Grave que é, a falha no OpenSSL que está sendo chamada de Heartbleed foi um dos assuntos mais repercutidos da semana. O problema está sendo corrigido só agora, mas a vulnerabilidade existe há meses. O pior é que uma instituição importante não só sabia dela como a usufruiu: ela mesma, a Agência de Segurança Nacional dos Estados Unidos (NSA).

heartbleed

A informação foi revelada nesta sexta-feira (11) pela Bloomberg, que afirma ter ouvido duas fontes confiáveis e próximas à NSA. Estas pessoas informaram ao veículo que a entidade explorou a falha nos últimos dois anos para obter senhas e outras informações sigilosas e, usando como justificativa a questão da segurança nacional, manteve o conhecimento sobre a vulnerabilidade como um precioso segredo.

Não é por menos. Como explicamos aqui no Tecnoblog, o Heartbleed consiste em uma falha crítica no OpenSSL – uma implementação dos protocolos SSL e TLS bastante utilizada na criação de conexões seguras em serviços online – que pode dar acesso indevido a e-mails, contas em redes sociais, senhas, entre outros.

Quais sites ou serviços online a NSA acessou por meio do Heartbleed ninguém sabe ao certo, mas se levarmos em conta que as fontes ouvidas disseram que a falha foi amplamente explorada pela agência, podemos deduzir que foram muitos.

O conhecimento da vulnerabilidade pela NSA não é visto como surpresa. Segundo o Bloomberg, a agência mantém investimentos pesados na busca por falhas em softwares e, como o OpenSSL é bastante popular, teria se tornado um dos alvos preferidos de seus “caçadores de bugs”.

Obama está de olho

Sim, isso significa que a NSA pode estar se aproveitando de vulnerabilidades ainda desconhecidas publicamente em outros sistemas. Este prática é tida como tão importante que, se fosse proibida pelo governo dos Estados Unidos, poderia diminuir sensivelmente a capacidade do país de detectar ameaças terroristas ou atividades de líderes estrangeiros hostis, na visão de chefes de inteligência norte-americanos.

Esta talvez seja uma maneira sútil que estas autoridades encontraram para dizer que, apesar da gravidade da questão, os Estados Unidos não estão dispostos a incluir a exploração de software na lista de “poderes” que poderão ser revistos pelo governo como forma de amenizar os efeitos causados pelas denúncias de espionagem.

Procurada pelo Bloomberg, a NSA não quis se pronunciar sobre o assunto, mas comentou via Twitter que só soube do Heartbleed quando o assunto começou a ser divulgado.

Relacionados

Escrito por

Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.