Реплика: каталоги уязвимостей и АНБ
В одной из записок про OpenSSL упоминается каталог уязвимостей, вероятно, используемый NSA (АНБ). Поясню, о чём идет речь: АНБ – всегда было агентством с большими аналитическими способностями; если посмотреть на известную часть истории, то АНБ активно конкурировало с ЦРУ именно на поле аналитических служб и методов обработки информации, с целью извлечения полезных сведений. Соответственно, было бы удивительно узнать, что специальная группа внутри АНБ не следит пристально за всеми обновлениями и изменениями одной из самых распространённых в мире криптобиблиотек – OpenSSL.
Уже для того, чтобы готовить отчёты и комментарии по результатам работы группы, требуется как-то анализировать исходный код, а не просто считать строки и операторы goto. Естественно, полагать, что специалисты АНБ находят все уязвимости – было бы преувеличением. Но достаточно прозрачные вещи, вроде Heartbleed, они должны иногда замечать.
Что касается оперативности: если процесс анализа выстроен синхронно текущему изменению состояния исходников OpenSSL, то и многие уязвимости могут обнаруживаться достаточно быстро, раньше, чем их увидят другие аналитики. Естественно, всё это предположения, и не факт, что качество анализа АНБ сильно превосходит аналогичный показатель разработчиков сообщества OpenSSL, которые (возможно) читают новый код. Но даже при равных показателях, АНБ может иногда повезти: они заметят дефект, который пропустили “конкуренты”.
Адрес записки: https://dxdt.ru/2014/04/14/6742/
Похожие записки:
- Недокументированные возможности автомобильного ПО
- Мониторинг: фитнес-браслет и смартфон
- Stack Overflow и OpenAI
- Encrypted Client Hello и браузеры Google
- Письмо про приостановку разработки ИИ
- Доверенные программы для обмена сообщениями
- ИИ с превышением
- Бывшая "Яндекс.Почта"
- Реплика: программные "демультиплексоры" протоколов уровня приложений
- Быстрая факторизация и постквантовые алгоритмы
- Сообщения и приложения-мессенджеры