Bloomberg утверждает, что два источника сообщило изданию о том, что Агентство национальной безопасности США (NSA) два года знало об уязвимости Heartbleed и использовало её в своей работе.
NSA же заявляет, что NSA или любой другой госорган узнал о Heartbleed не раньше 2014-го года.
Кому верить?
Комментарий Roem.ru: в любой непонятной ситуации верь Bloomberg. У товарищей жесточайший отсев по новостям, если нет подтверждений из двух разных источников - новость в эфир не пойдёт, какое бы доверие не вызывал единственный источник.
NSA тоже можно верить: вполне возможно, что информация об уязвимости была известна частной, а не государственной компании, которая аутсорсила для NSA ряд задач.
Самые неприятные вопросы, которые здесь возникают, это то, как NSA настолько быстро смогла найти данную уязвимость, если она только два года назад и появилась.
Добавить 8 комментариев
Обама подоспел: http://www.nytimes.com/2014/04/13/us/politics/obama-lets-nsa-exploit-some-internet-flaws-officials-say.html Призывает раскрывать уязвимости, как только они становятся известны NSA. Истинно говорю — наступает время частно-корпоративного партнёрства.
Самые неприятные вопросы, которые здесь возникают, это то, как NSA настолько быстро смогла найти данную уязвимость, если она только два года назад и появилась. Насколько «настолько»? Вот гугловая Security team нашла ее в рамках аудита всей безопасности (после сноуден-гейта). То есть за полгода где-то. Логично было бы предположить, что NSA *внимательно* читает все коммиты в OpenSSL, на более регулярной основе, чем это (делали) в гугле. Вот они раньше и нашли. Ну или сами психотропными лучами зазомбировали контрибьютора, эту возможность надо тоже всегда учитывать.
https://www.eff.org/deeplinks/2014/04/wild-heart-were-intelligence-agencies-using-heartbleed-november-2013 > как NSA настолько быстро смогла найти данную уязвимость, если она только два года назад и появилась Кто им мешает проводить собственный аудит кода?
Вопрос скорее звучит так: кто им мешает работать над появлением уязвимостей. История про генератор псевдослучайных числе, RSA и взятку, например. История про IPSec в OpenBSD. Ну и т.д.
Именно. Мне кажется, что намного проще иметь возможности по внедрению уязвимостей, чем искать иголку в стоге сена. Конечно, быть эдаким Джеймсом Бондом от айти, вооружённым самыми новыми найденными багами, намного красивее, но не уверен, что в этих ведомствах разделяют мнение, о необходимости красивых действий. Кондовые методы — самые надёжные. Это же альфа, омега и классика с давних времён: спровоцировать жертву для оперативной разработки на промискуитет, записать на видео и шантажировать оглаской, намного проще, чем ждать, пока она сама соизволит дать возможность себя скомпрометировать.
Независимо от того, как оно на самом деле, разумно жить и действовать из предположения, что таки да, NSA само сажает эти баги. В случае с OpenSSL, впрочем, может быть и BND.
Одно дело — подкинуть как бы невзначай пару чисел, в которых спрятана неочевидная закладка. Еще поди пойми. Другое дело — посадить buffer overrun. Мне почему-то кажется что большинство сайтов в этих ваших интернетах, имеющих какую-то ценность как для хакерья, так и для разведки — находятся либо в штатах, и/либо принадлежат американским компаниям. То есть attack surface против америки гораздо больше чем потенциальная площадь атаки америки против остального мира. Ну или хотя бы сравнимо. Таким образом, АНБ, скрывая баг, подорвало безопасность штатов в гораздо большей степени. Трудно же предположить, в самом деле, что в Китае не смогли нанять (пять миллионов) читателей коммитов в security related приложения и библиотеки?
А вот это хорошее соображение, мне нравится. Оставлять тылы — действительно не стоило.