Из-за нашумевшей ошибки Heartbleed, а также последующего создания CII (Core Infrastructure Initiative) была опубликована новая технологическая карта по развитию OpenSSL с целью ускорить разработку и стать более открытым проектом для других.
Напоминаем, что проекту OpenSSL после инцидента крупные компании в интернет-отрасли выделили финансирование через специально созданный фонд, которое позволило нанять двух разработчиков на полную ставку, а также провести внешний аудит безопасности программного обеспечения. Технологическая дорожная карта была представлена в начале этой недели и содержит цели для новых разработчиков.
В карте подчёркивается наличие множества нерешённых проблем в проекте, и запланировано их решение. Например, первичный комментарий от разработчиков на отчёт об ошибке должен будет поступать в течение четырех рабочих дней. И если проект способен закрыть эту задачу уже сейчас, то формирование адекватного стиля для кода программы займёт три месяца, а пересмотр публичного API с целью снижения сложности может потребовать год, как написано в технологической карте. Помимо этого, проекту придётся решать и другие проблемы, среди которых накопившиеся отчёты об ошибках, неполная и некорректная документация, недостаточный анализ кода, отсутствие плана по выпуску новых релизов и так далее.
По сообщению немецкой вещательной компании ARD, Агенство национальной безопасности США использует программу XKeyscore для наблюдения и сбора информации о людях, интересующихся конфиденциальностью в сети.
Немецкие специалисты по безопасности докладывают, что при помощи XKeyscore АНБ наблюдает за серверами Tor по всему миру, также под наблюдение попали пользователи дистрибутива Tails, который использует сеть Tor для всех соединений, и те, кто интересуется как использовать библиотеку Truecrypt в дистрибутиве Tails. Помимо этого, АНБ хранит информацию об IP-адресах людей, интересующихся сохранением конфиденциальности в сети. А сайт Linux Journal был внесён в список «экстремистских форумов», его пользователи приравнены к «экстремистам», соответственно.
Наряду с Linux Journal были отмечены следующие сайты: HotSpotShield, FreeNet, Centurian, FreeProxies.org, MegaProxy, privacy.li и сервис анонимной электронной почты MixMinion. Пристальный интерес для АНБ представляют запросы: TAILs или Amnesiac Incognito Live System вместе с «linux», «USB», «CD», «secure desktop», «IRC», «truecrypt» и «Tor». Именно у посетителей перечисленных сайтов и пользователей поисковых систем с такими запросами АНБ сохраняет IP-адреса для последующего анализа. Что касается серверов Tor, то под наблюдение попали два сервера в Германии, сервер в Массачусетском технологическом институте, в Швеции, Австрии и Нидерландах.
Ранее, в «Директиве 28», выпущенной президентом США Бараком Обамой, было указано, что XKeyscore — это аналитический инструмент, который используется АНБ полностью легально, согласно всем нормам закона, и его использование находится под строгим надзором на разных уровнях. Однако исследованный немецкими специалистами исходный код заставляет усомниться в легальности использования XKeyscore не только на территории Германии, но и, собственно, в самих США.
