Ресурсы: техническое описание TLS, LaTeX - в картинки (img), криптографическая библиотека Arduino, шифр "Кузнечик" на ассемблере AMD64/AVX и ARM64
Справочники уязвимостей ПО для спецслужб США
В Wired публикуют статью о том, что спецслужбы США (АНБ, в основном) не собирают больших справочных баз данных по уязвимостям в ПО, неизвестным широкой общественности. Речь идёт о практике публикации (или, наоборот, сокрытия) информации об уязвимостях, которые находят аналитики АНБ (и других профильных агентств). Если уязвимость сохраняется в секрете, то её можно длительное время использовать для атак на информационные системы. Однако от этой же уязвимости, как пишут, могут пострадать информационные системы США – то есть, лучше бы её опубликовать, чтобы разработчики заткнули дыру. Такая дилемма.
Вообще, можно, конечно, предположить, что таких государственных баз данных нет, но не ясно, как, в таком случае, работают аналитические подразделения АНБ. Ведь если каждый раз, когда уязвимость обнаружена, о ней бы сообщали разработчикам ПО, это повлекло бы за собой утечку информации о том, с чем работает данная служба. Особенно интересной представляется ситуация, когда уязвимость обнаружена в иностранном ПО (или в каком-нибудь иностранном оборудовании). Хотя, конечно, в Штатах такое положение дел встречается не так уж часто.
Для того, чтобы сведения о найденной уязвимости донести до разработчиков, пришлось бы готовить небольшую операцию прикрытия. А какой в ней смысл? Безопасность государственных программных систем, в которых тоже есть известные АНБ незакрытые уязвимости, можно обеспечить другими способами. А главное – вовсе не факт, что обоюдная угроза от незакрытых уязвимостей вообще как-то беспокоит те подразделения АНБ, которые занимаются проникновением в информационные системы: перед ними стоят другие задачи и самостоятельно лишать себя инструментов они вряд ли станут. Собственно, об этом и говорится в статье по ссылке, но только под соусом из всяких уточнений и оговорок.
Адрес записки: https://dxdt.ru/2014/11/17/7019/
Похожие записки:
- "Авторизованный трафик" и будущее Интернета
- Авария такси-робота в Калифорнии и новые риски
- Индивидуальные сертификаты для каждой TLS-сессии
- Постквантовые криптосистемы в Google Chrome (Kyber768)
- Технические подробности: постквантовая криптосистема X25519Kyber768 в TLS
- Описание TLS в поисковых машинах
- Обновление описания TLS
- Уводящие помехи GPS/GNSS
- Техническое: экзотические настройки в SPF
- Следы звуков в кодах для LLM
- Устройства Apple и Starlink
1 комментарий от читателей
1 <t> // 18th November 2014, 19:31 // Читатель jno написал:
Простейшая “операция прикрытия” – слив в одну из жирных американских ИТ-компаний, имеющих интерес в нужном ПО (для открытого, для проприетарного – прямо вендору и настучать под NDA, который, поди, и так уже есть).