NSA teria aproveitado brecha Heartbleed para espionar, diz site
Segundo fontes, agência tomou conhecimento da brecha logo no início, e não teria avisado os desenvolvedores em dois anos;
Da Redação
Publicado em 11 de abril de 2014 às 15h53.
A falha Heartbleed, que deixou empresas e internautas em alerta durante toda essa semana, não era assim tão desconhecida. Ou pelo é menos é isso que sugerem duas fontes anônimas, mas ligadas ao assunto, ouvidas pela reportagem da Bloomberg: de acordo com ambas, a agência de segurança norte-americana (NSA) já sabia da brecha há tempos e teria inclusive se aproveitado dela para coletar dados e espionar .
O problema está sendo considerado um dos maiores enfrentados por desenvolvedores e pela web no geral nos últimos anos. Pela brecha, qualquer invasor poderia fazer uma pescaria de dados, solicitando e recebendo informações aleatórias armazenadas por servidores, incluindo aí senhas, números de cartões e chaves de criptografia que protegeriam as comunicações.
[Heartbleed: Veja em quais serviços você deveria trocar sua senha agora]
De acordo com os responsáveis pela biblioteca do OpenSSL, a vulnerabilidade ficou aberta por pelo menos dois anos sem que ninguém, em teoria, tivesse tomado conhecimento dela. Portanto, o fato de a NSA não ter falado nada sobre a brecha por tanto tempo não deixa de surpreender e pode muito bem reacender o debate ao redor das táticas utilizadas pela agência para conseguir o que quer, como bem mencionou a Bloomberg.
Uma porta-voz do órgão não quis comentar sobre o assunto ao site. No entanto, a própria entidade foi ao Twitter para negar que sabia do problema, e o govenro norte-americano ainda emitiu um comunicado explicando a situação. "A menos que haja alguma necessidade relacionada à segurança nacional, é nossa responsabilidade divulgar tais vulnerabilidades", informa o texto.
No entanto, a falha na biblioteca de criptografia pode não ter sido nem a primeira a ser explorada pela agência, como apontaram especialistas à página. A busca por brechas em software seria uma das principais missões dos espiões norte-americanos, e os programas de código-aberto eram alvos primários. Recomendações presidenciais para que a NSA começasse a avisar sobre as vulnerabilidades (em vez de se aproveitar delas) comprovam essas manobras.
Atualmente, segundo aponta uma fonte à reportagem, a agência de segurança ainda teria um arsenal com milhares de vulnerabilidades do tipo. Todas poderiam ser usadas de forma parecida com a Heartbleed, quebrando a segurança de computadores e servidores ao redor do mundo. Parece surreal, mas dado o tamanho da equipe da agência, não deve ser tão difícil assim encontrar brechas em especial em programas mantidos por equipes pequenas, mesmo que suportadas pela comunidade open source, como no caso do OpenSSL Project.