La NSA sapeva di Heartbleed?

Secondo alcune fonti anonime citate in un articolo di Bloomberg pubblicato venerdì 11 aprile, la National Security Agency (NSA) – l’agenzia governativa statunitense che si occupa della sicurezza nazionale – era al corrente da almeno due anni dell’esistenza di Heartbleed, la grave falla scoperta all’interno di OpenSSL, il sistema usato su circa due terzi dei server di internet per criptare le comunicazioni protette. L’articolo di Bloomberg sostiene che la NSA avrebbe sfruttato questo stesso bug per ottenere informazioni private aggirando i sistemi di sicurezza, ed è per questo motivo che non avrebbe reso pubblica l’esistenza della falla. In tarda serata, circa due ore dopo la pubblicazione dell’articolo di Bloomberg, la NSA ha smentito la notizia.

Statement: NSA was not aware of the recently identified Heartbleed vulnerability until it was made public.

— NSA/CSS (@NSA_PAO) April 11, 2014

«La NSA non era al corrente della vulnerabilità recentemente scoperta all’interno del sistema OpenSSL, la cosiddetta falla Heartbleed, finché non ne è stata resa pubblica l’esistenza», ha detto Caitlin Hayden, una portavoce della NSA, sostenendo che nessun organo governativo era a conoscenza di Heartbleed, e che difficilmente un rischio tanto serio per la sicurezza nazionale sarebbe stato tenuto nascosto da un’agenzia che si occupa proprio della sicurezza nazionale. Nonostante la smentita, la notizia diffusa da Bloomberg ha provocato diverse polemiche: Matthew Prince, CEO della società web Cloudflare, ha scritto sul suo account Twitter che «da azienda tecnologica, è difficile oggi non sentire come se fossimo in guerra contro il nostro stesso governo».

Ci sono stati anche diversi osservatori e analisti che – confermando un certo sospetto che circola da tempo nei riguardi della NSA – non hanno accolto con particolare sorpresa le rivelazioni di Bloomberg. «Non mi sorprenderebbe sapere che la NSA aveva scoperto questa falla da molto tempo prima di noi», ha detto a Wired Matt Blaze, docente di sistemi crittografici e sicurezza informatica all’Università della Pennsylvania: «Heartbleed è certamente qualcosa che alla NSA sarebbe tornato utile per il suo arsenale».

Al momento non c’è alcuna prova che la vulnerabilità sia stata sfruttata per ottenere dati personali, specifica un articolo del New York Times, ma i sospetti riguardo la NSA sono stati alimentati dal fatto che spesso era la stessa agenzia federale a occuparsi della ricerca di questo genere di falle di sicurezza, e a renderle pubbliche. Questa volta, prima del comunicato di risposta all’articolo di Bloomberg, la NSA non aveva fatto dichiarazioni specifiche riguardo Heartbleed, di cui si è cominciato a parlare lunedì 7.

Secondo diversi analisti ed esperti di sicurezza, il problema causato da Heartbleed non riguarda soltanto i server dei siti ma anche alcuni prodotti che utilizzano il sistema OpenSSL. Cisco System, uno dei più grandi produttori al mondo di sistemi di reti, ha detto in un comunicato che la maggior parte dei suoi servizi online non sono stati interessati da Heartbleed. Anche Apple ha detto di non avere riscontrato problemi legati a Heartbleed nei suoi sistemi operativi OS X per i Mac e iOS per iPhone e iPad, così come Google, i cui sistemi operativi sono immuni al problema, ad eccezione della versione 4.1.1 di Android (per cui sarà fornito un aggiornamento di sicurezza nelle prossime ore).