NSA o chybě internetu věděla dva roky, mlčením ohrozila miliony lidí

NSA se prostřednictvím vážné chyby hojně využívané šifrovací knihovny OpenSSL byla schopna dostat k chráněným datům včetně soukromých hesel uživatelů internetu, tvrdí zdroje agentury Bloomberg. Vládní rozvědka podle nich využívala Heartbleed Bug téměř dva roky. Veřejnost se přitom o této chybě dozvěděla až před několika dny prostřednictvím společnosti Google, která ji objevila ve spolupráci s finskou firmou Codenomicon.

NSA se podle informací Bloombergu rozhodla utajit existenci chyby, neboť jejím prostřednictvím hodlala monitorovat potenciálně hrozby pro bezpečnost USA či osoby spjaté s terorismem, tvrdí zdroje Bloombergu.

Tajné služby však její dlouhodobé využívání oficiálně popírají. "Zprávy o tom, že by NSA nebo kterákoli jiná součást vládních úřadů věděla o takzvané Chybě krvácení srdce před rokem 2014 jsou mylné," odpovědělo agentuře na dotaz v prohlášení vedení amerických tajných služeb.

Podle expertů na počítačovou bezpečnost si vládní rozvědka sice prostřednictvím chyby opatřila přístup k heslům umožňujícím rozsáhlé nabourávání do soukromých počítačů. Tím, že udržovala chybu v tajnosti, však vystavila miliony lidí riziku útoku hackerů či zahraničních tajných služeb. "Je to políček do tváře tvrzení tajné služby o tom, že jí jde v první řadě o bezpečnost. Lidé zabývající se počítačovou bezpečností je za to budou chtít roztrhat," komentoval praktiku někdejší IT specialista americké armády Jason Healey.

Krvácející srdce postihuje knihovny OpenSSL, které zajišťují základní šifrovací funkce. Používají je rozličné programovací jazyky a lze se s nimi setkat v unixových operačních systémech (např. Solaris, Linux nebo Mac OS X), v operačním systému pro výkonné serverové počítače OpenVMS a pochopitelně také v Microsoft Windows. Knihovny OpenSSL vlastně obhospodařují kryptografické protokoly Transport Layer Security (TLS) a jeho předchůdce Secure Sockets Layer (SSL), díky nimž lze po internetu zabezpečeně komunikovat v rámci prohlížení WWW stránek nebo třeba emailem. Díky těmto protokolům by nikdo neměl odposlouchávat či falšovat zprávy někoho jiného.

Proč tolik povyku? Krvácející srdce obsahují knihovny OpenSSL 1.0.1 až 1.0.1f a pak ještě OpenSSL 1.0.2-beta. Dohromady to představuje nemalou část veškeré komunikace na internetu. Samotná chyba existuje zřejmě od 31. prosince 2011 a po světě se rozšířila 14. března 2012, s uveřejněním knihovny OpenSSL version 1.0.1.

Zatím není úplně jasné, kolik škody Krvácející srdce napáchalo, prý ale lze vyčíst ze záznamů počítačového provozu těžení z této chyby minimálně pět měsíců dozadu. V době zveřejnění, tedy 7. dubna (2014), trpělo krvácejícím srdcem asi 17 procent všech zabezpečených a důvěryhodně certifikovaných serverů. Jinými slovy, asi tak 600 tisíc serverů, s nimž by jste se neměli bát komunikovat, informuje server osel.cz.