Dmitry Belyavskiy

HUAWEI CYBER SECURITY EVALUATION CENTRE (HCSEC) VERSIGHT BOARD ANNUAL REPORT 2019

Цитата:
On the first version of the software, there were 70 full copies of 4 different OpenSSL versions, ranging from 0.9.8 to 1.0.2k (including one from a vendor SDK) with partial copies of 14 versions, ranging from 0.9.7d to 1.0.2k, those partial copies numbering 304. Fragments of 10 versions, ranging from 0.9.6 to 1.0.2k, were also found across the codebase, with these normally being small sets of files that had been copied to import some particular functionality. There were also a large number of files, again spread across the codebase, that had started life in the OpenSSL library and had been modified by Huawei.

In the later version, there were only 6 copies of 2 different OpenSSL versions, with 5 being 1.0.2k and one fork from a vendor SDK. There remained 17 partial copies of 3 versions, ranging from 0.9.7d to 1.0.2k. The fragments from the 10 different versions of OpenSSL remained across the codebase as do the OpenSSL derived files that have been modified by Huawei. More worryingly, the later version appears to contain code that is vulnerable to 10 publicly disclosed OpenSSL vulnerabilities, some dating back to 2006.

Комментарий коллеги на тему классической цитаты:
У нас было 2 пакета c openssl, 75 форков 5 различных версий, пол-libcrypto и целое множество патчей всех сортов и расцветок, а также gnutls, libressl, nettle и 2 дюжины реализаций aes для python. Не то чтобы это был необходимый запас для базовых станций Huawei, но если начал собирать дурь, становится трудно остановиться. Единственное, что вызывало у меня опасение — это реализация шифра ZUC на php. Ничто в мире не бывает более беспомощным, безответственным и порочным, чем реализация криптографии на php китайскими руками. Но я знал, что рано или поздно мы перейдем и на эту дрянь.

Ещё один коллега в комментариях рассказал про софтину, к которой одновременно статически прилинковали openssl и GnuTLS.

Using gcc sanitisers to get a nasty bug fixed
К описанным в статье директивам компилятора и линкера должны прилагаться ещё и LD_PRELOAD соответствующих библиотек. Без них ничего не летает.

Differential fuzzing of cryptographic libraries
Вот до практического применения этой методологии у меня руки пока не дошли.

Post-Production Editing using Git
Немного git-овой магии про то, как привести коммиты в человеческий вид постфактум. Кое-что пробовал, но в git я на очень базовом уровне разбираюсь, к сожалению.

Часть научная. Статья про характерные периоды времени, когда углерод атмосферы приходит в равновесие с океанами (50 тысяч лет, привет Еськову) и
много что ещё — почему CO₂ рассматривается как основной парниковый газ.

Часть публицистическая. В теорию заговора можно играть вдвоём, и ответ на теорию заговора климатологов и социалистов теорией заговора нефтедобывающих компаний и капиталистов не мог не воспоследовать.

Переселяемся в условное прошлое.

Публикуем крошечным тиражом в "Вестнике Усть-Урюпинска" соответствующей страны основу сюжета, скажем, Гарри Поттера.

Дожидаемся выхода собственно ГП.

Подаём в суд за плагиат, получаем отступные, живём дальше.

Прочитал тут очередную филиппику про то, что смартфон превращает творца информации в её потребителя, с подтекстом, что в советские времена-то ух, творец на творце сидел и творцом погонял.

Вот нифига. Вечер перед телевизором это ещё в больше степени потребление информации, чем перед смартфоном, но дело не в этом. Смартфон позволяет создавать вполне востребованную информацию, и успех Инстаграма и прочих фотосервисов тому порукой. Сделать сиюминутный кадр смартфоном куда проще, чем даже фотоаппаратом, потому что подготовка к съёмке быстрее, а камера местами не хуже. А что на Путлицеровскую премию не потянет — так и средний фотоаппаратный не потянет.

Ну а когда ещё один комментатор мне сказал, что для шедевра обязательно надо как следует помучиться, да ещё с плёнкой из 36 кадров (спасибо, что не написал про необходимость её проявлять собственноручно), тут-то я понял, что хочу то ли ржать, то ли материться. Потому что искусственно ограничивать себя в ресурсе в 90% процентов случаев фигня, а идея, что шедевры творятся от бедности — идиотизм.

Не "люди читают жопой", а "люди демонстрируют феномен кожного зрения поверхностью ягодиц".

Как-то сразу пачка накопилась. Новости разноплановые, кроме криптографии их ничего не объединяет.

Во-первых, поздравляю Станислава Смышляева из «КриптоПро», выбранного на пост сопредседателя группы CFRG в IETF (строго говоря, в IRTF). CFRG занимается довольно «чистой», а не прикладной, криптографией, и Станислав несколько лет вносит вклад в её деятельность. Несколько документов, что более важно — содержательный анализ документов рабочей группы.

Во-вторых, Microsoft исправили баг в валидации сертификатов на эллиптических кривых. Актуален он на 10-ке и двух версиях сервера, 2016 и 2019. Позволяет подписывать поддельными сертификатами устанавливаемый софт и устраивать атаку Man-in-the-Middle. Самый подробный разбор, пожалуй, здесь на аглийском.

В-третьих, я опубликовал свой драфт для IETF, описывающий применение ГОСТ 2012 в DNSSec. Да, ненужное расширение ненужного протокола, но похвастаться хочу. Есть документ, есть реализация.

Самое дурацкое, что бывает в работающей инфраструктуре — Артефакт, Который Всегда Работал и Вдруг Перестал, оставленный Великими Древними в Тайном Месте.

Сегодня на поиск Тайного Места ушла половина рабочего дня у меня и примерно столько же времени у коллег. Тайное место было замаскировано: очень трудно сообразить, что /home/user и ~user — ни разу не одно и то же место.

Телеспикер выглядел серьёзно и несколько неловко в пиджаке.

— Вчера завершилась успехом операция контрразведки, обозначенная как «Электронное голосование». По её итогам задержано 2723 хакера, применивших разного рода эксплойты против новейшей отечественной операционной системы, и уже возбуждено несколько уголовных дел. Но самое главное — мы заставили расчехлиться наших геополитических оппонентов, применивших уязвимости в ряде использованных в процедуре алгоритмов электронной подписи и шифрования. В ближайшее время мы окончательно заменим стандарты, показавшие свою уязвимость, и сможем быть уверены в надёжности отечественной криптографии!

Дальше шёл список награждённых.

Навеяно этой новостью.