Издание Bloomberg опубликовало (http://www.bloomberg.com/news/2014-04-11/nsa-said-to-have-us...) сведения о том, что Агентство национальной безопасности США располагало данными о Heartbleed-уязвимости в OpenSSL задолго до публичного обнародования информации о проблеме и регулярно применяло указанную уязвимость для сбора закрытых данных. Сообщается, что сведения получены от двух неназываемых инсайдеров, недовольных практикой засекречивания уязвимостей, выявленных сотрудниками АНБ, под предлогом интересов национальной безопасности.
Официальные представители АНБ опровергли (http://blogs.wsj.com/digits/2014/04/11/nsa-says-it-wasnt-pre.../) данную информацию и заявили, что АНБ не знало о существовании Heartbleed-уязвимости до получения апрельского отчёта. В заявлении также говориться, что АНБ не заинтересовано в сокрытии данных об уязвимостях в продуктах, которые непосредственно используются на сайтах госструктур США, и придерживается тактики раскрытия данных о выявляемых zero-day уязвимостях.
Тем временем, организация Apache Software Foundation анонсировала (https://blogs.apache.org/infra/entry/heartbleed_fallout_for_...) процесс смены паролей разработчиков, SSL-сертификатов и ключей шифрования, используемых в инфраструктуре Apache из-за наличия серверов, подверженных уязвимости в OpenSSL. Проект Fedora решил (http://fedoramagazine.org/fedora-infrastructure-information-.../) не менять SSL-ключи и пароли разработчиков, так как для входа используется двухфакторная авторизация и доступ через не подверженный уязвимости SSH. Кроме того, проблема на серверах Fedora была устранена достаточно оперативно и в процесса аудита не было выявлено какой-либо аномальной активности.URL: https://blogs.apache.org/infra/entry/heartbleed_fallout_for_...
Новость: http://www.opennet.me/opennews/art.shtml?num=39555
самое идиотское, что может сделать контора типа АНБ — это всё отрицать. если бы молчали — выглядели бы умными. а как начинают публично вещать — клоуны клоунами. понятно же, что знали.
Слухайте, у вас прям такое забавное мнение об АНБ, как-будто там не люди, а боги работают.
Такие же, ходячие куски аминоксилот, на госзарплате.
а дело не в этом. дело в том, что ежели считать: «знали!» и ошибиться — это будет приятная ошибка. а вот ежели считать «не знали!» и ошибиться — это уже намного менее радует.поскольку правды всё равно никогда не узнаем, я лучше буду пессимистом.
Я тоже считаю, что в области информационной безопасности презумпция невиновности не имеет места, в отличие от юриспруденции. Тут подозреваемый пусть доказывает свою невиновность.
Ну если на то пошло, вы в принципе тоже могли знать заранее о данной уязвимости. Так, чисто теоретически - ничему не противоречит.p.s. но пессимизм разделяю :).
> поскольку правды всё равно никогда не узнаем, я лучше буду пессимистом.у тебя причина и следствие перепутаны, хотя для тебя это не удивительно
поскольку ты пессимист, потому и считаешь, что правду не узнаем
с таким отношением даже если тебе и будет известна некая правда, ты её никогда не примешь
Ну, если точнее, то мешки аминокислот, чувствующие себя богами, ибо имеют доступ ко всему и всем.
Вы видимо высший бог, - знаете о чем знают эти боги?
не боги, но хаккеры там есть. не те, конечно, которые только кейгену искать умеют, а настоящие взломщики. они и так от своей работы кайфуют, а тут еще и госзарплату начисляют. рано, или поздно перед ними возникает выбор: тюрьма, или "велком ин ауа депатмент".
Если они (АНБ) не знали, то они зря едят свой хлеб.
> самое идиотское, что может сделать контора типа АНБ — это всё отрицать.
> если бы молчали — выглядели бы умными. а как начинают публично
> вещать — клоуны клоунами. понятно же, что знали.Было бы значительно прикольнее, если бы это они встроили в OpenSSL. И тогда, кстати, было бы интересно узнать, во сколько встал этот кибертеррористический акт государству США. :-)
они таким образом показывают, что им плевать на ваши гневные заявления, вот и всё
ничего им никто не сделает
проверено Сноуденом
Нужно еще АНБ обвинить в идиотизме адмиинов, которые до сих пор не обновили openssl и уповая на шифрование передавали пароли в открытом виде.
А где всё таки опровержение?
Нашли козла отпущения, будто всякие КНР тут не при делах.
Конечно же они ничего не знали. 100% :)http://image.bayimg.com/913e50b4acdf26b8513ea1e2214827499bf4...
10000% что не знали! :))
Не открывается юрла.
> Не открывается юрла.Требуется JS...
Представьте заголовки новостей -
- "АНБ признались, что стырили все пароли и ключи шифрования!"Не получается представить? Тогда сие опровержение слегка предсказуемо...
АНБ - миф. Кто-то страшнее есть 146%
> Кто-то страшнее есть 146%Ты полагаешь, что страшна имевшая место фальсификация?
Я полагаю, что гораздо страшнее то, что фальсификации не было.
АНБ не миф, но обыватель, готовый обменять свободу на миску похлебки, и наделенный при этом избирательным правом, намного страшнее.
Именно.Как говорится, правит миром не тайная ложа, а явная лажа.
> АНБ не миф, но обыватель, готовый обменять свободу на миску похлебки, и
> наделенный при этом избирательным правом, намного страшнее.Сколько жизней ты готов положить на алтарь свободы? Скажи это майдану...
> Сколько жизней ты готов положить на алтарь свободы? Скажи это майдану...Если некто с фанерным щитом прется на пули снайпера - он, очевидно, заслуживает номинации на премию Дарвина.
а если учесть, что пули летят в спину, то это заявка на вторую премию Дарвина
> а если учесть, что пули летят в спину, то это заявка на
> вторую премию ДарвинаДа нет, почему же, я видел образцово-показательный пример того как куча бакланов с фанерными щитами и омоновской жестянкой лихо топает вперед. Прикол в том что пули от снайперской винтовки могут пробить даже "обычный" бронежилет, не говоря уж про фанерки или омоновские жестянки, которые вообще спасут только от камней/дубинок, ну может в лучшем случае пистолетных пуль. А от снайперов хоть как-то спасают только усиленные бронежилеты, которые весят дофига и на дороге не валяются. Такие даже омон не носит в общем случае. Не предназначено омоновское оборудование для разборок со снайперами. И вообще, снайперов боятся как огня практически все силовики. А эти дарвинисты прикрвшись фанеркой ломятся вперед. Результат довольно предсказуем.
> АНБ не миф, но обыватель, готовый обменять свободу на миску похлебки, и
> наделенный при этом избирательным правом, намного страшнее.
> http://www.linux.org.ru/forum/talks/3336447#comment-3336456показательно чё
и ведь он первым будет кричать, что он не раб :D
> и ведь он первым будет кричать, что он не раб :Dне будет, если жрачки дадут. потом только удивится: «как это пройдёмте? я же всегда такой лояльный был!» и то в половину голоса, а то «как бы хуже не было», хоть хуже уже и некуда.
>АНБ - миф. Кто-то страшнее есть 146%АНБ - не миф. А страшнее - да, есть. Те, кто стоят выше над АНБ по иерархии в пирамиде (той пирамиде, что на долларовой купюре изображена).
> АНБ - миф. Кто-то страшнее есть 146%Есть. И они уже здесь, сенсей! ))
They cannot lie because the US government websites ran the same vulnerable SSL version as everyone else did.It's very unlikely that two different NSA branches didn't communicate this vulnerability so that they exploited it and they were affected by it at the same time.
// b.
Нууууу.... вообще-то АНБ довольно самостоятельная штука и отчитывается не очень охотно. За что им AFAIK конгресс и прочие постоянно грозятся финансирование урезать (а вот в таком виде им понятно и они становятся намного сговорчивее в вопросах поднасирания своему же правителству).
Сноуден ещё не высказался на эту тему? =)
Я так и знал, что это всё враньё, а АНБ няши.
>Официальные представители АНБ опровергли данную информацию и заявили, что АНБ не знало о существовании Heartbleed-уязвимости до получения апрельского отчёта.А мы им как-бы поверили ;)
Вы просто предстваить себе не можете на сколько важным для них является ваше мнение и мнение общественности в целом :D
Если им совсем по барабану — перед кем они оправдываются тогда?
Перед правительствами других стран? Не поверят, они слишком извалялись, уроды.
> Если им совсем по барабану — перед кем они оправдываются тогда?
> Перед правительствами других стран? Не поверят, они слишком извалялись, уроды.они не оправдываются, а насмехаются
> Вы просто предстваить себе не можете на сколько важным для них является
> ваше мнение и мнение общественности в целом :DЕсли вы не знаете, АНБ уже курощали до полного уничтожения 85 лет назад (оно тогда называлось Чёрным Кабинетом).
> ваше мнение и мнение общественности в целом :DНу как бы общественность в штатах - прессует правительство, а это все-таки избиратели и налогоплательшики, правительство начинает кирпичи вываливать. Правда AFAIK АНБ живет своей жинью и на правительство теоретически вообще класть хотело. Практически им за это периодически обещают урезать финансирование, что вынуждает их возвращаться в некие рамки и не очень подставлять свое правительство. Но вообще они AFAIK как-то излишне самостоятельны и чуть ли не государство в государстве.
ИМХО
Там с выборами очень сложно всё, есть 2 конторы которые вроде как оппоненты, других быть не может ( система под это заточена), но проблема в том что обе эти конторы к нац. безопасности относятся "хорошо", просто одна из них более громкие заявления делает, ну и направленность чуть разная, одни железо раскручивают больше, другие новые технологии в том числе информационные, так что можно кого угодно выбирать, АНБ сверху будет.
> проблема в том что обе эти конторы к нац. безопасности относятся "хорошо",Это в принципе логично. До тех пор пока действия безопасничков не начинают их откровенно подставлять, как сейчас.
> Это в принципе логично. До тех пор пока действия безопасничков не начинают
> их откровенно подставлять, как сейчас.Я слышал где-то, что "хаскеры" относятся к безопасности своих данных исключительно дерьмово. Соответственно, взлом баз АНБ для ГРУ ГШ НОАК может оказаться на порядок проще, чем взлом всех этих Гугелей/Амазонов/IBM'ов/телефонов Обамы. Собственно, Сноуден уволок базы АНБ громко, а сколько человек сливают их втихую?
Если АНБ это задело, значит есть повод беспокоиться.
ну а что еще им писть ? :)
вроде "мы систематически компрометируем программные продукты и системы, внедряя свой код и людей в коммерческие, общественные и частные проекты" ? :=)
ха, они по законы - не вправе это сделать, даже если бы хотели ) даже под приказом президента или верховного суда - ряд проектов раскрытию не подлежит.
Да, операция спецслужб по внедрению агентов в криминальные группировки прошла успешно! Вот уже более 50% криминальных группировок состоит исключительно из агентов спецслужб.