Агентству національної безпеки було відомо про вразливість, яка нещодавно отримала назву Heartbleed, протягом двох останніх років. Також АНБ регулярно використовувало цю вразливість для отримання доступу до бажаної інформації. Про це виданню Bloomberg стало відомо від двох неназуваних людей.
Тим не менш, представники АНБ у відповідь на публікацію цих даних заявили, що з багом CVE-2014-0160 експерти агентства ознайомилися лише після масового поширення інформації про нього в ЗМІ. Heartbleed - мабуть, найбільш небезпечна вразливість в історії Інтернету, їй були порушені основи безпеки приблизно двох третин всіх веб-сайтів.
За допомогою цієї вразливості зловмисник може отримати доступ до областей оперативної пам'яті цільового сервера, що дає йому можливість вкрасти паролі користувачів і приватні ключі. Брюс Шнайер, експерт з інформаційної безпеки, оцінив ступінь небезпеки вразливості за десятибальною шкалою в 11 балів. Розробник, який допустив помилку і став автором цієї вразливості, стверджує, що зробив це через неуважність.
Багато інтернет-компаній і мільйонів простих користувачів покладаються на вільне програмне забезпечення, яке пишуть кілька тисяч розробників, не отримуючи при цьому ніякої оплати за докладені зусилля. Саме на цих розробниках тримається безпека вільного коду.
АНБ же має в своєму штаті більше тисячі оплачуваних експертів, основним завданням яких є пошук вразливостей у вільному програмному забезпеченні. Основною метою є відкриті реалізації протоколів безпеки. Зрозуміло, знайдені вразливості не оприлюднюються і засекречуються для використання в переслідуваних агентством цілях. Ще б пак - АНБ витрачає мільйони доларів на пошук багів, що дозволяють красти інформацію.
Як стверджує неназуване джерело, про вразливість CVE-2014-0160 агентству стало відомо незабаром після її появи в коді OpenSSL - тобто на початку 2012 року. Heartbleed швидко став важливою частиною інструментарію хакерських атак АНБ. Джеймс Льюїс, експерт комп'ютерної безпеки Центру стратегічних і міжнародних досліджень, каже, що процес пошуку вразливостей добре налагоджений, і інформація про цікаві баги швидко потрапляє від звичайних експертів керівництву. Фахівці агентства оцінюють популярність уразливості і можливості її використання, а також прикидають ризики для організацій США.
Далі, як каже Льюїс, АНБ може вирішити використовувати знайдені вразливості для отримання секретної інформації. Експерт стверджує, що протокол SSL протягом свого розвитку мав безліч проблем, тому не є основним способом захисту інформації державних структур. Дані ж мільйонів звичайних користувачів були відкриті для атаки.
Пошук «дірок» є важливою частиною діяльності агентства. Рада президента США, яка проводила огляд діяльності АНБ після витоків Едварда Сноудена, зауважила, що агентству слід припинити збирати вразливості програмного забезпечення, а замість цього сприяти їх виправленню. Приховування настільки важливої вразливості може спровокувати новий виток критики діяльності АНБ.
CVE-2014-0160 в силу своєї поширеності міг дозволити АНБ отримувати паролі звичайних користувачів і приватні дані по всьому світу. Залишається неясним, чи використовували урядові структури США Heartbleed для своїх приватних цілей.
Згідно з даними неназуваного джерела, на даний момент АНБ має тисячі вразливостей, за допомогою яких можна пробити безпеку багатьох важливих комп'ютерних систем. У керівництві розвідки, однак, кажуть, що неможливість використовувати сформований набір атак сильно послабить можливості для виявлення терористичних загроз і отримання інформації про наміри ворожих режимів.
