.
12-04-2014, 14:16 door [Account Verwijderd]
[Verwijderd]
12-04-2014, 17:14 door Anoniem
Door Anoniem:
Door Anoniem: En de media maar weer brullen: "grootste internetlek aller tijden"....

Dat valt, denk ik, wel heel erg mee,
...
?
Maar liefst tweederde van de websites wereldwijd wordt er door geraakt.
!
Het is blijkbaar niet zo verstandig om altijd meteen ...
... een mening klaar te hebben staan?

Ja, en mijn is gebaseerd op simpele wiskunde (die van jou blijkbaar op de mening die in de media wordt verkondigd)

Lees het artikel op http://heartbleed.com/. Daar staat
"tweederde van de websites draait op Apache en Nginx !! Apache en Nginx maken gebruik van OpenSSL."
Conclusie in bovenstaand bericht: twee op de drie websites wordt erdoor geraakt.

MAAR: Lange niet alle Apache en Nginx servers draaien de laatste, kwetsbare, versie van OpenSSL.
En bovendien bieden niet alle webservers ssl-functionaliteit aan, want niet overal noodzakelijk.

DUS: Het probleem is heel wat kleiner dan 2 op de 3.
12-04-2014, 21:33 door Anoniem
Door Anoniem: Ik verdenk de NSA ervan achter de lek te zitten, want zoals altijd zien zij hun belang als meest bepalende factor.

Inderdaad in de NSA range

http://pastebin.com/1zYdCiSw
12-04-2014, 22:01 door [Account Verwijderd] - Bijgewerkt: 12-04-2014, 22:02
[Verwijderd]
13-04-2014, 09:02 door Anoniem
Dat heartbleed probleem zou dan zo ongeveer het enige zijn waar de NSA niet van op de hoogte is? Terwijl ze verder zowat overal in konden. Daar geloof ik niets van. Ze hebben het gewoon achtergehouden.
13-04-2014, 11:53 door steve sh1t
Goh wat verrassend: er zit een achterdeurtje in OpenSSL, dat had ik nou echt niet verwacht. *Gaaaap*

Ik vind het trouwens wel onterecht dat alleen de NSA wordt zwart gemaakt, want zo wat de hele wereld lifte mee op dit achterdeurtje.

Mensen die verbijsterd raken van dit soort nieuws, willen echt niet weten hoe de wereld werkelijk in elkaar zit en dat is maar beter ook :D

Door von Goethe:
None are more hopelessly enslaved than those who falsely believe they are free.

:p
13-04-2014, 14:49 door Anoniem

Ik vind het trouwens wel onterecht dat alleen de NSA wordt zwart gemaakt, want zo wat de hele wereld lifte mee op dit achterdeurtje.
Dat zijn best forse uitspraken, meestal komt zoiets met een bron anders is en blijft het gewoon speculeren/fantaseren.
13-04-2014, 19:37 door steve sh1t - Bijgewerkt: 13-04-2014, 19:41
Door Anoniem:

Ik vind het trouwens wel onterecht dat alleen de NSA wordt zwart gemaakt, want zo wat de hele wereld lifte mee op dit achterdeurtje.
Dat zijn best forse uitspraken, meestal komt zoiets met een bron anders is en blijft het gewoon speculeren/fantaseren.

Forse uitspraken? Dat valt toch wel mee. Of wil je beweren dat de Amerikanen superieur zijn en dat bijvoorbeeld de Chinezen niks van dit lek af wisten?

Geheime diensten hebben miljarden tot hun beschikking, dus als er een geheime dienst in de wereld niet op de hoogte was van dit "heartbleed" lek, dan moet er gewoon radicaal gereorganiseerd worden op de desbetreffende IT R&D afdeling.

En als je de media een beetje gevolgd hebt de afgelopen decennia, had je geweten dat sommige lekken/achterdeurtjes pas na 5+ jaar gedicht werden.

En over bronnen/bewijzen gesproken? Snowden heeft ook nooit bewijzen geleverd, maar iedereen neemt het wel aan als bewijs, terwijl geen rechter op deze wereld dat knip en plakwerk van Snowden als bewijs zal erkennen. Dus als er iets speculaties/fantasietjes zijn, dan is dat wel het gekeuvel van Snowden.
13-04-2014, 20:55 door Anoniem
Door steve sh1t:
Door Anoniem:

Ik vind het trouwens wel onterecht dat alleen de NSA wordt zwart gemaakt, want zo wat de hele wereld lifte mee op dit achterdeurtje.
Dat zijn best forse uitspraken, meestal komt zoiets met een bron anders is en blijft het gewoon speculeren/fantaseren.

Forse uitspraken? Dat valt toch wel mee. Of wil je beweren dat de Amerikanen superieur zijn en dat bijvoorbeeld de Chinezen niks van dit lek af wisten?

Geheime diensten hebben miljarden tot hun beschikking, dus als er een geheime dienst in de wereld niet op de hoogte was van dit "heartbleed" lek, dan moet er gewoon radicaal gereorganiseerd worden op de desbetreffende IT R&D afdeling.

En als je de media een beetje gevolgd hebt de afgelopen decennia, had je geweten dat sommige lekken/achterdeurtjes pas na 5+ jaar gedicht werden.

En over bronnen/bewijzen gesproken? Snowden heeft ook nooit bewijzen geleverd, maar iedereen neemt het wel aan als bewijs, terwijl geen rechter op deze wereld dat knip en plakwerk van Snowden als bewijs zal erkennen. Dus als er iets speculaties/fantasietjes zijn, dan is dat wel het gekeuvel van Snowden.
Snowden heeft geen bewijs geleverd? Er zijn honderden presentatie pagina's door hem geüpload waarvan de NSA bevestigd heeft dat ze van hun afkomstig zijn.

Ik beweer niet dat de Chinezen er niets vanaf wisten, ik ben gewoon verstandig en ga geen twijfelachtige uitspraken doen waarvan ik niet zeker weet dat het zo is.

Wel hilarisch eigenlijk dat u Snowden beticht van geen echt bewijs te leveren, terwijl u zelf sensatie beluste verhalen de wereld in slingert, zonder enige concrete vorm van bewijs.
14-04-2014, 11:00 door Anoniem
Zoals ik al om zei het enigste waar de NSA om zal huilen is niet als jij vpn of tor gebruikt maar nu naar twee jaar dat ze deze bug eindelijk eens patchen..

Dat doet ze veel meer pijn.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.