Агентство национальной безопасности — американское разведывательное агентство, которое традиционно работает в условиях секретности — наконец-то присоединилось к GitHub и открыло официальную страничку: github.com/nationalsecurityagency. Там АНБ будет публиковать исходный код своих программ. В этом есть своеобразная ирония, поскольку много программного обеспечения АНБ ранее утекло в открытый доступ, то есть стало свободным де-факто, без всякого содействия со стороны АНБ. Как тот же инструмент EternalBlue, который в апреле 2017 года слила хакерская группа Shadow Brokers среди прочих инструментов АНБ, а позже на его базе был разработан червь и криптовымогатель WannaCry.

Но разумеется, контора не собирается добровольно публиковать здесь свои секретные инструменты, которые используются для шпионажа и разведки. Но у них есть много чего, чем можно безопасно поделиться с сообществом.

В конце концов, в АНБ работают сотни высококлассных, гениальных программистов и лучшие математики. Это хорошие ребята, они посещают хакерские конференции и другие компьютерные конференции, в том числе по программированию, поддерживают контакт с коллегами «с другой стороны». У всех общие интересы и области знания. Вряд ли сотрудники АНБ имеют возможность скрывать своё место работы.

Традиционно АНБ считалась секретной организацией и ничего не рассказывало о своей деятельности. Однако после утечек Эдварда Сноудена в 2013 году оно начало медленно и постепенно открываться миру. Ещё тогда АНБ открыло аккаунт в Twitter, а вот теперь — репозиторий на GitHub. Агентство также открыло сайт https://nationalsecurityagency.github.io/. В общей сложности, АНБ готово поделиться с миром 32 различными проектами, все они являются частью программы по передаче технологий NSA Technology Transfer Program (TTP). Хотя некоторые из проектов ещё не присутствуют в полном виде, на них стоит пометка 'coming soon'.

На странице TTP указано, что в рамках этой программой осуществляется работа с «инноваторами агентства, которые желают использовать эту совместную модель для передачи их технологий на коммерческий рынок».

АНБ перечисляет преимущества программного обеспечения с открытым исходным кодом и свободной лицензией. Указано, что такая модель стимулирует широкое использование ПО, его повсеместную установку. Общество выигрывает от применения таких программ, изменения их и коммерциализации ПО. В свою очередь, правительство выигрывает от того, что open source сообщество вносит улучшения в программы.

Многие из проектов, которые выложило АНБ, уже очень старые и давно доступны для сообщества. Например, защитный механизм SELinux давным-давно включён в ядро Linux. Но теперь мы знаем, что он разработан в АНБ, так что пользователи Linux могут гордиться — на их компьютерах работает код АНБ.

Другие проекты АНБ тоже представляют определённый интерес. Вот некоторые из них:

  • Certificate Authority Situational Awareness (CASA): простой инструмент, который выявляет неожиданные и запрещённые сертификаты удостоверяющих центров на компьютерах под Windows.
  • Control Flow Integrity: основанная на аппаратном обеспечении техника для предотвращения работы эксплойтов, которые используют повреждение памяти.
  • DCP: программа, которая сокращает время, необходимое для изготовления копии жёсткого диска для анализа при криминалистической экспертизе.
  • FEMTO: система индексации и поиска для запросов на последовательность байт. Обеспечивает исключительно высокую скорость поиска на данных в произвольных форматах.
  • goSecure: лёгкая в использовании портативная VPN, построенная на Linux и Raspberry Pi.
  • GRASSMARLIN: обеспечивает осведомлённость о ситуации в IP-сети для сетей ICS и SCADA с поддержкой сетевой безопасности.
  • Open Attestation: проект для удалённого получения и верификации цельности системы, с использованием Trusted Platform Module (TPM).
  • RedhawkSDR: фреймворк для программного радио (software-defined radio, SDR), которые предоставляет инструменты для разработки, развёртывания и управления приложениями программного радио в реальном времени.
  • OZONE Widget Framework (OWF): это веб-приложение, которое работает в браузере. Оно позволяет пользователям создавать легковесные виджеты и получать удобный доступ ко всем своим онлайновым инструментам из одного места.
Поделиться с друзьями
-->

Комментарии (10)


  1. LoadRunner
    22.06.2017 14:06
    +3

    Не сочтите меня параноиком, но…

    так что пользователи Linux могут гордиться — на их компьютерах работает код АНБ
    Очень двусмысленно звучит. Особенно в свете утечек кода, который АНБ не хотело бы раскрывать.

    такая модель стимулирует широкое использование ПО, его повсеместную установку
    А в этом случае как тщательно будут проверять их код на предмет потенциальных закладок?


    1. voyager-1
      23.06.2017 08:49
      +3

      Очень двусмысленно звучит. Особенно в свете утечек кода, который АНБ не хотело бы раскрывать.
      Ну SELinux скажем — они сами передали сообществу. В итоге сообщество получило весьма защищённую систему, а АНБ — экономию на её поддержке.
      А в этом случае как тщательно будут проверять их код на предмет потенциальных закладок?
      Я думаю — по поводу их кода не надо волноваться больше, чем по поводу всех остальных, потому-что:

      1) SELinux, как и их же AES — они сами же используют, как стандарт для защиты/шифрования, а ещё — это стандарты для всех госучреждений США. Так что создавая в этом коде закладки — они автоматически подставляют под опасность всю свою страну. И за 19 лет существования SELinux — про скандалы по поводу закладок от АНБ в нём, я не слышал. Тоже самое — относится к AES: этот код/алгоритмы — проверяют больше всего, так как он больше всего распространён, и существует он уже больше десятилетия.

      2) Алгоритм шифрования AES, на котором работает большая часть шифрования в интернете — разработан по их заказу (как собственно DES, Serpent и Twofish — на котором работает почти всё оставшееся). А ещё их SHA-1,2,3… в общем — волноваться стоит, если реально есть чем предмет опасения заменить. А тут практически единственный вариант остаётся — одевать шапочку из фольги, и идти в лес.

      У них кстати есть «хорошая» часть (занимающаяся системами защиты, для гос органов), и «плохая» (занимающаяся поиском уязвимостей). И скорее всего — они не контактируют даже, из-за секретности. Так что совсем исключать возможность того, что они знают о каких-то уязвимостях в своём коде — я бы не стал.


  1. roboq6
    22.06.2017 19:01
    +1

    У некоторых из этих программ довольно любопытный файл LICENSE.

    На примере goSecure:

    This Work was prepared by a United States Government employee and, therefore, is excluded from copyright by Section 105 of the Copyright Act of 1976.

    Copyright and Related Rights in the Work worldwide are waived through the CC0 1.0 Universal license.


  1. technont64
    22.06.2017 19:35
    +1

    goSecure: лёгкая в использовании портативная VPN, построенная на Linux и Raspberry Pi

    не вижу преимуществ перед PiVPN, который ставится более дружелюбно и имеет под капотом OpenVPN (клиенты есть под всё)


    1. Boba_Fett
      22.06.2017 19:39

      Под Blackberry OS 10 нативного клиента нет.


      1. fki
        23.06.2017 06:18

        Под Windows Phone тоже нет


        1. technont64
          23.06.2017 11:05

          Соглашусь, лучшей фразой будет «все десктопы+самые популярные мобильные ОС»


          1. Boba_Fett
            23.06.2017 15:02
            +1

            *две самые популярные


  1. Tachyon
    23.06.2017 12:09
    -1

    В этом есть своеобразная ирония, поскольку много программного обеспечения АНБ ранее утекло в открытый доступ, то есть стало свободным де-факто, без всякого содействия со стороны АНБ. Как тот же инструмент EternalBlue, который в апреле 2017 года слила хакерская группа Shadow Brokers среди прочих инструментов АНБ, а позже на его базе был разработан червь и криптовымогатель WannaCry.


    Сначала правительство этой страны создало крупнейшую террористическую организацию мира, потом вот это.

    От правительства штатов вообще можно ожидать чего-либо что если не изначально, то в последствии не превращается в проблемы и головную боль для всего мира?


  1. lek
    25.06.2017 01:53
    +4

    Защитный механизм SELinux давным-давно включён в ядро Linux. Но теперь мы знаем, что он разработан в АНБ


    Мы это знали всегда. SELinux был представлен сообществу самим NSA. Они даже пресс-релиз сделали.