Ростелеком опубликовал более чем странный отчёт «Свобода с подвохом» с результатами исследования безопасности 10 открытых приложений. В отчёте не приводятся конкретные сведения, информация о найденных уязвимостях размыта, а выводы делаются, а пустом месте без каких-либо пояснений или подтверждений.
Складывается впечатление, что просто скопировали описание некторых типовых видов уязвимостей и без какого-то логического обоснования расставили цифры. Указано, что была проведена проверка с использованием «автоматизированного сканирования» и «методов статического, динамического и интерактивного анализа. Статический анализ производился в отношении исходного кода приложений в автоматическом режиме», что, скорее всего, свидетельствует, что найденные «уязвимости» ничто иное как предупреждения анализатора или ложные срабатывания, которые не потрудились проверить.
В пользу этой гипотезы может послужить заявление в отчёте, что »4 из 5-ти приложений … содержат такие серьезные бреши, как заданные в исходном коде пустые ключи шифрования и пустые пароли, и встречающиеся в исходном коде в явном виде конфиденциальные данные». Выявление критических уязвимостей отмечено в проектах Krita, Search Everything, LibreOffice, Brave Browser и RetroArch. Как Ростелеком смог там найти пустые ключи и пароли, c учётом специфики упомянутых проектов, совершенно непонятно.
С учётом отсутствия хоть каких-то деталей вызывает недоумение также сделанный исследователями вывод: «Для исследованного свободного ПО характерны такие серьезные бреши, как заданные в исходном коде пустые ключи шифрования, пустые пароли, указанные в явном виде конфиденциальные данные. Эти уязвимости несут серьезную угрозу данным пользователей на тех компьютерах, на которых это ПО установлено.»
Особенно если рассматривать вывод вместе с примечаниями: «однако «Ростелеком-Солар» не гарантирует точности и полноты информации для любых целей» и «Ростелеком-Солар» не несет ответственность за какие-либо убытки или ущерб, возникшие в результате использования любой третьей стороной информации, содержащейся в данном отчете, включая опубликованные мнения или заключения, а также за последствия, вызванные неполнотой или неточностью представленной информации.»
Источник: http://www.opennet.ru/opennews/art.shtml? num=54221
© OpenNet