NSA 否认知道并利用 Heartbleed 漏洞

彭博社援引知情人士的消息称,美国国家安全局(NSA)至少两年前就知道了OpenSSL的高危漏洞Heartbleed,并且定期利用Heartbleed获取重要情报。NSA对此坚决予以否认, 称它也是直到今年4月才知道。彭博称,NSA决定保密的做法引发了争论,因为NSA的一个使命就是寻找漏洞。NSA和其它主要情报机构投入了数百万美元寻 找可能被用于窃取数据的常用软件漏洞,开源加密协议实现如OpenSSL是其主要目标。OpenSSL由缺乏资助的安全研究人员开发,相比之下NSA有超 过1000名专家使用先进的分析工具搜寻漏洞。知情人士称,NSA在漏洞加入到软件后不久就发现了它。

文章转载自开源中国社区 [http://www.oschina.net]

时间: 2024-11-02 12:52:51

NSA 否认知道并利用 Heartbleed 漏洞的相关文章

内幕:NSA 已经利用 Heartbleed 漏洞多年

据彭博社(Bloomberg)消息,两名不愿透露姓名的内部人士爆料,美国国家安全局NSA早已在两年前就得知Heartbleed漏洞的存在,且一直隐蔽地利用漏洞来窃取密码和收集数据.报道显示,当漏洞2012年首次现身时,NSA就发现该漏洞并一直保留访问权限. 漏洞在未被爆出并修复之前(上周),包括Gmail和亚马逊在内的众多服务器都可以被其攻击.这使得NSA几乎可以访问网络上三分之二的加密服务器.报道同时指出Heartbleed漏洞仅仅是冰山一角,安全局还有上千个类似的漏洞记录在案,用以收集重要的

美官员称奥巴马允许NSA利用互联网漏洞

[摘要]其透漏称奥巴马 认为在"国家安全或执法的明确需要"的情况下,NSA可以利用网络安全漏洞以破解数据加密或者设计网络武器.美官员称奥巴马允许NSA利用互联网漏洞腾讯科技讯 谭思 4月14日编译美国政府高级官员上周六表示,在美国情报机构内部的 激烈辩论之下,美国总统奥巴马已经决定:当 美国国家安全局(National Security Agency,简称NSA)发现互联网存在重大安全漏洞时,它在大多数情况下应该披露这些漏洞,以确保漏洞被及时修复,而不应该保持沉默,以便利用这些漏洞从事

黑客利用软件漏洞贸易牟利 买家包括NSA

 本文讲的是 :  黑客利用软件漏洞贸易牟利 买家包括NSA  ,   一旦曝光漏洞变成了免费.或者需要无偿提交给软件厂商,那么查找和制作安全漏洞的业务,就会发展成为一个对世界各地的支持公司和自由黑客们来说"有利可图"的生意.在<纽约时报>的一篇剖析文章中,Nicole Perlroth和David Sanger探访了最近刚"洗白"的地下黑客社区,在那里,一个由价值的Windows.Linux或iOS的0-day漏洞,甚至能够获得5到6位数的报酬--而大

利用SS7漏洞可追踪全球数十亿部手机 黑客千里之外窃听澳洲议员

本文讲的是 利用SS7漏洞可追踪全球数十亿部手机 黑客千里之外窃听澳洲议员,澳大利亚版电视节目<60分钟时事>(60 Minutes)展示了黑客如何在数千公里外的德国窃听并追踪澳洲参议员 存在于现代通讯技术中的一个大型安全漏洞使得全球数十亿手机用户的数据可能遭到秘密窃取,黑客可以窃听电话并追踪受害者地理位置. 手机信令系统System Signalling Number 7(SS7)存在漏洞,黑客.骗子.流氓政府和肆无忌惮的商业运营商得以使用数以百计的在线端口进行入侵. "六十分钟时

HeartBleed 漏洞会暴露 OpenVPN 私钥

HeartBleed心脏出血漏洞的影响范围还在继续扩大,上周人们以为Heartbleed仅仅是网站web服务器的噩梦,但是随着时间的推移,Heartbleed对企业内网和数据安全的威胁才真正露出水面,造成的损失比web服务更大,而修复更加困难和漫长. 据Ars报道,近日研究者已经完成验证攻击,并多次成功从运行OpenVPN的VPN服务里提取到加密私钥,这意味着Heartbleed漏洞会影响运行OpenVPN的VPN供应商. OpenVPN是一种开源的VPN软件,其默认加密库就是OpenSSL.负

新数据证实黑客能通过Heartbleed漏洞窃取私钥

网络服务公司Cloudflare周六报道称,与之前的怀疑相反,黑客可以通过被称为"Heartbleed"的重大漏洞从有漏洞的网站中获取私钥. 就在昨天,Cloudflare发布了初步的调查结果称,通过Heartbleed获得重要的密钥以解密套接层即使可能也十分困难.为了肯定这一结论,Cloudflare发起了"Heartbleed挑战赛"以查看其他人利用漏洞可能导致的后果.公司搭建了一个nginx服务器,服务器上运行着包含Heartbleed漏洞版本的OpenSSL

Centos 6.5下yum升级、修复OpenSSL heartbleed漏洞

这两天OpenSSL Heart Bleed 漏洞搞得人心惶惶,请看这篇文章:分析.诊断OpenSSL Heartbleed Bug,目前可知的能够利用此漏洞的版本是: OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable OpenSSL 1.0.1g is NOT vulnerable OpenSSL 1.0.0 branch is NOT vulnerable OpenSSL 0.9.8 branch is NOT vulnerabl

易受Heartbleed漏洞影响的Android应用下载量已降至1.5亿

易受 Heartbleed漏洞影响的Android应用下载量已降至1.5亿升级系统以抵抗 Heartbleed是一回事, 但是修复所有受该漏洞影响的Android应用,又是另外一回事了.据外媒Re/code报道,研究公司 FireEye已经发布了一份报告,指出易受Heartbleed影响的Android应用下载量,已经达到了约1.5亿次.更糟糕的是,研究人员称:当前,Google Play商店上的各色"Heartbleed探测器",根本无助于你消除因应用下载所带来的影响.研究人员写到:

openssl升级防止 Heartbleed 漏洞问题

贴下知乎的回答: 另外有一个测试网站是否受到影响的服务:Test your server for Heartbleed (CVE-2014-0160) (现在长期503) 根 据页面上的介绍,这个 OpenSSL 的实现漏洞可以在握手阶段获取到主机上的敏感内存数据,甚至包括 SSL 证书私钥!漏洞2012年出现,昨天(2014年4月7日)才刚刚被修复.想问一下知乎上的信息安全专业人士们,这个漏洞的可利用性和影响范围究竟有多 大?如果是,那么这个曾今的 0day 是否被广泛利用? 很严重的漏洞,涉