Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 118
Не понимаю, почему само агентство пытается наладить сотрудничество с Apple, Sun и Red Hat, а не наоборт?
Потому что в винде бэкдор уже есть, нужно теперь в другие системы вмонтировать.
это спорно, это просто мегариск — умных людей много в мире кто занимается реверсингом винды, и если они его найдут — майкрософт просто сотрут в порошок после такого заявления.
либо если там бекдор есть — он замаскирован так что это достойно нобелевки наверное.
либо если там бекдор есть — он замаскирован так что это достойно нобелевки наверное.
Фигня получится. В ответ-то не пакеты данных прилетят.
Разумеется, что ядерные боеголовки надо слать специальными UDP-ракетами — подтверждение от получателя о доставке обычно не интересно ;)
Да. Не думаю, что оборона и инфраструктура на винде, поэтому бесполезно так в открытую что-то делать.
IPTV работает обычно через IGMP, т.н. «мультикаст» — вещание в группах. Участововать или нет в группе определяет маршрутизатор подсети. А «экранчики» показывают ethernet-пакеты, по-любому должны у вас светиться если к вам что-то идет (IGMP находится на одном уровне с IP).
А ничего что у Китая в основном линукс стоит?
Это средние показатели по всему миру.
Тем не менее в Китае многие государственные учреждения работают под Linux. А в планах перевести все.
И не только в Китае.
Большинство государственных структур во всём мире пользуются *nix
Возьмите тех же самых наших военных.
А вот ботнет не плохой бы получился бы их машинок под окнами
Да история с Хр хорошо помниться.
p.s. Если и кто обнаружет бекдор, то это врятли всплывет в паблик. (Проще заставить человека замолчать, чем потом оправдываться перед всем миром)
Большинство государственных структур во всём мире пользуются *nix
Возьмите тех же самых наших военных.
А вот ботнет не плохой бы получился бы их машинок под окнами
Да история с Хр хорошо помниться.
p.s. Если и кто обнаружет бекдор, то это врятли всплывет в паблик. (Проще заставить человека замолчать, чем потом оправдываться перед всем миром)
А можно пруфлинк или номер обновления?
Кстати да. Никто не помнит, возможность принудительного обновления была до того случая официально озвучена?
А в ответ китай посылает свои датаграммы, от которых железки, сделанные в китае, превращаются в тыквы.
Ну он же необходим, значит он есть.
Не важно как, но АНБ должно иметь доступ к данным. Просто они это организуют неочевидным способом.
Не важно как, но АНБ должно иметь доступ к данным. Просто они это организуют неочевидным способом.
Были инциденты с IBM (к сожалению не могу найти сейчас источников). И ничего живет. :)
Если кто-то найдёт бэкдор в винде, то потом долго это человека никто не сможет найти. Может поэтому ещё не найдены в ней подобные штуке? АНБ ведь всётаки! Не шутки!)
нет смысла внедрять бекдор прямо в ОС. если вдруг понадобится — есть же windows update :)
Криптография — это область а не система. Криптография существовала тысячелетия назад до появления компьютеров.
«Вы бы подумали прежде чем писать.» — как раз вам хотел написать, но решил быть вежливым. P.S. А еще существуют такие службы доставки. Понятно что кто-то должен шифровать, а кто-то доставлять. Более того, даже школьники знают, что шифрование — не единственное чем занимается криптография…
Это называется «криптографические алгоритмы».
Там нет «или», это разные вещи. Криптография — это наука, она не может быть слабой или сильной. О чём вам и сказал SerrNovik. Не говоря о том что криптография не может принадлежать к «системам безопасности». Скорее некоторые системы безопасности имеют отношение к криптографии.
«Сильными» или «слабыми» могут быть криптографические алгоритмы или их реализации.
«Сильными» или «слабыми» могут быть криптографические алгоритмы или их реализации.
1. Понятно, но не всем.
2. Разжевывать не надо, надо быть точнее и не учить неправильному людей, которые не знакомы с криптографией, но читают нас. Именно для точности и понятности и существует терминология.
3. Не надо примитивных приёмов присвоения бредовых мыслей через «как бы вопрос». Я ведь тоже могу начать «Или по-вашему криптография не наука и безопасность от неё не зависит?»
Ведь вот после таких «обобщений» люди и думают, что Интернет — это Internet Explorer, а корпус компьютера называют «процессором»
2. Разжевывать не надо, надо быть точнее и не учить неправильному людей, которые не знакомы с криптографией, но читают нас. Именно для точности и понятности и существует терминология.
3. Не надо примитивных приёмов присвоения бредовых мыслей через «как бы вопрос». Я ведь тоже могу начать «Или по-вашему криптография не наука и безопасность от неё не зависит?»
Ведь вот после таких «обобщений» люди и думают, что Интернет — это Internet Explorer, а корпус компьютера называют «процессором»
1. Не важно учишь или нет. Люди же читают. По этому и появились уточнения.
2. По чём видно и кому видно и что значит «уровень ресурса»? Если в том что криптографию относят к части безопасности системы, то да, уровень заметен.
3. Я не спрашивал на какие вопросы вы отвечаете, так что, к чему эта фраза? Я просто попросил без передёргивания.
2. По чём видно и кому видно и что значит «уровень ресурса»? Если в том что криптографию относят к части безопасности системы, то да, уровень заметен.
3. Я не спрашивал на какие вопросы вы отвечаете, так что, к чему эта фраза? Я просто попросил без передёргивания.
1. Это печально, что до вас так трудно доходит.
2. Нет, за бредовость аргументов. Вам уточнили про криптографию, вы упёрлись, да ещё и аргументы смешные приводили. Вот и заминусовали.
3. Вопрос тоже может быть компрометирующим, или поставленным так, что он уже что-то подразумевает под собой. Я попросил так вопросы не формулировать. Что не понятно?
2. Нет, за бредовость аргументов. Вам уточнили про криптографию, вы упёрлись, да ещё и аргументы смешные приводили. Вот и заминусовали.
3. Вопрос тоже может быть компрометирующим, или поставленным так, что он уже что-то подразумевает под собой. Я попросил так вопросы не формулировать. Что не понятно?
хммм — ru.wikipedia.org/wiki/%D0%9A%D0%B8%D0%B2%D0%B8_%D0%91%D1%91%D1%80%D0%B4
открываем его (их) сайт — kiwibyrd.chat.ru/
открываем про GSM — kiwibyrd.chat.ru/gsm/gsm.ru.htm
и пытаемся прочитать — работает только одна ссылка
открываем его (их) сайт — kiwibyrd.chat.ru/
открываем про GSM — kiwibyrd.chat.ru/gsm/gsm.ru.htm
и пытаемся прочитать — работает только одна ссылка
Извините не очень понял… :)
На всякий случай: я не к автору привязывался — а к тем моментам которые в его статье указаны.
А если интересно еще его почитать — то лучше это делать на сайте Компьютерры (в вики есть ссылка на подборку его статей), про домашнюю страничку я от вас услышал — а информация на ней… ну-у… устаревшая не то слово :)
статья про GSM печаталась в журнале в 2000 году.
На всякий случай: я не к автору привязывался — а к тем моментам которые в его статье указаны.
А если интересно еще его почитать — то лучше это делать на сайте Компьютерры (в вики есть ссылка на подборку его статей), про домашнюю страничку я от вас услышал — а информация на ней… ну-у… устаревшая не то слово :)
статья про GSM печаталась в журнале в 2000 году.
АНБ — это не те же люди, которые говорили, что в Ираке навалом химического оружия? :)
конечно мы все им верим на слово :)
конечно мы все им верим на слово :)
А помните когда про NSAKey в Windows 2000 писали? Замяли тему что ли?
Бэк по дешевке, никому не надо? ;)
Конечно, если бы там был бэкдор, они бы сразу признались. =)
После заключения некоторых договоренностей — с радостью и умилением смотрят :)
Читайте статьи (ссылка выше в моем посте) — там описано.
Читайте статьи (ссылка выше в моем посте) — там описано.
Возможно, с отчаянием.
Перед использованием, например в вооруженных силах, ПО проходит дорогостоящую сертификацию, где проводится как статический анализ(проверка исходных текстов), так и динамический(во время выполнения). Занимаются этим аккредитованные в ФСТЭК(Федеральная служба по техническому и экспортному контролю) испытательные лаборатории.
Проверяется не только Windows, по-моему последний раз исходники win2000 утекли как раз в результате такой сертификации. но это уже мелочи жизни…
Проверяется не только Windows, по-моему последний раз исходники win2000 утекли как раз в результате такой сертификации. но это уже мелочи жизни…
угу, и они там после такой проверки находят все уязвимости и лечат их .))))
Только вот пользоваться этим windows опасно. Так как обновления поставить на него низя.
Хм… а действительно… ведь каждое обновление должно проходить дорогостоящую сертификацию.Значит ли это что некоторые слабофинансируемые правительственные органы пользуются необновленными компонентами?
В документе «Государственный реестр сертифицированных средств защиты информации Системы сертификации средств защиты информации по требованиям безопасности информации» есть разные версии windows xp (OEM/Embedded) от sp1a до sp3 c разными оценочными уровнями доверия и классами защищенности. Но там задание по безопасности не на обновления, а на систему в целом. Так что сертифицированных обновлений у ФСТЭК'а на windows xp нету.
Не знаю какую сертификацию проходит ПО, но лично видел как раздаются наклейки на типа сертифицированные ФСБ компы (если интересно, могу выложить фотку такой наклейки)… Все легально и официально, но по сути без проверок, тока плати денежку. Вообще, что касается сертификации (в той области, где мне довелось поработать) — просто побор денег за выдачу фантиков и ничего больше. Одна профанация.
Quickpost this image to Myspace, Digg, Facebook, and others!Обычно под такой наклейкой подразумевается не только отсутствие закладок в ПО, но и в аппаратной начинке (например от ВЧ навязывания). То есть как минимум с наклейкой должен быть документы в каких условиях этот компьютер должен использоваться.
>… ПО проходит дорогостоящую сертификацию, где проводится как статический анализ(проверка исходных текстов)...
Исходные тексты всех обновлений тоже проверяются? Иначе при первом же прилетевшем обновлении эта «дорогостоящая сертификация» летит псу под хвост.
Исходные тексты всех обновлений тоже проверяются? Иначе при первом же прилетевшем обновлении эта «дорогостоящая сертификация» летит псу под хвост.
А, чёрт, уже сказали выше. Извиняюсь.
И как правило летит, поскольку юзеры включают обновления. Но всем пофиг.
Допустим пользователь ставит linux.
Если он сам из исходников ничего не компилирует, то имеет теже бинарные пакеты и обновления.
Кто мне может 100% гарантировать, что бинарник и исходники совершенно идентичны?
Если nvidia тоже под колпаком у АНБ, то ко мне бекдоры могут придти вместе с дровами и тд…
Если он сам из исходников ничего не компилирует, то имеет теже бинарные пакеты и обновления.
Кто мне может 100% гарантировать, что бинарник и исходники совершенно идентичны?
Если nvidia тоже под колпаком у АНБ, то ко мне бекдоры могут придти вместе с дровами и тд…
Прочитайте, пожалуйста, внимательно тот пост, на который я отвечал. Мы тут, кажется, говорим не совсем о простых пользователях. А эти самые «не простые» пользователи, как мне кажется, могут себе позволить заморочиться сборкой из исходников. Тем более что самостоятельная [пере]сборка пакета из репозитория не составляет никаких сложностей, и я сам недавно описывал процедуру тут, на Хабре.
>Кто мне может 100% гарантировать, что бинарник и исходники совершенно идентичны?
Соберите сами и сами себе гарантируйте :)
>Если nvidia тоже под колпаком у АНБ, то ко мне бекдоры могут придти вместе с дровами и тд…
Есть свободные дрова.
>Кто мне может 100% гарантировать, что бинарник и исходники совершенно идентичны?
Соберите сами и сами себе гарантируйте :)
>Если nvidia тоже под колпаком у АНБ, то ко мне бекдоры могут придти вместе с дровами и тд…
Есть свободные дрова.
>Есть свободные дрова.
Знаю.
>Соберите сами и сами себе гарантируйте
Много ли людей, которые до сих пор пересобирают все пакеты? Ну а вообще вы правы мы о разных группах пользователей говорим. Если есть некая организация(структура), которая может проверить весь поступающий к ней код в том числе и код обновлений и патчей, то это одно.
А то что пользователь пусть и продвинутый пересоберет все сам, при этом не заглянув в код, качественно ничего не меняет. Все так же основано преимущественно на доверии, просто в случае с исходниками, конечно, возможность контроля существенно возрастает.
Знаю.
>Соберите сами и сами себе гарантируйте
Много ли людей, которые до сих пор пересобирают все пакеты? Ну а вообще вы правы мы о разных группах пользователей говорим. Если есть некая организация(структура), которая может проверить весь поступающий к ней код в том числе и код обновлений и патчей, то это одно.
А то что пользователь пусть и продвинутый пересоберет все сам, при этом не заглянув в код, качественно ничего не меняет. Все так же основано преимущественно на доверии, просто в случае с исходниками, конечно, возможность контроля существенно возрастает.
Специально для гос.органов и т.д., бэкдор'чик деактивируют/удаляют… но это так, юмор.
На хабре желтая пресса? Круто… :(
Если мыслить более параноидально, чем сейчас, то вполне можно предположить, что в остальных ОС бэкдоры «сидят» уже давно (разумеется, там, где они в принципе могут быть), а MS — «козел отпущения».
О каких ОС вы говорите?
Об ОС с закрытым исходным кодом, надо полагать. Собственно, я ведь не знаю, чай, не инсайдер АНБ.
Я не более чем предполагаю, что Microsoft призван отводить глаза.
Я не более чем предполагаю, что Microsoft призван отводить глаза.
И сколько вы таких ОС знаете (кроме винды) имеющих хоть какую-то значимую распространенность?
iphone OS — у них серьезная доля рынка устройств. Естественно в одном ряду с Blackberry OS — также закрытая и популярная в США. Mac OS — за исключением некоторых компонентов, ОС закрытая (ядро и cups не так уж много значат на фоне всей остальной системы; впрочем, есть opensource.apple.com, но он полезен разве что разработчикам под эту ОС).
У вас тут же контраргумент — их мало! Конечно, их мало. Компьютеров Apple мало на фоне сами-знаете-чего, Blackberry тоже вёдрами не продают на каждом углу. Однако следует принять во внимание то, какой процент компьютеров с windows используется не для игры в косынку и просмотра фотографий в социальных сетях с 10 до 18 часов, а для действительной работы.
Тогда, может быть, обнаружится сравнимость количества устройств с windows и устройств с другими ОС, на которых есть ценная информация :)
Может быть, айрони, а может быть, и нет.
У вас тут же контраргумент — их мало! Конечно, их мало. Компьютеров Apple мало на фоне сами-знаете-чего, Blackberry тоже вёдрами не продают на каждом углу. Однако следует принять во внимание то, какой процент компьютеров с windows используется не для игры в косынку и просмотра фотографий в социальных сетях с 10 до 18 часов, а для действительной работы.
Тогда, может быть, обнаружится сравнимость количества устройств с windows и устройств с другими ОС, на которых есть ценная информация :)
Может быть, айрони, а может быть, и нет.
Узнаем наверняка, когда семерка получит или не получит сертификат ФСТЭК, и будем наедятся что ее проверяли честно, ну вы поняли…
> Сейчас АНБ пытается наладить сотрудничество с Apple, Sun и Red Hat…
Не трожьте красношапок! Да и остальных тоже не надо. У данных компаний и без АНБ операционки куда защищённее форточек.
Не трожьте красношапок! Да и остальных тоже не надо. У данных компаний и без АНБ операционки куда защищённее форточек.
У данных компаний и без АНБ операционки куда защищённее форточек.
Если говорить формально, то уже давно «с АНБ», а не «без». Red Hat начиная с RHEL 4 поддерживают SELinux — разработку АНБ, как в прочем практически все другие крупные дистрибутивы. Я правда не считаю, что там есть бэкдор.
en.wikipedia.org/wiki/Security-Enhanced_Linux
Ну допустим внедрят бэкдор в RH. Об этом сразу же все узнают(или есть сомневающиеся?) и сразу имиджу RH будут нанесен ппц какой удар. Оно им надо?)
Не обязательно делать очевидную дырку.
Видете ли, АНБ преследует прежде всего национальную выгоду. Или, по вашему, АНБ принесёт в open source что-то гениальное и системы станут защищены от всего? Для этого надо изолировать сервера и физически отключать от сети.
Видете ли, АНБ преследует прежде всего национальную выгоду. Или, по вашему, АНБ принесёт в open source что-то гениальное и системы станут защищены от всего? Для этого надо изолировать сервера и физически отключать от сети.
Так а что за национальная выгода? В смысле, в чем она. Поделитесь, пожалуйста.
Продуктами пользуются множество компаний по всему миру. Красношапки под крылом США, следовательно, последним выгодно, чтобы некоторые дыры, обнаруженные внутренними сотрудниками и не разглашённые, не латались. В итоге в случае конфликтов спецслужбы смогут парализовать те машины противника, которые работают под определённой ОС.
Грубый пример, конечно, но очень даже реальный, если ошибку очень трудно обнаружить и она специфична для конкретной ОС / дистрибутива.
Грубый пример, конечно, но очень даже реальный, если ошибку очень трудно обнаружить и она специфична для конкретной ОС / дистрибутива.
а мне кажется, что заявление о том, что в случае обнаружения бэкдора в Windows последствия для бизнеса Microsoft были бы катастрофическими полная ерунда. любая созданная умышленно уязвимость, позволяющая выполнить код — тот же самый бекдор, только в случае обнаружения его, никто ничего не заподозрит, а дырку закроют.
Кстати, не поэтому-ли винда такая дырявая? Найденные дырки закрывают, новые добавляют. В теории, к появлению практически любой дыры могло приложить руку NSA.
ну недавно и в линукс закрыли очень крутую дырку, которая хрен знает сколько времени там была. так что дырявая не только винда )
А можно ссылку на крутую дырку?
да хотя бы это itua.info/news/security/21921.html
Практически всё продукты дырявые, но у СПО есть одно большое преимущество открытые исходники в которых можете копаться по желанию.
А вот у ms исходники закрыты, а если кто и докапается до истины, то далеко это не уйдёт
Практически всё продукты дырявые, но у СПО есть одно большое преимущество открытые исходники в которых можете копаться по желанию.
А вот у ms исходники закрыты, а если кто и докапается до истины, то далеко это не уйдёт
Ну локальная уязвимости это не такая критическая. В отличие от тех которые сетевые.
Вот скажем в Debian n-ое количество лет был патч который в openssl «отключал криптографию». Ну и не особо открытые исходники помогли.
Вот скажем в Debian n-ое количество лет был патч который в openssl «отключал криптографию». Ну и не особо открытые исходники помогли.
Локальная — не интересно. У меня вот facepalm случился когда увидел новость о win7 про падение от специально сформированного пакета, хотя вроде в итоге оказалось что 7 не подвержена, зато виста и 2008 — вполне.
АНБ — Анненербе :) Не могу избавиться от ассоциации.
Люди типа xaoccps.habrahabr.ru/ от таких топиков ссут кипятком))))
> Сейчас АНБ пытается наладить сотрудничество с Apple, Sun и Red Hat в области безопасности > операционных систем
Уже понятно, что сами себя выдали. Если они пользуются одной системой, то заботятся о безопасности одной системы, а не сразу всех. Люди не нужно быть такими наивными, бэкдор точно есть, но не возможно определить намерено это сделано товарищами из АНБ или по ошибке программиста.
Уже понятно, что сами себя выдали. Если они пользуются одной системой, то заботятся о безопасности одной системы, а не сразу всех. Люди не нужно быть такими наивными, бэкдор точно есть, но не возможно определить намерено это сделано товарищами из АНБ или по ошибке программиста.
Одному мне пришёл в голову вопрос:
«А может поэтому Билл Гейтс получил такой успех в этом не лёгком деле — зарабатыванию миллионов?»
«А может поэтому Билл Гейтс получил такой успех в этом не лёгком деле — зарабатыванию миллионов?»
>«Microsoft никогда не внедряла и не будет внедрять «бэкдоры» в Windows», — заявил вчера официальный представитель компании.
И глаза такие честные-честные…
Сразу вспоминается, как пару лет назад на компы юзеров прилетело принудительное обновление, которое устанавливалось даже при отключённом виндовс-апдейте, не выводя никакого оповещения.
Клоуны, блин… =\
И глаза такие честные-честные…
Сразу вспоминается, как пару лет назад на компы юзеров прилетело принудительное обновление, которое устанавливалось даже при отключённом виндовс-апдейте, не выводя никакого оповещения.
Клоуны, блин… =\
> Многие эксперты склонны верить этому заявлению, потому что в случае обнаружения бэкдора в Windows последствия для бизнеса Microsoft были бы катастрофическими. Это просто слишком рискованно.
Да-да. Обтряхнулись и дальше пошли. Старая история. Сколько уж их раз уличали в подобном.
Да-да. Обтряхнулись и дальше пошли. Старая история. Сколько уж их раз уличали в подобном.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Microsoft опровергает наличие бэкдора в Windows 7