NSA explorou a falha Heartbleed para espionagem, diz Bloomberg
Grave que é, a falha no OpenSSL que está sendo chamada de Heartbleed foi um dos assuntos mais repercutidos da semana. O problema está sendo corrigido só agora, mas a vulnerabilidade existe há meses. O pior é que uma instituição importante não só sabia dela como a usufruiu: ela mesma, a Agência de Segurança Nacional dos Estados Unidos (NSA).
A informação foi revelada nesta sexta-feira (11) pela Bloomberg, que afirma ter ouvido duas fontes confiáveis e próximas à NSA. Estas pessoas informaram ao veículo que a entidade explorou a falha nos últimos dois anos para obter senhas e outras informações sigilosas e, usando como justificativa a questão da segurança nacional, manteve o conhecimento sobre a vulnerabilidade como um precioso segredo.
Não é por menos. Como explicamos aqui no Tecnoblog, o Heartbleed consiste em uma falha crítica no OpenSSL – uma implementação dos protocolos SSL e TLS bastante utilizada na criação de conexões seguras em serviços online – que pode dar acesso indevido a e-mails, contas em redes sociais, senhas, entre outros.
Quais sites ou serviços online a NSA acessou por meio do Heartbleed ninguém sabe ao certo, mas se levarmos em conta que as fontes ouvidas disseram que a falha foi amplamente explorada pela agência, podemos deduzir que foram muitos.
O conhecimento da vulnerabilidade pela NSA não é visto como surpresa. Segundo o Bloomberg, a agência mantém investimentos pesados na busca por falhas em softwares e, como o OpenSSL é bastante popular, teria se tornado um dos alvos preferidos de seus “caçadores de bugs”.
Sim, isso significa que a NSA pode estar se aproveitando de vulnerabilidades ainda desconhecidas publicamente em outros sistemas. Este prática é tida como tão importante que, se fosse proibida pelo governo dos Estados Unidos, poderia diminuir sensivelmente a capacidade do país de detectar ameaças terroristas ou atividades de líderes estrangeiros hostis, na visão de chefes de inteligência norte-americanos.
Esta talvez seja uma maneira sútil que estas autoridades encontraram para dizer que, apesar da gravidade da questão, os Estados Unidos não estão dispostos a incluir a exploração de software na lista de “poderes” que poderão ser revistos pelo governo como forma de amenizar os efeitos causados pelas denúncias de espionagem.
Procurada pelo Bloomberg, a NSA não quis se pronunciar sobre o assunto, mas comentou via Twitter que só soube do Heartbleed quando o assunto começou a ser divulgado.