美政府两年前就已利用“心脏流血”漏洞收集用户数据

 　　　　

 

　　猎云网4月14日报道 (编辑：马赈翊)

　　就在“心脏流血”漏洞还让互联网公司和普通用户人心慌慌之际，彭博社又向人们扔出了一记重磅炸弹。据悉，美国国家安全局早在2012年，也就是首次发现“心脏流血”时，就已经掌握了这一漏洞信息。遗憾的是，奥巴马政府并没有及时将这一消息公布。更让人难以接受的是，政府还将这个漏洞作为自己收集、监视用户网络数据的有利武器之一。

　　SSL标准包含heartbeat选项，让SSL连接一端的计算机发出短信息(heartbeat)来确认另一台计算机仍处于联网状态并获得回复。研究人员发现，存在发送伪装的恶意heartbeat信息诱使SSL连接另一端的计算机泄露秘密信息的的可能性。也就是说计算机会被诱使传输服务器内存中的内容，这些内容包含大量隐私信息，包括登录名甚至是密码等等。因此本次OpenSSL 漏洞被形象地描述为“心脏出血”(heart bleed)。

　　在上述消息震惊世界后，美国国家安全局在Twitter上立马语气坚定地(以往常常是用词暧昧)做出回应：“安全局在业界披露心’脏流血’之前，并不了解这一漏洞。”

　　

 

　　对于政府的回应，分析人士普遍持怀疑态度。

　　首先，NSA每年在数据收集和监听上的花费多达16亿美元，是OpenSSL开源项目的几千倍之多。作为一个互联网文件传输广泛使用的协议标准，存在如此严重的漏洞，政府专业组织不可能如此后知后觉。

　　其次，《纽约时报》在上述消息报道不久后爆料称，奥巴马政府在今年1月通过了一条法案：国家安全局应该将其发现的网络漏洞等安全隐患公开告诉民众。但出于某些显而易见的需要抑或是保护国家安全的需要，政府可以对一些漏洞保持沉默，并加以合理使用。