Comments 29
… и пустить их по миру
Вот эти бы отделы да на улучшение безопасности Open Source.
Кстати, интересный вопрос. Так ли хорошо это было бы? (т.к. это служба США, то оцениваем с точки зрения блага для США).
Человечество давно уже вышло за пределы труда ради выживания. Но сейчас все равно приходится трудиться чтобы обогнать конкурентов (или хотя бы не сильно отстать от них). Угрозы ИБ — примерно одинаково бьют по всем участникам рынка. Сократив их (угрозы), мы вроде как помогаем каждому, но одновременно и давим на каждого, т.к. конкурентам тоже помогли.
С другой стороны, когда «секретные отмычки» есть только у АНБ, это позволяет чего-то там достигать на благо своей страны в деле подглядывания-подслуживания-вынюхивания.
Человечество давно уже вышло за пределы труда ради выживания. Но сейчас все равно приходится трудиться чтобы обогнать конкурентов (или хотя бы не сильно отстать от них). Угрозы ИБ — примерно одинаково бьют по всем участникам рынка. Сократив их (угрозы), мы вроде как помогаем каждому, но одновременно и давим на каждого, т.к. конкурентам тоже помогли.
С другой стороны, когда «секретные отмычки» есть только у АНБ, это позволяет чего-то там достигать на благо своей страны в деле подглядывания-подслуживания-вынюхивания.
«Таким образом, как только АНБ официально признается, что скрывает 0day-уязвимости для собственных нужд, сразу может последовать новый иск от тех, кто реально пострадал из-за этих незакрытых уязвимостей по вине АНБ.»
Не до конца понятно что имеется в виду, АНБ же не платит деньги(или платит?), чтобы эти уязвимости добавляли в софт, она платит за информацию о них(и не разработчикам).
Как АНБ может быть виновата в том, что в чужом софте есть уязвимости? Виновата что купила информацию о уязвимости у того, кто ее нашел и не отправила эту информацию разработчикам?
Не до конца понятно что имеется в виду, АНБ же не платит деньги(или платит?), чтобы эти уязвимости добавляли в софт, она платит за информацию о них(и не разработчикам).
Как АНБ может быть виновата в том, что в чужом софте есть уязвимости? Виновата что купила информацию о уязвимости у того, кто ее нашел и не отправила эту информацию разработчикам?
Наверное я романтик, но да, я думаю что государственная организация не должна тратить мои деньги на покупку уязвимостей, которые могут мне принести вред и скрывать эту информацию. Теоритетически я (гражданин страны) заплатил за информацию об уязвимости, значит я должен эту информацию получить.
Многие гос-ва тратят бюджетные деньги на содержание лаб. по поиску 0дей уязвимостей так и по покупке их у других брокеров. Цель их использования — как разведка так и прочие операции.
Это никак не противоречит моим ожиданием. В моем первом предложении базой является «и скрывать эту информацию». Лаборатории по поиску уязвимостей, отлично. Нашли, сделали всему человечеству доброе дело, опубликовав ее. С покупкой сложнее, поддерживая спрос они тем самым поддерживают предложение. Но с другой стороны уязвимость может быть серьезной, на которую и денег не жалко. Так что тут решается для каждого частного случая. В любом случае, купили, опубликовали. Ведь изучать ее можно и после как она станет публичной? Скрывать зачем? Я думаю только чтобы пользоваться ее в своих нуждах. Я против этого. Всем все равно на мое мнение, но я и свободно могу о ней говорить :)
Я так понимаю, что тут конфликт интересов. АНБ — обеспечивает «национальную безопасность», посредством использования уязвимостей. Если о уязвимости знает АНБ, вполне возможно о ней могут узнать и те, против кого работает АНБ. В итоге вред перевешивает пользу.
Думаю логика примерно такая.
Думаю логика примерно такая.
Страшно представить что будет, если их заставят разгласить информацию обо всех уязвимостях, о которых им известно, а мировой общественности нет.
Это же наверное целая куча, аля «Heartbleed» и прочего) Ух, понесется волна хеккеров перехекивать)
Это же наверное целая куча, аля «Heartbleed» и прочего) Ух, понесется волна хеккеров перехекивать)
Волна пулл-реквестов от github.com/nsa
Разгласить — это не обязательно сразу в паблик. Вполне можно сначала уведомить авторов софта, дождаться патчей, и только потом донести до широкой общественности.
Это еще опаснее. Если сразу раззвонить на весь свет — тех, кто не обновится будет уже не жалко. А если не сразу, как вы предлагаете — авторы могут забить, возможны утечки от авторов к злоумышленникам.
Все это легко обходится:
1) уведомляем автора об уязвимости, предупреждаем, что через неделю описание уявимости будет в паблике
2) в паблик выкидываем общую информацию об уязвимости — заафекченные версии, скомпрометированные модули (т.е. пользователи могут обновиться/рерольнуться на нужную им версию или прекратить использование до выпуска патча)
3) через неделю, как и обещали, выкладываем уязвимость в паблик
1) уведомляем автора об уязвимости, предупреждаем, что через неделю описание уявимости будет в паблике
2) в паблик выкидываем общую информацию об уязвимости — заафекченные версии, скомпрометированные модули (т.е. пользователи могут обновиться/рерольнуться на нужную им версию или прекратить использование до выпуска патча)
3) через неделю, как и обещали, выкладываем уязвимость в паблик
Тут еще возникает вопрос, как различить 0day-уязвимость и специально и бережно добавленый бэкдор. :)
Полицейский, применяющий воровские приемы, ничем не отличается от последнего
Полицейский, стреляющий в человека ничем не отличается от убийцы, так как использует такой же пистолет… o_O
Ну да, их и учат стрелять, а не убивать. Не знаю, конечно, как в России…
Не потому ли в нормальных странах открывается уголовное дело по обвинению в убийстве даже если убийство совершено полицейским во время выполнения служебных обязанностей?
это шутка?
Хм, я разве ошибаюсь?
В Америке в некоторых штатах существует закон, по которому полицейские могут убить на месте «опасного» человека.
для этого существуют рапорты, где и пишут — что, где, когда, в кого и почему.
В последнем Crypto-Gram от Брюса Шнайера было эссе на тему, почему плохо скрывать 0-day. Интересно, что теперь кроме рассуждений специалистов есть еще действия общественных организаций.
По крайней мере, известно, что в АНБ работают специальные отделы по поиску багов в Open Source проектах.
«По поиску багов или по внесению» — интересуется мой внутренний параноик :-)
А вообще, давно пора, конечно.
Sign up to leave a comment.
EFF подал в суд на АНБ за неразглашение 0day-уязвимостей