Comments 95
У меня как раз закончилась подписка на Nortnon. Походу, стоит задуматься над тем, чтобы продлить :)
То есть компания фактически уходит с российского рынка.— мечты Касперского.
Компания остаётся на рынке, а заверениям «Директор компании «Эшелон»» нет доверия из-за его связей с ФСБ.
Symantec поступают правильно. Безопасность продукта важнее.
Отчасти вы уже ответили: то, что Sumantec не желает иметь никаких дел с ФСБ, к которой я не питаю симпатий. Одной шпионской конторой меньше. Касперский, в этом плане, не заслуживает моего доверия, поэтому я предпочёл не использовать его.
Не могли бы дать подробностей?
В документах Сноудена, например, есть информация о том, как ломают антивирусы. Американских антивирусов там нет. Наверное, ломать их не надо, так как они заодно.
https://theintercept.com/2015/06/22/nsa-gchq-targeted-kaspersky/ (первая ссылка)
Лично мне от слежки АНБ ни жарко ни холодно.
Так можно говорить только в том случае, если вы никогда и ни при каких обстоятельствах не собираетесь выезжать за пределы РФ. Если у вас есть хоть какие то намётки посещать буржуйские страны, то как раз лучше пусть ФСБ о вас знает всё, а все западные спецслужбы ничего.
Для физ и юр.лиц ничего не поменяется, если, конечно, вы не работаете в гос.секторе и не приобрели SEP.
КНДР код для аудита тоже вряд ли предоставили.
С другой стороны никто не будет предоставлять исходные коды госорганам какой-либо страны, если есть подозрение, что эти коды могут быть использованы сомнительным способом.
Госорганы любой страны в случае необходимости используют исходный код любым выгодным им способом. Договоренности на высшем уровне существуют только до тех пор, пока их выгодней выполнять, чем нарушать.
Например в США ФБР так и не удалось заставить Apple взломать iPhone, Apple выиграла в суде против ФБР. А теперь представьте такую ситуацию, скажем, в РФ…
Просто в США ФБР и полиция тоже не могут идти против закона.
А эти действия АНБ и не были признаны законными, насколько я знаю.
Да, кому-то трудно представить, что в других странах простой рабочий может иметь свою машину и питаться чем-то кроме риса, другим трудно представить, что в других странах можно реально защитить свои права в суде и выиграть иск хоть к президенту.
Я не спорю, возможно, ваши рассуждения и истинны, проблема в том, что они основаны на вере, а не на фактах. Вере в то, что любое правительство обязательно либо «плохое», либо «хорошее», а также в то, что есть «плохие» и «хорошие» спецслужбы. К сожалению, это не так, ни первое, ни второе.
А вы правда не понимаете разницы между сбором информации "пока никто не видит" и открытым наездом с требованием информацию предоставить, с последующим использованием этого для преследования по закону же? В первом случае собранная "по-тихому" информация не может быть использована для преследования вас по закону, даже если они что-то незаконное таким способом на вас накопают.
они основаны на вере
Факты выигранных судов с ФБР, президентом и т. д. — известны. Косвенные факты инвестиционной привлекательности (люди не хотят держать бизнес и деньги там, где их легко могут отжать и закон не защитит) — тоже есть.
А какие у вас есть факты того, что это "голый пиар Apple" или того, что у них есть какие-то договоренности на высшем уровне по этому поводу?
А ещё там нет эцилоппов и по ночам никто не бьёт ;)
у нас тут в реальности
У вас тут в реальности одно, у других там в реальности — другое. Подходить с одними и теми же мерками ко всем странам довольно бессмысленно, не находите?
Какбы уровень жизни и прочего тут и там тоже намекает на различие в реальностях.
То есть компания не вправе выбирать, каким государствам доверять свои собственные продукты, а каким — нет? И если компания доверяет США или Германии, то она автоматом должна доверять, скажем, КНДР только потому, что КНДР — это тоже государство? Государства разные бывают — одним доверяют, других обходят десятой дорогой.
Разве это не прямое проявленние капитализма? Если рынок ценный отдаешь исходники, если не очень то держишь позицию, что для тебя важнее всего конфеденциальность.
И даже больше — скорее всего будет этот продукт на рынке. И наверняка есть. Скорее всего, пошли в какой-то тендер, связанный с госкомпаниями, а там было требование открытия кода. Не более того. Максимальный риск для бизнеса Symantic в России — проиграть этот конкурс.
А на конкурсах конкретно я лично не видел требований по раскрытию данных. Вот в то, что это демарш от безысходности — верю вполне. После начала компании импортозамещения иностранные антивирусы вычищают из госсектора и близких компаний активно
Я бы удивился если бы тот же Symantec предоставлял код с явными бекдорами в этом случае.
Но ведь предоставление исходного кода не гарантирует что бинарники собраны именно из этой версии кода.
Не знаю как там у остальных разработчиков, но в случае с Microsoft если куплена ФСТЭКовская версия продукта то систему надо ставить с диска, полученного от ФСТЭК, а апдейты (которые выходят крайне редко) со спец. портала ФСТЭК. Только тогда гарантируется соответствие ПО их сертификации.
Эти контрольные суммы, по всей видимости, как раз снимает испытательная лаборатория скомпилировав исходники. Иначе какой смысл.
Если мы тут говорим про возможность использования Ken Thompson Hack — то да, это (на тот момент) было возможно. Билд-инфраструктура не валидировалась.
Так что вся эта безопасность — это фарс и получение денег из воздуха. Аттестация оборудования — та же песня. Приближенные к ФСТЭК фирмочки похоже лепят голограммы, произведя в лучшем случае визуальный осмотр. Нам как-то аттестовали сиску за час, хотя мы не просили такой спешки. При всех регламентных действиях за такое время не управишься.
В общем, тут не нужно обольщаться. Аттестация и сертификация — это традиционные элементы бумажной безопасности, не более того. Вся эта машина крутится для имитации бурной деятельности. И если действительно будет спланированная атака, вся эта аттестованная инфраструктура встанет колом. Поэтому так важно развивать свое производство ПО и оборудования. Хорошо, что у нас есть и то и то, но вот масштабы не покрывают потребность страны, плюс в реестры за каким-то хреном вписывают оборудование потенциальных противников. Точнее, за каким хреном понятно, но вот непонятно когда это прекратится.
Тогда придётся вырезать эвристический анализ и пр., за чем охотятся конкуренты. А это уже намного легче проверить
Ну копали они исходники Windows с черт знает какого года, а толку? Недавние события по WannaCry показывают, что это бесполезно! Все эти годы была опаснейшая уязвимость, о ней знали в ЦРУ, наверняка ей пользовались в таргетированных атаках. И где был ФСТЭК, почему при аудите кода не нашли? Или они там ищут в текстах комментарии «вот тут бэкдор» или методы с именами backdoor? Как отличить намеренно зашитую уязвимость, от ошибки программиста?
С того, что Викиликс публикует сотф спертый у ЦРУ, а не у ФСБ?
Вся эта сертификация какой-то бред изначально.
Это вовсе не бред, а халявная кормушка для:
- контор, имеющих аккредитацию на проведение сертификации (фактически, узаконенная и принудительная торговля воздухом)
- чиновников, раздающих эту аккредитацию (продающих право продавать воздух)
конечно бред, linux пилит огромное сообщество, код изначально открытый и то там периодически находят дыры, а тут дали группе спецов поковыряться в наборе исходников, ну не найдут они там ничего, это как пытаться слепому нарисовать план города.
Частникам, не гос структурам имеют права продавать, никакая сертификация не нужна, никуда они не уйдут.
И че то, мне кажется, у семантека продаж в гос сектор и раньше особо не было.
1. Проверяющая организация просто получила чемодан денег, потому что без ее одобрения применение продукта невозможно (эдакий вариант «законной» взятки).
2. Проверяющая организация абсолютно некомпетентна, т.к. пропустила серьезные уязвимости.
3. Проверяющий намерянно пропустил серьезные уязвимости (саботаж?).
Мне кажется, вы путаете понятие "закладка" и "уязвимость". Никто не ищет все ошибки при аудите, ищут преднамеренно оставленные бекдоры. Даже бекдор вида "а тут мы не проверим размер буфера перед выполнением содержимого" может оказаться заметным при аудите. В конце концов не обязательно вчитываться в алгоритм, ну не знаю, round robin, чтобы понять, что он изолирован и не представляет опасности.
Я так подозреваю, что аудит по большей части состоит в grep -i 'NSA|backdoor|master key'. Глазами просмотреть исходный код даже критических компонентов Windows, даже не вчитываясь, малореально. Что уж говорить про глубокий анализ.
допустят на российский рынок
А кто-нибудь может объяснить что означает эта фраза? Вот есть магазин Google Play, там сотни тыщ «западных компаний» (почему кстати правила не касаются восточных компаний, а также северных и южных). И вот я, гражданин РФ находящийся в России, покупаю в Google Play одно из этих приложений. Вопрос: кто из нас троих (я, гугл, разработчик) находится на российском рынке? Кто из нас на него допущен? Я не верю что все эти сотни тыщ компаний предоставляли в ФСБ свои исходники. Что по задумке должно происходить с недопущенными компаниями?
Мне всё-таки таки кажется, что речь в статье шла о гос. закупках. Слово "рынок" вносит слишком большую путаницу, зря его добавили в статью. И то мне кажется, что речь далеко о всех госпредприятиях. Никто ведь не будет проверять используемый в школах или университетах софт.
В случае приложений для смартфонов — ну, исходники по сути есть только у разработчиков. Другой вопрос, что государство скорее всего обратится к производителю телефонов, а тот переадресует запрос к Гуглу или разработчикам приложений.
Ни слова про госзакупки в тексте не нашел. Ну и последняя фраза понимается вполне однозначно:
После отказа показать исходники Symantec больше не сможет продавать в России некоторые корпоративные продукты.
Russian authorities are asking Western tech companies to allow them to review source code for security products such as firewalls, anti-virus applications and software containing encryption before permitting the products to be imported and sold in the country.
Если бы сертификация была поголовной для всего ПО, в том числе для личного использования, то тогда бы ещё можно было понять опасения такого характера, что «товарищ майор» встраивает трояны во всё сертифицируемое ПО, чтобы потом следить за всеми гражданами страны. Но в действительности сертификации подлежит только ПО, которое будет использоваться в закрытых системах (где гостайна и прочие аспекты).
Неужели тем, кто никаким образом не соприкасается с закрытыми системами и сертификацией, имеет смысл опасаться сертифицированных сборок ПО?
И ещё. Сертификация != поиск уязвимостей и т.д.
На примере той же Windows логично предположить, что никакая сертификация и близко не соизмерима с тем бюджетом, который Microsoft ежегодно самостоятельно тратит на анализ своих продуктов (тестирование, поиск программных дефектов и т.д.).
Апдейты выходят так часто, как это решает производитель ПО. ФСТЭК решило эту ситуацию немного переломить, чтобы производители активнее выпускали обновления.
Странно винить в качестве продукта кого угодно, но только не производителя продукта. Не так ли?
Сертификация не является процессом, в результате которого ПО становится неуязвимым. Сертификация направлена на оценку соответствия ПО требованиям того или иного Ведомства. Это, в большей степени, требования к функциональным возможностям ПО, чем к качеству его кода.
Можно привести такой пример. Есть производитель ОС, он регламентирует как под этой ОС должны функционировать те же антивирусные средства, а именно предъявляет требования по функциональным возможностям этих средств, регламентирует механизмы их встраивания в ОС и т.д. Оценка соответствия стороннего антивируса требованиям производителя ОС можно считать такой же сертификацией.
Ведомственные сертификации занимаются тем же самым. Различными производителями выпускается много различных ОС (я про отечественные), средств защиты различного назначения (как аппаратных, так и программных) и т.д. Основная суть сертификации в том, чтобы всё это потом вместе дружно заработало и выполняло заявленный функционал.
Вы же, если настраиваете, например, хостинг на одном из Linux-дистрибутивов, то наверняка же в интернете читаете различные статьи по безопасной настройке Linux, ставите дополнительное ПО для поиска руткитов (и смотрите в интернете какое ПО кто рекомендует) и т.д. Т.е. частично опираетесь на экспертное мнение тех людей, квалификация которых позволяет давать компетентные рекомендации. Однако того или иного совета можете придержаться или не придержаться, решение целиком за вами, все риски тоже целиком на вас. Потеря/искажение информации принесёт ущерб только вам или вашей компании. А в закрытых системах такой же принцип, только вместо интернета есть регулятор. Вот и вся разница.
Разговоры о том, что регулятор или лаборатория трояны встраивают — паранойя. Если из-за этого трояна произойдёт утечка гостайны, то кто за это будет нести ответственность?
Апдейты выходят так часто, как это решает производитель ПО
Если бы оно было так. Только после проверки испытательной лабораторией. А это не быстрый процесс
ФСТЭК решило эту ситуацию немного переломить, чтобы производители активнее выпускали обновления
Поскольку все проходит через испытательные лаборатории — они как-то не хотят работать бесплатно. И за пять копеек тоже не хотят
Не стоит доверять сказкам ФСТЭК. Полный ИК — как был 6 примерно месяцев, так и остается.
Если бы оно было так. Только после проверки испытательной лабораторией. А это не быстрый процесс
Это не отменяет того факта, что обновление не возникнет из ничего без инициативы производителя ПО. Позиция ФСТЭК сейчас такая, что обновление, направленное на устранение уязвимостей можно применять сразу после выпуска, до завершения процедуры инспекционного контроля. Разве не так? Или Лютиков, публично оглашающий данную позицию, вводит отрасль в заблуждение?
Поскольку все проходит через испытательные лаборатории — они как-то не хотят работать бесплатно. И за пять копеек тоже не хотят
Само собой. И так везде, не только в Ведомственных системах сертификации, и не только в РФ. Можно подумать, что RedHat после сертификации RHEL на Common Criteria не досертифицирует обновления или новые версии.
Это раз. Два. Ну выпустим мы обновления. По текущему порядку пользователь обязан получить формуляр с контрольными суммами (и наклейку в придачу). При апдейте контрольные суммы слетят, значит нужен новый формуляр. А это покупка у нас (а у кого еще?) новой коробки. Маразм. Хотят апдейты, пусть отменят наконец эти коробки
Не совсем понял что подразумевается под работать в ОС. Речь о чём, о создании автоматизированных систем или сертификации какого-то ПО?
Вопрос чисто для собственного развития: есть некая ОС версии 1 с присвоенным децимальным номером. Производитель что-то там допиливает (багфиксы, апдейты, по мелочи) и выпускает ОС версии 2 под тем же децимальным номером. Получается, что во ФСТЭКе нужно проходить сертификацию с самого начала, нельзя дотематить и провести ИК с выдачей сертификата на новую версию?
Недостатки, согласен. Нужно их доносить до регулятора. В целом это чисто специфика ФСТЭКа, не во всех системах сертификации так.
Но это еще ладно. Тут хотя бы формально название остается Windows 10 и могут закрыть глаза на формуляр. Хуже если в формуляре было прописано какой SP2, а вышел SP3 или вышла какая windows 11 за время сертификации (напомню она 8 месяцев) — это стопудово новый формуляр и новая сертификация. По ИК недьзя
Есет только как-то договорился об общих системных требованиях без указания ОС в формуляре. Но только для Линукса
По российскому законодательству, западные компании обязаны подчиниться запросу ФСБ и предоставить для ознакомления исходный код своих проприетарных программ, прежде чем их допустят на российский рынок — власти хотят убедиться, что в программах нет встроенных бэкдоров. Этому требованию подчиняются все компании.
По какому именно? Не существует никаких запросов ФСБ. Ознакомьтесь с нормативно-правовой базой по сертификации перед тем, как писать такую ерунду и провоцировать страхи. Сертификация добровольная. Кто хочет продавать ПО в те организации, где строятся закрытые системы, обрабатывающие гостайну, тот идёт и сертифицируется. Кто не хочет — тот не сертифицируется. Никто никого не заставляет. Демократия.
В свою очередь, сами компании говорят, что у них нет другого выбора. Если они не предоставят исходный код, их не пустят на рынок.
Никого не удивляет, что пищевые продукты должны удовлетворять опредённым требованиям и если в них обнаруживают какую-нибудь инфекцию, то партию уничтожают и запрещают их дальнейшую продажу? Почему-то не слышно, что производители отстаивают своё право поставлять продукцию, не удовлетворяющую санитарно-эпидемиологическим требованиям.
В последние годы резко выросло количество запросов на аудит исходного кода продуктов Microsoft.
От кого эти запросы? Сертификация продуктов Microsoft происходит по инициативе заявителя. Кто являлся заявителем можно посмотреть в сертификате. Внезапно одним из заявителей указано представительство Microsoft в РФ.
Например, исходный код продуктов компании SAP российские специалисты проводили в защищённой лаборатории SAP в Германии.
npoechelon, у вас там ещё никого не посадили за это?
Из полезной информации: Symantec не будет передавать ВСЕ свои продукты на сертификация на отсутствие недекларированных возможностей, остальное журналистская слизь.
Symantec отказалась предоставить исходные коды для аудита в России