Nhà Trắng cho phép NSA khai thác lỗ hổng bảo mật Internet để thu thập tình báo
Khi phát hiện một lỗ hổng bảo mật trên Internet, thay vì thông báo công khai ra cộng đồng để mọi người biết và phòng ngừa, Nhà Trắng lại cho phép Cơ quan An ninh Quốc gia ( NSA) sử dụng và khai thác lỗ hổng bảo mật này cho các hoạt động tình báo.
Theo một báo cáo vừa được tiết lộ bởi tờ báo New York Times, dẫn lời các quan chức chính quyền cấp cao của chính phủ Mỹ cho biết Tổng thống Obama đã ra quyết định rằng khi NSA phát hiện ra một lỗ hổng bảo mật nghiêm trọng trên Internet, NSA cần phải tiết lộ thông tin về lỗ hổng bảo mật này ra công chúng để đảm bảo lỗi được khắc phuc. Tuy nhiên trong trường hợp “an ninh quốc gia bị xâm hại hoặc các cơ quan thực thi pháp luật cần”, NSA có thể tiếp tục khai thác lỗ hổng bảo mật phát hiện được cho các hoạt động tình báo và thu thập thông tin.
Nói cách khác, đây như là một cách “lách luật” để NSA có thể khai thác các lỗ hổng bảo mật trên Internet cho các hoạt động của mình.
NSA có thể lợi dụng các lỗ hổng bảo mật chưa được công khai để phục vụ cho mục đích gián điệp.
Video đang HOT
New York Times cho biết quyết định của Tổng thống Obama được đưa ra vào tháng 1 vừa qua, khi ông bắt đầu 3 tháng đánh giá về những lời khuyên của Ủy ban cố vấn Tổng thống về cải cách hoạt động tình báo và thu thập thông tin của NSA. Nhà Trắng chưa bao giờ đăng tải công khai quyết định này của Tổng thống Mỹ.
Thông tin của New York Times được đưa ra sau khi những nguồn tin giấu tên tiết lộ với hãng tin Bloomberg về việc NSA từ lâu đã biết đến lỗ hổng bảo mật Heartbleed, một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến các trang web lớn như Google hay Facebook… nhưng NSA đã giấu thông tin về Heartbleed và sử dụng lỗ hổng bảo mật này để thu thập thông tin tìn báo trong suốt 2 năm qua.
Phía Nhà Trắng và NSA sau đó đã phủ nhận thông tin của Bloomberg, đồng thời cho biết khi một lỗ hổng bảo mật nghiêm trọng được phát hiện trên Internet, chính phủ sẽ đánh giá có hay không lỗ hổng bảo mật này ảnh hưởng đến an ninh quốc gia hoặc các cơ quan thực thi pháp luật cần sử dụng đến; trước khi quyết định chia sẻ công khai thông tin về lỗ hổng bảo mật với cộng đồng để tìm giải pháp khắc phục vấn đề.
Caitlyn Hayden, phát ngôn viên của Hội đồng An ninh Quốc gia cho biết quá trình xác định đánh giá mức độ của các lỗ hổng bảo mật được tái khởi động từ hồi tháng 1 vừa qua. Quá trình này sẽ cân nhắc mức độ của các lỗ hổng bảo mật được phát hiện để xem xét giữ bí mật nhằm sử dụng cho mục đích tình báo, hay công khai cho mọi người cùng biết. Tuy nhiên theo Hayden khẳng định quá trình xem xét vẫn ưu tiên lựa chọn thông báo công khai các lỗ hổng bảo mật được phát hiện ra cộng đồng để tìm giải pháp khắc phục chung.
Theo Dân Trí
NSA đã khai thác lỗ hổng gây "sốt" thế giới từ nhiều năm trước?
NSA - Cơ quan An ninh Quốc gia Hoa Kì bị cáo buộc là đã âm thầm khai thác lỗ hổng Heartbleed (hay còn gọi là "Trái tim rỉ máu") trong suốt nhiều năm qua trước khi lỗ hổng trên được phát hiện.
NSA đã khai thác lỗ hổng Heartbleed trong nhiều năm?
Báo cáo từ Bloomberg cho hay, NSA đã lợi dụng lỗ hổng Heartbleed để thu thập những thông tin tình báo quan trọng. Báo cáo còn cho biết, nguồn tin trên là từ một người thân cận với NSA.
Trong khi cả thế giới đang "nóng" với lỗ hổng Heartbleed vì nó có thể gây ảnh hưởng tới khoảng 2/3 mạng lưới Internet hiện nay thì NSA đã tận dụng nó từng ngày để đánh cắp mật mã cùng nhiều thông tin nhạy cảm khác từ phía người dùng.
Tuy nhiên, NSA đã nhanh chóng phủ nhận thông tin này, rằng họ chưa hề biết tới lỗ hổng Heartbleed cho tới khi nó được công bố vào hồi đầu tuần. Song với lịch sử truy cập trái phép vào dữ liệu người dùng trong nhiều năm qua, không dễ để lời phủ nhận của NSA được các chuyên gia bảo mật tin tưởng.
Trước đó, NSA từng bị cáo buộc là đã chi hàng triệu USD cho công ty bảo mật RSA nhằm chèn một đoạn mã độc vào phần mềm của hãng này. Nhờ vậy, NSA có thể kiểm soát và thu thập nhiều thông tin người dùng trên khắp thế giới.
Heartbleed là lỗ hổng cho phép bất cứ ai trên Internet đọc bộ nhớ của thiết bị được bảo vệ bởi một phiên bản có lỗ hổng của thư viện OpenSSL.
Trong trường hợp xấu nhất, một phần nhỏ của bộ nhớ chứa đựng những thông tin nhạy cảm như tên người dùng, mật khẩu hoặc thậm chí là khóa riêng tư (private key) mà máy chủ dùng để duy trì kết nối được mã hóa có thể bị đánh cắp.
Ngoài ra, lỗ hổng Heartbleed không để lại dấu vết nên không có cách nào xác định máy chủ đã bị tấn công và loại dữ liệu đã bị đánh cắp.
Theo báo cáo từ Kaspersky Lab, họ đã phát hiện bằng chứng hôm thứ Hai rằng, một vài nhóm tin tặc được cho là có liên quan đến hoạt động gián điệp mạng do nhà nước tài trợ đã chạy các đợt quét (scan) ngay sau khi tin tức về sự cố này nổi lên vào thứ Hai. Vào thứ Ba, Kaspersky đã xác định được các đợt quét như vậy đến từ hàng chục actor, và số lượng tăng lên vào hôm thứ Tư sau khi Rapid7 phát hành một công cụ miễn phí để thực hiện quét.
Theo Khám Phá/CNET
Apple: iPhone, iPad, Mac và iCloud an toàn trước Heartbleed Apple xac nhân ngươi dung tât ca cac dich vu web va thiêt bi cua hang đươc an toan trươc lô hông bao mât Heartbleed, vi san phâm cua ho không hê sư dung phân mêm co lô hông. Apple xac nhân ngươi dung tât ca cac dich vu web va thiêt bi cua hang đươc an toan trươc lô hông bao mât...