国家安全保障局は、過去2年間に最近Heartbleedと呼ばれる脆弱性を認識していました。 また、NSAはこの脆弱性を定期的に悪用して、目的の情報にアクセスしました。 この出版物について、ブルームバーグは無名の二人から知られるようになりました 。
それにもかかわらず、これらのデータの公開に応じて、NSAの代表者は、機関の専門家がバグCVE-2014-0160についてメディアで情報を大量に広めた後に初めて知ったと述べた。 Heartbleedは、おそらくインターネットの歴史の中で最も危険な脆弱性であり、すべてのWebサイトの約3分の2のセキュリティの基礎に影響を与えます。
この脆弱性を使用して、攻撃者はターゲットサーバーのRAMの領域にアクセスし、ユーザーのパスワードと秘密キーを盗む機会を得る可能性があります。 情報セキュリティの専門家であるブルース・シュナイアーは、脆弱性のリスク評価を10段階の11段階で評価しました。 ミスを犯してこの脆弱性の作者となった開発者は、彼が不注意にやったと主張します。
多くのインターネット企業と数百万人の一般ユーザーは、数千人の開発者によって書かれたフリーソフトウェアに依存していますが、努力に対する支払いは一切受けていません。 これらの開発者には、無料のコードのセキュリティがかかっています。
NSAのスタッフには、無料ソフトウェアの脆弱性を検索することを主な仕事とする1,000人以上の有償の専門家がいます。 主な目標は、セキュリティプロトコルのオープンな実装です。 もちろん、見つかった脆弱性は公開されておらず、機関の追跡で使用するために分類されています。 NSAは、情報を盗むためにバグを探すために数百万ドルを費やしています。
名前のない情報源によると、この機関はOpenSSLコードに登場して間もなく、つまり2012年初頭にCVE-2014-0160の脆弱性を認識しました。 Heartbleedは、すぐにNSAハッカー攻撃ツールキットの重要な部分になりました。 Center for Strategic and International Studiesのコンピューターセキュリティの専門家であるジェームスルイスは、脆弱性の検索プロセスは十分に確立されており、興味深いバグは経営陣によって通常の専門家と迅速に共有されていると言います。 機関の専門家は、脆弱性とその使用の可能性を評価し、米国の組織のリスクを評価します。
さらに、ルイスによれば、NSAは、発見された脆弱性を使用して機密情報を取得することを決定する場合があります。 専門家は、SSLの開発過程で多くの問題が発生したため、状態構造の情報を保護する主な方法ではないと主張しています。 数百万人の一般ユーザーのデータは攻撃に対して無防備でした。
「穴」の検索は、代理店の重要な部分です。 エドワード・スノーデンによるリーク後にNSAを検討した米国大統領評議会は、機関がソフトウェアの脆弱性の収集を停止し、代わりにそれらを修正するのに役立つべきであると指摘しました。 このような重要な脆弱性を非表示にすると、NSAに対する新たな批判が引き起こされる可能性があります。
CVE-2014-0160のバグは、そのvalence延により、NSAが世界中の一般ユーザーおよび個人データのパスワードを受信できるようにする可能性があります。 米国政府が個人的な目的でHeartbleedを使用したかどうかは不明です。
無名のソースによると、NSAには現在、多くの重要なコンピューターシステムのセキュリティを突破するのに役立つ何千もの脆弱性があります。 しかし、intelligence報部の指導者は、形成された一連の攻撃を使用できないと、テロリストの脅威を検出し、敵対的な体制の意図に関する情報を取得する能力を大幅に弱めると言います。