Por esta altura já todos estão conscientes do problema de segurança que está a afectar a Internet. O bug Heartbleed é uma das maiores falhas de segurança até agora descobertas e durante alguns esteve disponível para qualquer um explorar.
Tudo indica que a falha manteve-se discreta e sem ser usada, tendo apenas sido apresentada esta semana, pela equipa do OpenSSL, altura em que todos tomaram consciência da existência e da sua magnitude.
Mas segundo a Bloomberg esta pode não ser a verdade para a NSA, que supostamente já sabia desta falha de segurança há pelo menos dois anos.
O que a Bloomberg noticiou no final desta semana dá a entender que a NSA sabia da existência do Heartbleed há já alguns anos e que optou por manter em segredo este problema, para que pudesse explorá-lo sempre que tivesse necessidade.
O Heartbleed é um bug que permite que qualquer atacante mal intencionado consiga capturar informações sobre os utilizadores dos serviços ou até sobre os próprios serviços.
Se inicialmente se pensava que estaria apenas associado a sites web, veio a perceber-se que está mais disseminado e atinge também equipamentos de rede.
A revelação de que a NSA teve conhecimento deste problema muito antes dele ser revelado vem mostrar mais uma vez a postura desta agência.
Segundo a Bloomberg, e apesar de saber do problema, a NSA optou por não o revelar ao mundo e assim permitir que os serviços se protegessem, ficando com esta informação para seu proveito.
É no entanto pouco claro se a NSA fez ou não uso do Heartbleed para seu proveito e para conseguir informações sobre quem procuravam monitorizar.
Statement: NSA was not aware of the recently identified Heartbleed vulnerability until it was made public.
— NSA/CSS (@NSA_PAO) April 11, 2014
Mas pouco tempo depois da publicação da notícia por parte da Bloomberg, uma conta do Twitter que se julga estar associada à NSA, apensar de não estar verificada, veio desmentir essa informação.
Esse desmentido acabou por depois ser passado para papel, de forma mais extensa, indicando mais uma vez que a NSA não teria qualquer conhecimento desta vulnerabilidade e que se tivesse sabido antes as teria comunicado para ser tratada.
Este caso não está relacionado com os recentes escândalos que foram revelados por Edward Snowden sobre a NSA e, mesmo que não seja verdadeira esta situação, seria algo que se entende ser perfeitamente executável por esta agência secreta.
O Heartbleed têm-se revelado uma verdadeira dor de cabeça para todos os que gerem serviços assentes na Internet e teria sido evitada se tivesse sido sabida mais cedo.