ΟΥΑΣΙΓΚΤΟΝ. Την ύπαρξη σοβαρού σφάλματος ασφαλείας, που καθιστά ευάλωτους περισσότερους από 900 εκατομμύρια υπολογιστές με το λειτουργικό σύστημα Windows 10, αποκάλυψε η αμερικανική υπηρεσία NSA, προβαίνοντας σε σπάνια δημόσια προτροπή της προς την εταιρεία για επιδιόρθωσή του.
Το σφάλμα στον κώδικα του λειτουργικού συστήματος Windows 10 αφορά τον μηχανισμό επιβεβαίωσης της γνησιότητας του λογισμικού και τη δημιουργία ασφαλούς σύνδεσης με το Διαδίκτυο. Αν η διαδικασία επαλήθευσης γνησιότητας δεν γίνει από αξιόπιστο μέσο, χάκερ έχουν τη δυνατότητα να μοιράσουν κακόβουλο λογισμικό ή να υποκλέψουν ευαίσθητα δεδομένα χρηστών, σύμφωνα με άρθρο του περιοδικού Wired.
«Συστήνουμε στους ιδιοκτήτες δικτύων να επισπεύσουν την εφαρμογή του λογισμικού διόρθωσης (patch). Ο εντοπισμός σοβαρής έλλειψης ασφαλείας, όπως αυτή, μας έκανε να επικοινωνήσουμε αμέσως με την εταιρεία. Η ημέρα θα είναι επίπονη για πολλούς διαχειριστές δικτύων των Windows σε όλο τον κόσμο», είπε η επικεφαλής της διεύθυνσης κυβερνοασφάλειας της NSA, Αν Νιούμπεργκερ.
Το σφάλμα εντοπίστηκε στο λογισμικό κρυπτογράφησης CryptoAPI της Microsoft, που ελέγχει τη γνησιότητα των συνδεδεμένων συσκευών με τον υπολογιστή του κάθε χρήστη. Ενας χάκερ θα μπορούσε να εκμεταλλευθεί το σφάλμα για να αποκτήσει τον έλεγχο των συσκευών των θυμάτων του. Κάθε σφάλμα στο λογισμικό κρυπτογράφησης του λειτουργικού συστήματος Windows 10 αποτελεί σοβαρή απειλή, καθώς το λογισμικό αυτό είναι το πλέον διαδεδομένο στον κόσμο. «Το κομμάτι αυτό του λειτουργικού συστήματος των Windows είναι εκείνο που επιβεβαιώνει την ασφαλή σύνδεση μεταξύ διαχειριστών, απλών χρηστών και άλλων υπολογιστών. Αν η τεχνολογία, που επιβεβαιώνει την ασφάλεια της σύνδεσης αυτής, είναι αναξιόπιστη, οι συνέπειες μπορεί να είναι καταστροφικές», λέει ο Κεν Ουάιτ, επικεφαλής ασφαλείας της MongoDB.
Η απόφαση της υπηρεσίας NSA να αποκαλύψει στην εταιρεία το σφάλμα φέρνει στη μνήμη το «εργαλείο» διείσδυσης της NSA με κωδική ονομασία Eternal Blue, που εκμεταλλευόταν δυσλειτουργία των Windows το 2017. Το σφάλμα εκείνο επέτρεπε στη NSA να πραγματοποιεί διαδικτυακή κατασκοπεία.
Μιλώντας σε δημοσιογράφους, η κ. Νιούμπεργκερ ανέφερε ότι η αποκάλυψη του σφάλματος και η κοινοποίησή του στο κοινό αποτελεί μέρος ευρείας πρωτοβουλίας της NSA για διαμοιρασμό τέτοιων πληροφοριών ασφαλείας με μεγαλύτερη ταχύτητα και συχνότητα. Ακόμη και πριν από το φιάσκο του εργαλείου διαδικτυακής παρακολούθησης Eternal Blue, η NSA αντιμετώπιζε έντονες επικρίσεις για τη συνήθειά της να «συλλέγει» κρυφά σφάλματα ασφαλείας, τα οποία εκμεταλλευόταν προς ίδιον όφελος, αντί να τα κοινοποιεί σε εταιρείες και χρήστες με στόχο την επιδιόρθωση του λογισμικού. Τον Οκτώβριο, η κ. Νιούμπεργκερ ανέλαβε τη νεοσύστατη διεύθυνση κυβερνοασφάλειας, σε μία προσπάθεια να ενισχύσει την ασφάλεια των δικτύων στις αμερικανικές υπηρεσίες ασφαλείας και να προωθήσει τη συνεργασία μεταξύ υπηρεσιών.