Агентство национальной безопасности США ввело в строй сайт nationalsecurityagency.github.io (https://nationalsecurityagency.github.io/) и репозитории (http://www.github.com/nationalsecurityagency) на GitHub с подборкой открытых проектов, разработанных или развиваемых при участии сотрудников АНБ.
В каталоге представлено 32 проекта, включая:
- распределённая СУБД Accumulo (https://accumulo.apache.org/) (аналог Google BigTable);
- система принудительного контроля доступа SELinux (https://github.com/SELinuxProject);
- наработки (https://github.com/iadgov/control-flow-integrity) в области проверки целостности выполнения программы CFI (Control Flow Integrity);
- реализация языка OCIL (Open Checklist Interactive Language);
- система поиска и индексации данных в произвольных форматах (FEMTO (https://github.com/femto-dev/femto));
- VPN GoSecure (https://github.com/iadgov/gosecure);
- статический анализатор кода JPF-MANGO (https://babelfish.arc.nasa.gov/trac/jpf/wiki/projects/jpf-mango);
- графоориентированная транзакционная СУБД Lemongraph (https://github.com/nationalsecurityagency/lemongraph), хранящая данные в одном файле в виде лога, и связанный с ней движок для обработки потоков данных Lemongrenade (https://github.com/nationalsecurityagency/lemongrenade);
- инструмент для оценки безопасности ARM-устройств Maplesyrup (https://github.com/iadgov/maplesyrup);
- платформа для публикации и совместной обработки аналитической анформации nbgallery (https://github.com/nbgallery);
- технология (https://www.opennet.me/opennews/art.shtml?num=41134) для автоматического распределения потоков данных между несколькими компьютерными сетями NiFi (https://nifi.apache.org/) (NiagaraFiles);
- платформа для создания верифицируемых решений управления облачными системами OpenAttestation (https://github.com/openattestation/openattestation);
- фреймворк для создания web-приложений OZONE Widget Framework (https://github.com/ozoneplatform/owf-framework);
- платформа для создания программно-определяемых радиоустройств RedhawkSDR (https://github.com/redhawksdr) (software-defined radio);
- блочные шифры simon и speck (https://github.com/iadgov/simon-speck);
- стек для автоматизации управления конфигурацией SIMP (https://github.com/nationalsecurityagency/simp) (System Integrity Management Platform).URL: https://tech.slashdot.org/story/17/06/21/217220/nsa-opens-gi...
Новость: http://www.opennet.me/opennews/art.shtml?num=46742
Интересно, они будут принимать pull request-ы, закрывающие (возможно, специально введенные) уязвимости и дыры в безопасности?
Скорее всего это зеркала.
Какой смысл им держать незакрытые дыры в _своих_ продуктах? Утаить пару zero-day уязвимостей в чужих системах другое дело.
honeypot
Что бы оперативно пользоваться ими! Это же очевидно.
Но, тем не менее, выложили код, чтобы все про эти дыры узнали? Хромые конспирологи опенета :)
Расскажи мне как выложить ПО с открытым кодом не выкладывая код.
Хрен знает, что у вас между ушей с такими комментариями.
>Какой смысл им держать незакрытые дыры в _своих_ продуктах?Думаешь сами они этими _продуктами_ пользуются? Во всяком случае в том виде в котором опубликовали?
Они путают вас, меняют фургончики. А голубь какнувший вам на шапочку из фольги - не просто голубь!
Сказал Аноним и поглубже запихнул очередной АНБ-шный зонд.
> Сказал Аноним и поглубже запихнул очередной АНБ-шный зонд.Анбешный не страшно. Вот зонды сорма, яровой и прочие на стороне твоего провайдера, о которых мы можем даже не знать - вот они то и могут тебя реально на бутылочку присадить, причём вне зависимости от того, насколько идеологически верную и богоподобную ОС ты используешь. А анбешные на палке я вертел. Вы все здесь смешные мамкины конспиролухи. Смешно боитесь того, что вам никак навредить не может и глупо игнорируете реально опасные вещи.
Помню кто-то говорил, что новые мамкины борцы с режымом не тупые. Не соглашусь.
Чтобы догадаться что дырой для агента Малдера может с тем же успехом пользоваться и православный товарищ майор, и Вася Писев с криптером и манером, нужен коффициент мозга не больше 70.
Ну что, поблеял в родном огороде? Повернул как тебе надо? Так кончи уже и узбагойся.
>> Сказал Аноним и поглубже запихнул очередной АНБ-шный зонд.
> Анбешный не страшно. Вот зонды сорма, яровой и прочие на стороне твоего
> провайдера, о которых мы можем даже не знать - вот они
> то и могут тебя реально на бутылочку присадить, причём вне зависимости
> от того, насколько идеологически верную и богоподобную ОС ты используешь. А
> анбешные на палке я вертел. Вы все здесь смешные мамкины конспиролухи.
> Смешно боитесь того, что вам никак навредить не может и глупо
> игнорируете реально опасные вещи.Согласен, фсбшники,фсошники и эшники куда опасней для россиян, чем анбшники : и штрафы они за любые комментарии могут выписать и мордой об пол стукануть и посадить на несколько лет без всяких оснований тоже. Любого!И первую очередь, кто несогласен с Путиным по всем его текущим и будущим мнениям.
надо было на git.wikileaks.org выкладывать.
селинукс напрягает, а остальное и так никто не использует =)
а чем он тебя напрягает? тем, что у тебя руки из заднего прохода растут и ты не можешь его настроить?
С дырками в связке с sudo, например. Как раз для пряморуких была.
покажи мне софт без уязвимостей.
/bin/sh
Ась?
$ file /bin/sh
/bin/sh: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.32, stripped
Что сказать-то хотел? Что в каком-то идиотском дистрибутиве сделано cp /bin/bash /bin/sh вместо ln -s /bin/bash /bin/sh ?
> Что сказать-то хотел? Что в каком-то идиотском дистрибутиве сделано cp /bin/bash /bin/sh
> вместо ln -s /bin/bash /bin/sh ?$ ls -l /bin/bash /bin/sh /bin/dash
-rwxr-xr-x 1 root root 1037528 май 16 15:49 /bin/bash
-rwxr-xr-x 1 root root 154072 фев 17 2016 /bin/dash
lrwxrwxrwx 1 root root 4 мар 16 14:05 /bin/sh -> dash
еще один...сказать что хотел? в дебиане dash, и что? это отменяет ссылку?
Дурачок местный?
$ ll /bin/bash /bin/sh
-rwxr-xr-x 1 root root 591984 май 4 2016 /bin/bash
-rwxr-xr-x 1 root root 494712 май 4 2016 /bin/sh
> идиот? это не софт, это символическая ссылка. капец, понаплодилось кретинов, лезущих в nixну-ну.
file /bin/sh
/bin/sh: ELF 64-bit LSB shared object, x86-64, version 1> cp /bin/bash /bin/sh вместо ln -s /bin/bash /bin/sh
Ыкспертус, чо.
head /usr/src/bin/sh/sh.1
.\"-
.\" Copyright (c) 1991, 1993
.\" The Regents of the University of California. All rights reserved.
Прикрыл он существенно больше дырок. На каждую вторую уязвимость для редхата "не актуально, так как закрыто селинуксом".
> Прикрыл он существенно больше дырок. На каждую вторую уязвимость для редхата "не
> актуально, так как закрыто селинуксом".там другая беда - в каждом первом большом проекте пунктом 0 в INSTALL: "если у вас selinux - отключите нахрен" (причем совет какой-нибудь заведомо вредный, типа отключения параметром ядра или disabled в config).
Отчасти, конечно, потому что такие проекты и такие проектировщики. Но, увы, только отчасти.На деле то, для чего изначально позиционировался selinux (mls) неработоспособно в принципе, как-то можно ужиться только с redhat'овой targeted политикой, а она, в общем-то, явно видимых преимуществ перед apparmor и аналогичными поделками попроще-поэффективнее не имеет.
При этом ее в десятке мест надо дорабатывать напильником, чтобы работало что посложнее голой машины без сетевых сервисов. И не говоря уже о том, что нормальных target'ов для отличных от rh дистрибутивов никто так и ниасилил.Слишком сложно, слишком низкоуровнево, слишком неудобно отлаживать.
То еще один пример того, что поделки анб никто не использует и настраивать не хочет.
> То еще один пример того, что поделки анб никто не использует и настраивать не хочет.ну да, для этого ж мозги нужны, а с ними на рынке напряженка (все уже АНБ скуплены и съедены).
А сами авторы то ли не хотят делиться, то ли в системах для обработки classified данных именно этим и именно вот так и пользуются (ну, cat с vi там можно, в принципе, запустить, иногда) - в конце-концов, потратил же кто-то неприличное количество времени на написание образцовой политики. Еще в каком там - 2004-м, что-ли?
ну не совсем, мы тоже на своих рабочих компах его сперва отключаем (бесит когда не понимаешь почему не работает код), но на продакшине наш админ уже наловчился переписывать правила и всё прекрасно работает.
>но на продакшине
> наш админ уже наловчился переписывать правила и всё прекрасно работает.Обезьянка с audit2allow?
И он сказал вам, что это чем-то заметно лучше permissive-а/selinux-off-а, или вы сами так решили? Интересует передовой опыт продакшена.
> Обезьянка с audit2allow?Что хотела сказать-то???
>> Прикрыл он существенно больше дырок. На каждую вторую уязвимость для редхата "не
>> актуально, так как закрыто селинуксом".
> там другая беда - в каждом первом большом проекте пунктом 0 в
> INSTALL: "если у вас selinux - отключите нахрен" (причем совет какой-нибудь
> заведомо вредный, типа отключения параметром ядра или disabled в config).
> Отчасти, конечно, потому что такие проекты и такие проектировщики. Но, увы, только
> отчасти.не надо читать такие инструкции, их написали неграмотные люди!
> не надо читать такие инструкции, их написали неграмотные люди!других нет, а поставить софт надо, никому не нужна твоя идеально настроенная система с selinux, нужно то, ради чего ее ставили.
К тому же такие же точно люди обычно и код пишут, поэтому зачастую audit2allow или пристальной медитацией над логом не обойдешься, надо делать собственные targets (которые помогут наполовину, потому что софт selinux-unaware, и не умеет элементарных вещей, поэтому один хрен разрешить придется слишком многое)обычно на это занятие нет ни времени, ни вдохновения - поэтому пользы от selinux в реальном мире, увы, немного. А какой-то более высокоуровневой и пригодной к употреблению альтернативы - нет и не будет, поляна уже обгажена равномерно с трех сторон.
> С дырками в связке с sudo, например. Как раз для пряморуких была.дыра в sudo была, сюрприз, в sudo, а вовсе не в selinux - просто ее автор, и ранее ни разу не замеченный в умении писать надежный код (не говоря уже о безопасном), ниасилил разбор параметров, в очередной раз.
Обосpался он, чисто случайно (в этот раз), именно в параметре, связанном с selinux'ными системами - но в своем собственном коде, ни до libselinux, ни тем более до работы с поддержкой этой фичи ядром еще не добиравшимся (поэтому для проявления проблемы вовсе не нужен selinux, достаточно собранного с "правильными" дефайнами sudo) - наверное, проклятое NSA подбросило?Оно же, видимо, уже двадцать лет мешает кому-то взять и написать нормально работающую реализацию, вместо этого непременно получается какая-то do-ass. С несовместимым неудобочитаемым конфигом и без половины функционала. Видимо, потенциальных авторов сразу вербуют в агенты.
Им стоит ещё создать свой сервер хостинга открытых проектов ;)>блочные шифры simon и speck;
В них, наверное, концепуально заложены уязвимости.
И обязательно - репозиторий бинарных сборок.
> Агентство национальной безопасности США опубликовало каталог своих открытых проектов ....магазин разнокалиберных товаров?
>> Агентство национальной безопасности США опубликовало каталог своих открытых проектов ....
> магазин разнокалиберных товаров?Нет. Разнокалиберные - это Агенство Алкоголя, Табака и Оружия:
https://www.atf.gov/
Где тот парень с PVS-Studio? Пусть проанализирует что тпюам в коде интерестного.
https://github.com/viva64/pvs-studio-check-list
А где открытые чертежи камер для пыток?
Это по части цру и фбр.
> А где открытые чертежи камер для пыток?Сейчас поднесут, а пока на бутылочку присядь.
>> А где открытые чертежи камер для пыток?
> Сейчас поднесут, а пока на бутылочку присядь.Маковода что бутылкой, что голой жопой, вряд ли испугать получится. Разве что оно подыграет.
> А где открытые чертежи камер для пыток?Бутылку уже освоил, нужна камера?
> - VPN GoSecure (https://github.com/iadgov/gosecure);Это strongSwan на pre-shared keys. Что же это получается, они strongSwan написали? Лишний повод порадоваться, что я на wireduard переехал!
fix: wireguard
Вот подожди, сейчас техничка с "Базальта" на смену выйдет и всё тебе объяснит.
Вообщем это то, что не стоит использовать?:)
На серверах часто SELinux используется, поэтому нет, пользоваться можно, если требуется. Хотя был очень удивлён, когда не обнаружил пакета policy default в Debian Jessie. Видимо бывают и там косяки, которые вовремя не исправляются. Тем не менее, другим спецслужбам стоит у них поучиться.Лично я считаю, что ещё неплохо было бы, чтобы у государств были специальные отделения полиции, где бы работали программисты, пишущие открытый софт для внутренних нужд. А если это пиарить, можно ещё и неплохое сообщество вокруг сформировать.
На серверах и Виндоус используют и тоже удивляются когда за ними Вонакрай приходит через ВечноГолубой задний дверь для АНБшников.
Ничего что православно-патриотическая ОС ЗАРЯ на этом SELinux основана?
>Агентство национальной безопасности США опубликовало каталог своих открытых проектовКаталог своих эксплоитов опубликуют? Он ведь теперь тоже открыт.
А где системд??
> А где системд??На freedesktop.org/.
Это вам не ФАПСИ/ФСТЭК/НИИ Восход/ЦНИИЭИСУ, потолок инноваций которых - пересобрать АНБ-й SELinux и поменять обои.