Реплика: каталоги уязвимостей и АНБ
В одной из записок про OpenSSL упоминается каталог уязвимостей, вероятно, используемый NSA (АНБ). Поясню, о чём идет речь: АНБ – всегда было агентством с большими аналитическими способностями; если посмотреть на известную часть истории, то АНБ активно конкурировало с ЦРУ именно на поле аналитических служб и методов обработки информации, с целью извлечения полезных сведений. Соответственно, было бы удивительно узнать, что специальная группа внутри АНБ не следит пристально за всеми обновлениями и изменениями одной из самых распространённых в мире криптобиблиотек – OpenSSL.
Уже для того, чтобы готовить отчёты и комментарии по результатам работы группы, требуется как-то анализировать исходный код, а не просто считать строки и операторы goto. Естественно, полагать, что специалисты АНБ находят все уязвимости – было бы преувеличением. Но достаточно прозрачные вещи, вроде Heartbleed, они должны иногда замечать.
Что касается оперативности: если процесс анализа выстроен синхронно текущему изменению состояния исходников OpenSSL, то и многие уязвимости могут обнаруживаться достаточно быстро, раньше, чем их увидят другие аналитики. Естественно, всё это предположения, и не факт, что качество анализа АНБ сильно превосходит аналогичный показатель разработчиков сообщества OpenSSL, которые (возможно) читают новый код. Но даже при равных показателях, АНБ может иногда повезти: они заметят дефект, который пропустили “конкуренты”.
Адрес записки: https://dxdt.ru/2014/04/14/6742/
Похожие записки:
- Криптографическая библиотека для Arduino: дополнение для новых IDE
- Метаинформация, мессенджеры и цепочки событий в трафике
- "Блокирующие" источники случайности в операционных системах
- Реплика: возможный доступ приложений "Яндекса" к OBD автомобиля
- Работа GPS и коррекция по данным многих устройств
- Говорилки в google-поиске
- Реплика: преодоление air gap
- Десятилетие DNSSEC в российских доменах
- Шифр "Кузнечик" на языке Go: ассемблер и оптимизация
- TLS, зашифрованные протоколы и DPI
- Экспериментальный сервер TLS 1.3: обновление