传NSA长期利用Heartbleed漏洞 NSA否认

传NSA长期利用Heartbleed漏洞 NSA否认

BI中文站 4月12日

据一些媒体的消息称，多年以来，NSA（美国国家安全局）一直在利用“Heartbleed（心脏出血）”这一巨大的安全漏洞来收集互联网用户的信息。

OpenSSL TLS心跳读远程信息泄露漏洞 (CVE-2014-0160)

OpenSSL严重bug允许攻击者读取64k内存，Debian半小时修复

OpenSSL “heartbleed” 的安全漏洞

通过OpenSSL提供FTP+SSL/TLS认证功能，并实现安全数据传输

Heartbleed漏洞充分利用被广泛使用的加密协议中此前未发现的程序失误，来诱骗网络服务器溢出大量有价值的用户数据和信息，这种高危漏洞几乎影响了使用互联网的所有人。

正如我们在周二的文章中阐述的那样，几乎约三分之二的网络使用了隐藏Heartbleed漏洞的软件，其中就包括Facebook、雅虎和Gmail等重要服务提供商。

这种情况当然会使得Heartbleed漏洞成为NSA收集用户各种数据的极其有效的工具，尽管这会引发人们对NSA的动机和效力产生质疑。不过，对于上述传闻，NSA方面坚持否认利用Heartbleed漏洞。

业界认为，NSA能够在Heartbleed漏洞出现之后不久就快速地发现这一漏洞，这并不奇怪，因为这是一个小错误，并不会明显地破坏SSL（安全套接层）中的任何功能，因此开放源领域中将不会有人发现这种漏洞。当然，这恰恰可能是NSA及其一小部分军方安全专家试图寻找的漏洞——即一些被广泛使用但又很难被发现的漏洞。

据知情人士透露，Heartbleed漏洞在出现之后不久，很快就成为了“NSA窃取用户帐户密码和其它普通任务工具的基本组成部分”。这位知情人士还透露，NSA建立了一个数据库，里面收集了成千上万个漏洞，其中的多数漏洞目前可能仍没有被独立计算机安全研究人员发现。

当然，NSA一直在竭力否认上述传闻，并通过Twitter发布消息称，NSA“也是直到Heartbleed漏洞近期被公开之后才确认了这一漏洞”。

Heartbleed 的详细介绍：请点这里
Heartbleed 的下载地址：请点这里