NSA sapeva di Heartbleed da anni
La decisone dell'agenzia di intelligence di mantenere segreta la questione del bug per così tanto tempo sta facendo scoppiare un nuovo dibattito sul suo ruolo e sulla regolarità delle pratiche usate, soprattutto dopo lo scandalo del Datagate
NEW YORK - La National Security Agency (Nsa) era al corrente da due anni della falla Heartbleed e l'avrebbe usata per spiare informazioni sensibili su internet. La decisone dell'agenzia di intelligence di mantenere segreta la questione del bug per così tanto tempo sta facendo scoppiare un nuovo dibattito sul suo ruolo e sulla regolarità delle pratiche usate, soprattutto dopo lo scandalo del Datagate.
La falla nel sistema OpenSSL - usato per criptare le comunicazioni internet, usato da due terzi dei server e ritenuto il più sicuro al mondo - rappresenta una delle più grandi debacle della storia di internet. Come riporta Bloomberg, che cita fonti anonime, l'Nsa avrebbe usato il bug a suo vantaggio per riuscire con più facilità a entrare in sistemi che altrimenti sarebbero stati inaccessibili. Non senza un costo: esporre milioni di utenti a possibili attacchi di hacker e di agenzie di intelligence di altre nazioni.
NUOVO TASSELLO - Il portavoce dell'agenzia di spionaggio ha negato qualsiasi coinvolgimento: «L'Nsa non era al corrente della vulnerabilità recentemente identificata... fino a quando il problema non è stato reso pubblico». Tuttavia già dallo scorso ottobre alcuni analisti ed esperti avevano ricordato che l'agenzia americana aveva cercato di violare i protocolli SSL per ricostruire le informazioni che viaggiavano attraverso i server.
Adesso, stando alle nuove rivelazioni, si può aggiungere un nuovo tassello alla vicenda: l'Nsa, forse cercando di decriptare il codice, si sarebbe accorta della falla che poi avrebbe usato per entrare liberamente in milioni di server sparsi per il mondo.
I nuovi risvolti arrivano nel giorno in cui il governo americano ha annunciato che diversi hacker si starebbero servendo del bug scoperto lunedì scorso da un team di ricercatori finlandesi per capire se i network sono vulnerabili e lanciare attacchi. Il dipartimento della Sicurezza nazionale ha chiesto alle aziende e alle organizzazioni di segnalare qualsiasi attacco collegato al «buco» della sicurezza che sta colpendo due terzi dei server di Internet.
- 31/05/2021 Sicurezza online: un nuovo progetto per sensibilizzare i più piccoli
- 27/05/2021 Lo spoofing: un nome curioso per una pratica ingannevole
- 19/05/2021 Servizi finanziari bombardati da attacchi alle applicazioni web e tentativi di credential stuffing
- 17/05/2021 Bizarro, dal Brasile un nuovo (e potente) malware bancario si diffonde via email