Nevarne luknje v svetovnem spletu

Po informacijah, ki jih je pridobil Bloomberg, naj bi ameriška krovna varnostna agencija NSA hrošča Heartbleed redno uporabljala za pridobivanje pomembnih informacij

Potem ko je pred nekaj dnevi postalo jasno, da je hrošč Heartbleed (krvaveče srce) temeljito ogrozil varnost odprtokodne knjižnice OpenSSL, temeljnega kamna vseh varnih povezav na spletu (za katero je odgovornih zgolj pet programerjev, od tega samo eden trajno zaposlen!), ki ‘hekerjem’ omogoča lažji dostop do uporabniških gesel in podatkov, so računalniški strokovnjaki pričeli opozarjati tudi na možnost, da ameriška obveščevalna agencija NSA omenjeno napako pozna že dalj časa. NSA je uradno zanikala možnost, da bi izkoriščala omenjeno pomanjkljivost in trdi, da pred razkritjem napake ni vedela za omenjeno varnostno napako. 

Vendar pa so je po poročilih tiskovne agencije Bloomberg resnica nekoliko drugačna: ameriška NSA naj bi bila po informacijah dveh virov, ki sta spregovorila za Bloomberg, že več let dobro seznanjena s težavo in jo zlorabljala za pridobivanje osebnih podatkov. Pa tudi Google naj bi se s to težavo ukvarjal že najmanj dve leti. Takšnih in drugačnih virusov je sicer na spletu zmeraj veliko, težava Heartbleeda pa je v tem, da je ta luknja v varnostnem sistemu tako zelo dolgo odprta, da je zlonamernim uporabnikom spleta morda omogočila tudi pridobivanje zaupnih gesel in šifer zelo velikega števila uporabnikov. Zaradi tega je smiselna tudi sprememba gesel, vendar samo tam, kjer so napako že odpravili – na primer na strežnikih Yahooja in drugih podobnih straneh. Tudi Google trdi, da so ranljivost pravočasno odpravili in da ni potrebe po menjavi gesel. Gesla je sicer dobro občasno zamenjati tudi drugače.

Podatki, ki jih navaja Bloomberg, pa so nekoliko bolj zaskrbljujoči. Po navedbah dveh virov, ki sta govorila z njihovimi novinarji, NSA za Heartbleed ve že najmanj dve leti in je to napako tudi »redno uporabljala za pridobivanje pomembnih informacij«. NSA se je tudi odločila, da svoje vedenje o napaki zadrži zase, zaradi interesov nacionalne varnosti. Prav to pa je v ZDA že sprožilo razpravo o vlogi strokovnjakov NSA in njihovi pravici, da takšne informacije zadržijo zase oziroma dolžnosti, da o napaki obvestijo javnost. Napaka je namreč postala javna šele ob razkritju varnostnega poročila zasebnega podjetja.

Heartbleed velja za največjo »varnostno luknjo« v zgodovini svetovnega spleta, predvsem zato, ker ta napaka ogroža okoli dve tretjini svetovnih spletnih strani. Popravek kode je bil javno dostopen šele pred petimi dnevi. Zaradi napake je kanadska vlada začasno suspendirala možnost spletnega izpolnjevanja davčnih obrazcev, luknje pa so morali ekspresno krpati tudi pri proizvajalcu mrežne opreme Cisco Systems. Z hroščem Heartbleed v svoji orožarni bi ameriška NSA lahko pridobila številna gesla za dostop do različnih strežnikov in računalnikov, ki bi nato služili kot gradbeni kamni za še bolj sofisticirane operacije vdiranja v računalniške sisteme po vsem svetu.

Vendar je imelo vse to tudi ceno – tudi milijoni navadnih uporabnikov spleta so bili več let izpostavljeni enakim napadom in vdorom tistih ‘hekerjev’ in služb, ki so prav tako poznale omenjeno napako. Zaradi te napake bi lahko milijone spletnih strani zrušil en sam napadalec. Vse to je dodatno opozorilo o potrebni boljšega svetovnega nadzora nad varnostjo spleta. Če je namreč za varnostno kodo, ki je bila tako pomembna za celoten splet, skrbelo pet programerjev, potem vse pove podatek, da naj bi se samo v NSA z iskanjem takšnih in podobnih lukenj vsak dan ukvarjalo okoli 1000 programerjev z najsodobnejšo opremo.