NSA否認(rèn)已利用OpenSSL“心臟流血”漏洞多年
在OpenSSL的“心臟流血”漏洞被曝光后,有人立即推測美國政府早就發(fā)現(xiàn)了該漏洞,并利用漏洞搜集情報(bào)。
彭博社的報(bào)道稱,美國國家安全局(以下簡稱“NSA”)至少兩年前就發(fā)現(xiàn)了漏洞。彭博社指出,NSA放任該漏洞的存在與其保護(hù)美國公民的使命相悖。
NSA對(duì)此予以否認(rèn),并在Twitter上發(fā)表聲明稱:“NSA對(duì)于最近被發(fā)現(xiàn)的‘心臟流血’漏洞并不知情,直至漏洞被公之于眾。”
盡管彭博社的報(bào)道并未給出NSA知道漏洞存在的關(guān)鍵證據(jù),OpenSS也是NSA監(jiān)測的主要目標(biāo)之一,因?yàn)镺penSSL負(fù)責(zé)保護(hù)大量敏感信息。有報(bào)道稱,為了搜集情報(bào),情報(bào)機(jī)構(gòu)不惜購買軟件漏洞信息。
此前,德國軟件開發(fā)者否認(rèn)蓄意植入“心臟流血”漏洞,并稱他們和NSA并無聯(lián)系。
美國國家安全委員會(huì)(National Security Council)也發(fā)表聲明稱,有關(guān)NSA或其他政府機(jī)構(gòu)在2014年4月之前就已經(jīng)發(fā)現(xiàn)所謂的“心臟流血”漏洞的報(bào)道不實(shí),美國政府也需要借助OpenSSL保護(hù)政府網(wǎng)站和其他網(wǎng)絡(luò)服務(wù)用戶的隱私,并致力于維護(hù)互聯(lián)網(wǎng)的開放和安全。如果美國政府此前就發(fā)現(xiàn)了漏洞,早就向負(fù)責(zé)OpenSSL的社區(qū)報(bào)告了。