Vanwege een programmeerfout in de software waarop een groot deel van alle internetbeveiliging draait, konden onbevoegden twee jaar lang in het geniep allerlei gevoelige data uitlezen. In hoeverre er daadwerkelijk misbruik is gemaakt van de bug is vooralsnog onduidelijk, al zijn een aantal tot nu toe onverklaarde datalekken ineens een stuk begrijpelijker geworden.
Meteen na de bekendmaking van de bug (die Heartbleed is gedoopt) vroegen veel mensen zich logischerwijs af of ook de NSA er weet van had, en of zij de bug wellicht ten eigen bate hadden benut.
Het zou namelijk niet de eerste keer zijn dat de NSA een onbekende bug uitbaat. Al langer weten we dat de NSA, net als onze eigen AIVD waarschijnlijk doet, geregeld zogeheten zero day exploits koopt: bugs en lekken die nog niet bekend zijn bij de mensen die internet beveiligen, en waarvoor dus nog geen patches zijn. Vervolgens misbruiken ze die bugs om zelf her en der informatie op te halen.
Het wrange is dat de geheime diensten met ons belastinggeld informatie over lekken en gaten kopen, en daarmee investeren in dat lek. Ze hebben er vanaf dat moment immers geen enkel belang meer bij dat zo’n lek – dat ook u en mij kan treffen en ernstig kan benadelen – ooit nog wordt gerepareerd. Met publieke gelden financieren wij zodoende, o ironie, onze eigen kwetsbaarheid.
De vraag of de NSA wist van Heartbleed, is derhalve een vraag met een ingebouwde patstelling.
Immers, wanneer de NSA Heartbleed inderdaad heeft uitgebaat, zal zij dat nooit toegeven. Geheime diensten geven de buitenwereld zelden inzage in hun werkwijze, laat staan in de meer schimmige aspecten ervan. Die wetenschap maakt elke ontkenning hunnerzijds inherent discutabel, en dus: niet afdoende.
Mochten ze wel weet hebben gehad van Heartbleed, maar te netjes zijn geweest om zelf er misbruik van te maken, dan valt de organisatie te verwijten dat ze de rest van de wereld niet hebben gewaarschuwd. In dat geval is sprake van grove nalatigheid: honderdduizenden instanties en miljoenen webservers zijn dan doelbewust kwetsbaar gehouden.
En tenslotte: als de NSA oprecht niet van het bestaan van de bug afwist, is dat minstens even erg. Aannemelijk is dat anderen wél wisten hoe je met die bug ongemerkt informatie kon opdiepen; en dat betekent weer dat de NSA en aanverwanten zelf mogelijk slachtoffer van Heartbleed zijn geworden. Alweer: iets dat ze moeilijk kunnen toegeven.
Kortom, het is een rotzooitje.
Wat me het meest frappeerde in de discussie over Heartbleed, was de vanzelfsprekendheid waarmee de NSA verdacht werd van misbruik. Wanneer overheden zowat iedereen blijken af te luisteren, verliezen burgers kennelijk het vertrouwen in hun eigen overheid.
De heartbleed uitleg voor amateurs staat op http://xkcd.com/1354/