Книги: "Создание сайтов" - "Доменные войны". Защита информации: техническое описание TLS, тестовый сервер TLS 1.3. Ресурсы: LaTeX
Реплика: каталоги уязвимостей и АНБ
В одной из записок про OpenSSL упоминается каталог уязвимостей, вероятно, используемый NSA (АНБ). Поясню, о чём идет речь: АНБ – всегда было агентством с большими аналитическими способностями; если посмотреть на известную часть истории, то АНБ активно конкурировало с ЦРУ именно на поле аналитических служб и методов обработки информации, с целью извлечения полезных сведений. Соответственно, было бы удивительно узнать, что специальная группа внутри АНБ не следит пристально за всеми обновлениями и изменениями одной из самых распространённых в мире криптобиблиотек – OpenSSL.
Уже для того, чтобы готовить отчёты и комментарии по результатам работы группы, требуется как-то анализировать исходный код, а не просто считать строки и операторы goto. Естественно, полагать, что специалисты АНБ находят все уязвимости – было бы преувеличением. Но достаточно прозрачные вещи, вроде Heartbleed, они должны иногда замечать.
Что касается оперативности: если процесс анализа выстроен синхронно текущему изменению состояния исходников OpenSSL, то и многие уязвимости могут обнаруживаться достаточно быстро, раньше, чем их увидят другие аналитики. Естественно, всё это предположения, и не факт, что качество анализа АНБ сильно превосходит аналогичный показатель разработчиков сообщества OpenSSL, которые (возможно) читают новый код. Но даже при равных показателях, АНБ может иногда повезти: они заметят дефект, который пропустили “конкуренты”.
Адрес записки: https://dxdt.ru/2014/04/14/6742/
Похожие записки:
- Про цепочки, RSA и ECDSA
- Системы счисления и системное администрирование
- Десятилетие DNSSEC в российских доменах
- Трафик на тестовом сервере TLS 1.3 и ESNI
- DNS как транспорт для сигналов и данных
- Ретроспектива заметок: деанонимизация по географии
- Сервис для просмотра логов Certificate Transparency
- "Блокирующие" источники случайности в операционных системах
- Техническое: связь SCT-меток с логами Certificate Transparency
- Возможное обновление алгоритмов DNSSEC в корне DNS
- Открытые "исходники" и "бинарный" код с точки зрения ИБ