The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Агентство национальной безопасности США опубликовало каталог своих открытых проектов

22.06.2017 08:41

Агентство национальной безопасности США ввело в строй сайт nationalsecurityagency.github.io и репозитории на GitHub с подборкой открытых проектов, разработанных или развиваемых при участии сотрудников АНБ.

В каталоге представлено 32 проекта, включая:

  • распределённая СУБД Accumulo (аналог Google BigTable);
  • система принудительного контроля доступа SELinux;
  • наработки в области проверки целостности выполнения программы CFI (Control Flow Integrity);
  • реализация языка OCIL (Open Checklist Interactive Language);
  • система поиска и индексации данных в произвольных форматах (FEMTO);
  • VPN GoSecure;
  • статический анализатор кода для Java JPF-MANGO;
  • графоориентированная транзакционная СУБД Lemongraph, хранящая данные в одном файле в виде лога, и связанный с ней движок для обработки потоков данных Lemongrenade;
  • инструмент для оценки безопасности ARM-устройств Maplesyrup;
  • платформа для публикации и совместной обработки аналитической анформации nbgallery;
  • технология для автоматического распределения потоков данных между несколькими компьютерными сетями NiFi (NiagaraFiles);
  • платформа для создания верифицируемых решений управления облачными системами OpenAttestation;
  • фреймворк для создания web-приложений OZONE Widget Framework;
  • платформа для создания программно-определяемых радиоустройств RedhawkSDR (software-defined radio);
  • блочные шифры simon и speck;
  • стек для автоматизации управления конфигурацией SIMP (System Integrity Management Platform).


  1. Главная ссылка к новости (https://tech.slashdot.org/stor...)
  2. OpenNews: Публикация архива эксплоитов АНБ вскрыла большой пласт старых уязвимостей
  3. OpenNews: Опубликована третья порция эксплоитов АНБ
  4. OpenNews: Агентство национальной безопасности открыло код системы NiFi
  5. OpenNews: АНБ передаёт код БД Accumulo в руки фонда Apache
  6. OpenNews: ФБР заподозрили в помещении бэкдора в IPSEC-стек OpenBSD (дополнено)
Лицензия: CC-BY
Тип: К сведению
Короткая ссылка: https://opennet.ru/46742-nsa
Ключевые слова: nsa
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (60) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, trolleybus (?), 08:50, 22/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +6 +/
    Интересно, они будут принимать pull request-ы, закрывающие (возможно, специально введенные) уязвимости и дыры в безопасности?
     
     
  • 2.2, istepan (ok), 08:51, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Скорее всего это зеркала.
     
  • 2.3, Аноним (-), 08:53, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Какой смысл им держать незакрытые дыры в _своих_ продуктах? Утаить пару zero-day уязвимостей в чужих системах другое дело.
     
     
  • 3.6, Аноним (-), 09:37, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    honeypot
     
  • 3.11, Rodegast (ok), 10:43, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Что бы оперативно пользоваться ими! Это же очевидно.
     
     
  • 4.42, Аноним (-), 20:16, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Но, тем не менее, выложили код, чтобы все про эти дыры узнали? Хромые конспирологи опенета :)
     
     
  • 5.52, EHLO (?), 08:54, 23/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Расскажи мне как выложить ПО с открытым кодом не выкладывая код.
     
     
  • 6.56, Аноним (-), 14:33, 23/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Хрен знает, что у вас между ушей с такими комментариями.
     
  • 3.36, EHLO (?), 16:03, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >Какой смысл им держать незакрытые дыры в _своих_ продуктах?

    Думаешь сами они этими _продуктами_ пользуются? Во всяком случае в том виде в котором опубликовали?

     
     
  • 4.43, Аноним (-), 20:20, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Они путают вас, меняют фургончики. А голубь какнувший вам на шапочку из фольги - не просто голубь!


     
     
  • 5.47, EHLO (?), 22:30, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Сказал Аноним и поглубже запихнул очередной АНБ-шный зонд.
     
     
  • 6.57, Аноним (-), 14:41, 23/06/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Сказал Аноним и поглубже запихнул очередной АНБ-шный зонд.

    Анбешный не страшно. Вот зонды сорма, яровой и прочие на стороне твоего провайдера, о которых мы можем даже не знать - вот они то и могут тебя реально на бутылочку присадить, причём вне зависимости от того, насколько идеологически верную и богоподобную ОС ты используешь. А анбешные на палке я вертел. Вы все здесь смешные мамкины конспиролухи. Смешно боитесь того, что вам никак навредить не может и глупо игнорируете реально опасные вещи.


     
     
  • 7.59, EHLO (?), 10:16, 24/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Помню кто-то говорил, что новые мамкины борцы с режымом не тупые. Не соглашусь.
    Чтобы догадаться что дырой для агента Малдера может с тем же успехом пользоваться и православный товарищ майор, и Вася Писев с криптером и манером, нужен коффициент мозга не больше 70.
     
     
  • 8.60, Аноним (-), 15:23, 24/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ну что, поблеял в родном огороде Повернул как тебе надо Так кончи уже и узбаго... текст свёрнут, показать
     
  • 7.62, DmA (??), 09:10, 26/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> Сказал Аноним и поглубже запихнул очередной АНБ-шный зонд.
    > Анбешный не страшно. Вот зонды сорма, яровой и прочие на стороне твоего
    > провайдера, о которых мы можем даже не знать - вот они
    > то и могут тебя реально на бутылочку присадить, причём вне зависимости
    > от того, насколько идеологически верную и богоподобную ОС ты используешь. А
    > анбешные на палке я вертел. Вы все здесь смешные мамкины конспиролухи.
    > Смешно боитесь того, что вам никак навредить не может и глупо
    > игнорируете реально опасные вещи.

    Согласен,  фсбшники,фсошники и эшники куда опасней для россиян, чем анбшники : и штрафы они  за любые комментарии  могут выписать и мордой об пол стукануть и посадить на несколько лет без всяких оснований тоже. Любого!И первую очередь, кто несогласен с Путиным по всем его текущим и будущим мнениям.

     

  • 1.5, rvotb (?), 09:20, 22/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +10 +/
    надо было на git.wikileaks.org выкладывать.
     
  • 1.7, Аноним (-), 09:45, 22/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    селинукс напрягает, а остальное и так никто не использует =)
     
     
  • 2.12, кверти (ok), 11:19, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • –6 +/
    а чем он тебя напрягает? тем, что у тебя руки из заднего прохода растут и ты не можешь его настроить?
     
     
  • 3.13, Аноним (-), 11:36, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    С дырками в связке с sudo, например. Как раз для пряморуких была.
     
     
  • 4.17, кверти (ok), 11:57, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    покажи мне софт без уязвимостей.
     
     
  • 5.20, VINRARUS (ok), 12:12, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    /bin/sh
     
     
     
    Часть нити удалена модератором

  • 7.24, aborodin (??), 12:55, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Ась?



    $ file /bin/sh
    /bin/sh: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.32, stripped



     
     
  • 8.26, кверти (ok), 13:11, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • –9 +/
    Что сказать-то хотел Что в каком-то идиотском дистрибутиве сделано cp bin bash... текст свёрнут, показать
     
     
  • 9.32, Онанимус (?), 13:39, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    ls -l bin bash bin sh bin dash -rwxr-xr-x 1 root root 1037528 май 16 15 49... текст свёрнут, показать
     
     
  • 10.33, кверти (ok), 13:47, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • –4 +/
    еще один сказать что хотел в дебиане dash, и что это отменяет ссылку ... текст свёрнут, показать
     
  • 9.38, aborodin (??), 17:19, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Дурачок местный code ll bin bash bin sh -rwxr-xr-x 1 root root 591984 май... текст свёрнут, показать
     
  • 7.31, Аноним (-), 13:37, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > идиот? это не софт, это символическая ссылка. капец, понаплодилось кретинов, лезущих в nix

    ну-ну.



    file /bin/sh
    /bin/sh: ELF 64-bit LSB shared object, x86-64, version 1


    > cp /bin/bash /bin/sh вместо ln -s /bin/bash /bin/sh

    Ыкспертус, чо.



    head /usr/src/bin/sh/sh.1
    .\"-
    .\" Copyright (c) 1991, 1993
    .\" The Regents of the University of California.  All rights reserved.


     
  • 4.18, Crazy Alex (ok), 12:07, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Прикрыл он существенно больше дырок. На каждую вторую уязвимость для редхата "не актуально, так как закрыто селинуксом".
     
     
  • 5.39, пох (?), 17:27, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Прикрыл он существенно больше дырок. На каждую вторую уязвимость для редхата "не
    > актуально, так как закрыто селинуксом".

    там другая беда - в каждом первом большом проекте пунктом 0 в INSTALL: "если у вас selinux - отключите нахрен" (причем совет какой-нибудь заведомо вредный, типа отключения параметром ядра или disabled в config).
    Отчасти, конечно, потому что такие проекты и такие проектировщики. Но, увы, только отчасти.

    На деле то, для чего изначально позиционировался selinux (mls) неработоспособно в принципе, как-то можно ужиться только с redhat'овой targeted политикой, а она, в общем-то, явно видимых преимуществ перед apparmor и аналогичными поделками попроще-поэффективнее не имеет.
    При этом ее в десятке мест надо дорабатывать напильником, чтобы работало что посложнее голой машины без сетевых сервисов. И не говоря уже о том, что нормальных target'ов для отличных от rh дистрибутивов никто так и ниасилил.

    Слишком сложно, слишком низкоуровнево, слишком неудобно отлаживать.

     
     
  • 6.48, Аноним (-), 22:48, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    То еще один пример того, что поделки анб никто не использует и настраивать не хочет.
     
     
  • 7.58, пох (?), 23:18, 23/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > То еще один пример того, что поделки анб никто не использует и настраивать не хочет.

    ну да, для этого ж мозги нужны, а с ними на рынке напряженка (все уже АНБ скуплены и съедены).

    А сами авторы то ли не хотят делиться, то ли в системах для обработки classified данных именно этим и именно вот так и пользуются (ну, cat с vi там можно, в принципе, запустить, иногда) - в конце-концов, потратил же кто-то неприличное количество времени на написание образцовой политики. Еще в каком там - 2004-м, что-ли?

     
  • 6.51, fi (ok), 00:38, 23/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    ну не совсем, мы тоже на своих рабочих компах его сперва отключаем (бесит когда не понимаешь почему не работает код), но на продакшине наш админ уже наловчился переписывать правила и всё прекрасно работает.

     
     
  • 7.54, Andrey Mitrofanov (?), 09:18, 23/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    >но на продакшине
    > наш админ уже наловчился переписывать правила и всё прекрасно работает.

    Обезьянка с audit2allow?

    И он сказал вам, что это чем-то заметно лучше permissive-а/selinux-off-а, или вы сами так решили? Интересует передовой опыт продакшена.

     
     
  • 8.55, fi (ok), 12:32, 23/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Что хотела сказать-то ... текст свёрнут, показать
     
  • 6.63, DmA (??), 09:11, 26/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> Прикрыл он существенно больше дырок. На каждую вторую уязвимость для редхата "не
    >> актуально, так как закрыто селинуксом".
    > там другая беда - в каждом первом большом проекте пунктом 0 в
    > INSTALL: "если у вас selinux - отключите нахрен" (причем совет какой-нибудь
    > заведомо вредный, типа отключения параметром ядра или disabled в config).
    > Отчасти, конечно, потому что такие проекты и такие проектировщики. Но, увы, только
    > отчасти.

    не надо читать такие инструкции, их написали неграмотные люди!

     
     
  • 7.65, пох (?), 10:31, 26/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > не надо читать такие инструкции, их написали неграмотные люди!

    других нет, а поставить софт надо, никому не нужна твоя идеально настроенная система с selinux, нужно то, ради чего ее ставили.
    К тому же такие же точно люди обычно и код пишут, поэтому зачастую audit2allow или пристальной медитацией над логом не обойдешься, надо делать собственные targets (которые помогут наполовину, потому что софт selinux-unaware, и не умеет элементарных вещей, поэтому один хрен разрешить придется слишком многое)

    обычно на это занятие нет ни времени, ни вдохновения - поэтому пользы от selinux в реальном мире, увы, немного. А какой-то более высокоуровневой и пригодной к употреблению альтернативы - нет и не будет, поляна уже обгажена равномерно с трех сторон.

     
  • 4.37, пох (?), 17:07, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > С дырками в связке с sudo, например. Как раз для пряморуких была.

    дыра в sudo была, сюрприз, в sudo, а вовсе не в selinux - просто ее автор, и ранее ни разу не замеченный в умении писать надежный код (не говоря уже о безопасном), ниасилил разбор параметров, в очередной раз.
    Обосpался он, чисто случайно (в этот раз), именно в параметре, связанном с selinux'ными системами - но в своем собственном коде, ни до libselinux, ни тем более до работы с поддержкой этой фичи ядром еще не добиравшимся (поэтому для проявления проблемы вовсе не нужен selinux, достаточно собранного с "правильными" дефайнами sudo)  - наверное, проклятое NSA подбросило?

    Оно же, видимо, уже двадцать лет мешает кому-то взять и написать нормально работающую реализацию, вместо этого непременно получается какая-то do-ass. С несовместимым неудобочитаемым конфигом и без половины функционала. Видимо, потенциальных авторов сразу вербуют в агенты.

     

  • 1.8, Аноним (-), 09:56, 22/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Им стоит ещё создать свой сервер хостинга открытых проектов ;)

    >блочные шифры simon и speck;

    В них, наверное, концепуально заложены уязвимости.

     
     
  • 2.25, YetAnotherOnanym (ok), 13:00, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    И обязательно - репозиторий бинарных сборок.
     

  • 1.9, Hellraiser (??), 10:25, 22/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    > Агентство национальной безопасности США опубликовало каталог своих открытых проектов ....

    магазин разнокалиберных товаров?

     
     
  • 2.68, Вареник (?), 22:26, 26/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> Агентство национальной безопасности США опубликовало каталог своих открытых проектов ....
    > магазин разнокалиберных товаров?

    Нет. Разнокалиберные - это Агенство Алкоголя, Табака и Оружия:
    https://www.atf.gov/

     

  • 1.15, Аноним (-), 11:40, 22/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Где тот парень с PVS-Studio? Пусть проанализирует что тпюам в коде интерестного.
     
     
  • 2.22, jsjsjtut (?), 12:40, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    https://github.com/viva64/pvs-studio-check-list
     

  • 1.19, Аноним (-), 12:09, 22/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    А где открытые чертежи камер для пыток?
     
     
  • 2.23, jsjsjtut (?), 12:41, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Это по части цру и фбр.
     
  • 2.44, Аноним (-), 20:26, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А где открытые чертежи камер для пыток?

    Сейчас поднесут, а пока на бутылочку присядь.


     
     
  • 3.50, Аноним (-), 00:37, 23/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    >> А где открытые чертежи камер для пыток?
    > Сейчас поднесут, а пока на бутылочку присядь.

    Маковода что бутылкой, что голой жопой, вряд ли испугать получится. Разве что оно подыграет.


     
  • 2.46, Led (ok), 22:16, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А где открытые чертежи камер для пыток?

    Бутылку уже освоил, нужна камера?

     

  • 1.28, Онанимус (?), 13:28, 22/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > -  VPN GoSecure (https://github.com/iadgov/gosecure);

    Это strongSwan на pre-shared keys. Что же это получается, они strongSwan написали? Лишний повод порадоваться, что я на wireduard переехал!

     
     
  • 2.30, Онанимус (?), 13:34, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    fix: wireguard
     
  • 2.45, Аноним (-), 20:29, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Вот подожди, сейчас техничка с "Базальта" на смену выйдет и всё тебе объяснит.

     

  • 1.40, Аноним (40), 19:18, 22/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Вообщем это то, что не стоит использовать?:)
     
     
  • 2.41, Аноним (-), 19:50, 22/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    На серверах часто SELinux используется, поэтому нет, пользоваться можно, если требуется. Хотя был очень удивлён, когда не обнаружил пакета policy default в Debian Jessie. Видимо бывают и там косяки, которые вовремя не исправляются. Тем не менее, другим спецслужбам стоит у них поучиться.

    Лично я считаю, что ещё неплохо было бы, чтобы у государств были специальные отделения полиции, где бы работали программисты, пишущие открытый софт для внутренних нужд. А если это пиарить, можно ещё и неплохое сообщество вокруг сформировать.

     
     
  • 3.53, EHLO (?), 09:01, 23/06/2017 [^] [^^] [^^^] [ответить]  
  • –1 +/
    На серверах и Виндоус используют и тоже удивляются когда за ними Вонакрай приходит через ВечноГолубой задний дверь для АНБшников.
     
  • 2.67, Вареник (?), 22:22, 26/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    Ничего что православно-патриотическая ОС ЗАРЯ на этом SELinux основана?
     

  • 1.49, Аноним (-), 23:54, 22/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    >Агентство национальной безопасности США опубликовало каталог своих открытых проектов

    Каталог своих эксплоитов опубликуют? Он ведь теперь тоже открыт.

     
  • 1.61, Аноним (-), 22:19, 24/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    А где системд??
     
     
  • 2.64, Andrey Mitrofanov (?), 09:22, 26/06/2017 [^] [^^] [^^^] [ответить]  
  • +/
    > А где системд??

    На freedesktop.org/.

     

  • 1.66, Вареник (?), 22:20, 26/06/2017 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Это вам не ФАПСИ/ФСТЭК/НИИ Восход/ЦНИИЭИСУ, потолок инноваций которых - пересобрать АНБ-й SELinux и поменять обои.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру