Exame Logo

NSA teria aproveitado brecha Heartbleed para espionar, diz site

Segundo fontes, agência tomou conhecimento da brecha logo no início, e não teria avisado os desenvolvedores em dois anos;

nsasede (Getty Images)
DR

Da Redação

Publicado em 11 de abril de 2014 às 15h53.

A falha Heartbleed, que deixou empresas e internautas em alerta durante toda essa semana, não era assim tão desconhecida. Ou pelo é menos é isso que sugerem duas fontes anônimas, mas ligadas ao assunto, ouvidas pela reportagem da Bloomberg: de acordo com ambas, a agência de segurança norte-americana (NSA) já sabia da brecha há tempos – e teria inclusive se aproveitado dela para coletar dados e espionar .

O problema está sendo considerado um dos maiores enfrentados por desenvolvedores e pela web no geral nos últimos anos. Pela brecha, qualquer invasor poderia fazer uma “pescaria” de dados, solicitando e recebendo informações aleatórias armazenadas por servidores, incluindo aí senhas, números de cartões e chaves de criptografia que protegeriam as comunicações.

Veja também

[Heartbleed: Veja em quais serviços você deveria trocar sua senha agora]

De acordo com os responsáveis pela biblioteca do OpenSSL, a vulnerabilidade ficou aberta por pelo menos dois anos sem que ninguém, em teoria, tivesse tomado conhecimento dela. Portanto, o fato de a NSA não ter falado nada sobre a brecha por tanto tempo não deixa de surpreender – e pode muito bem reacender o debate ao redor das táticas utilizadas pela agência para conseguir o que quer, como bem mencionou a Bloomberg.

Uma porta-voz do órgão não quis comentar sobre o assunto ao site. No entanto, a própria entidade foi ao Twitter para negar que sabia do problema, e o govenro norte-americano ainda emitiu um comunicado explicando a situação. "A menos que haja alguma necessidade relacionada à segurança nacional, é nossa responsabilidade divulgar tais vulnerabilidades", informa o texto.

No entanto, a falha na biblioteca de criptografia pode não ter sido nem a primeira a ser explorada pela agência, como apontaram especialistas à página. A busca por brechas em software seria uma das principais missões dos espiões norte-americanos, e os programas de código-aberto eram alvos primários. Recomendações presidenciais para que a NSA começasse a avisar sobre as vulnerabilidades (em vez de se aproveitar delas) comprovam essas manobras.

Atualmente, segundo aponta uma fonte à reportagem, a agência de segurança ainda teria um arsenal com milhares de vulnerabilidades do tipo. Todas poderiam ser usadas de forma parecida com a Heartbleed, quebrando a segurança de computadores e servidores ao redor do mundo. Parece surreal, mas dado o tamanho da equipe da agência, não deve ser tão difícil assim encontrar brechas – em especial em programas mantidos por equipes pequenas, mesmo que suportadas pela comunidade open source, como no caso do OpenSSL Project.

Acompanhe tudo sobre:EspionagemINFONSAseguranca-digital

Mais lidas

exame no whatsapp

Receba as noticias da Exame no seu WhatsApp

Inscreva-se

Mais de Tecnologia

Mais na Exame