Pull to refresh

Comments 26

Он явно бы не прошел сертификацию.

Слышал я как-то истории о том, как сертификация у продуктов безопасности проходит (связанные с биометрией или шифрованием). Берётся код, ставиться на полку. Чтобы если что — можно было всё проверить. В реальности код никто не смотрит. Да и как ты поймаешь ошибку в сложной мат-модели, если автор захотел её запрятать.
Конечно, наверное какие-то продукты особой важности могут честно сертифицироваться. Но это сколько денег нужно потратить и времени. Это нужно в каждой мат модели разобраться, в каждой подгоночной константе.
Конкретно мне доводилось участвовать в разработке ПО для определенного типа оборудования, поставляемого в МВД и ФСБ.
Процесс сертификации комплекса прошел мимо меня и как сообщило позже руководство, сертификат мвд был получен на весь комплекс и распространялся в т.ч. и на ПО, при этом (со слов руководителя) на сертификацию передавали только release-версию ПО, т.е. никаких исходных кодов.

PS: Ах да, забыл сказать, в той компании никакого ревью кода не делалось и в продашкн вполне могла попасть версия, содержащая
«ОАО НПП… не оплатило разработку....».
Проблема в том, что именно вот такой тестовый прототип возможно и есть «работающее» приложение.
Похоже на скрытую (не очень хорошо) рекламу PVS-Studio.
Это блог PVS-Studio… За блог платится денежка регулярно.
Уверяю вас, это делается не для того, чтобы потом в блоге писать посты на отвлеченные темы…
Не буду тыкать пальцем, но есть несколько примеров, когда в блоге компании публикуется совершенно сухая и не интересная инфа…
Блог PVS-Studio ведется для рекламы соответствующего софта. Это никогда не скрывалось. Но делается это интересно и познавательно.
Хорошо, просто я бы ничего не написал бы, если бы в этой статье прочёл что-нибудь новое, кроме того, что было в комментариях к обсуждаемой статье.
Рекламируйте, на здоровье, ничего не имею против.
Сертифицированная и применяемая вплоть до документов «Особой Важности» МСВС пробивалась существовавшими в паблике на момент применения уже несколько лет эксплойтами. В том числе local privilege escalation через уязвимости в практически окаменелой версии ядра. Не говоря уже про что-то типа shellshock.
Обновления на места внедрения МСВС с грифом включительно выше «Секретно» доставляются (если доставляются вообще) редко чаще раза в год.
А какое-то узкоспециальное ПО по «тендеру»? Пфффф.
В вооруженных силах все компьютеры с чувствительными данными отключены от внешней сети физически, и в них не положено втыкать неведомую фигню. Если необходим доступ в сеть — используется отдельный компьютер.
А так же уровень защищенности объекта регламентирует размер огороженной территории. Я все это знаю. Только это никак не увеличивает осмысленность «сертификации» ПО в РФ.
Сертификация подразумевает соответствие определенным требованиям, которые от программы к программе могут отличаться разительно. В случае разработки под заказ получается банальная приемка ПО. Вероятно, Вы имели в виду качество аудита приложений. В любом случае, интересно было бы узнать от Вас о разнице в осмысленности процесса «тут» и «там».
Извините, конечно, но это не пост, а какая-то фигня. Взят и так всем очевидный факт и обсасан разными словами на несколько тысяч знаков.
Лет 10 назад я начал искать заказы на одном известном сайте для фрилансеров. Рейтинг начал быстро расти, так как я специализировался на одной сложной CMS, которая в тот начинала становиться популярной, но была очень сложной для установки и расширения. Там применялись очень продвинутые решения, некоторые из которых до сих пор не реализованы в других системах, но она была очень сложной для понимания и разработки, поэтому найти разработчиков было сложно и я не испытывал недостатка в заказах.

В какой-то момент небольшая компания из США предложила мне разработать нестандартный продукт для данной CMS. Разработал за неделю прототип и отправил заказчику. Спустя несколько дней заказчик присылает список доработок/исправлений, со скриншотами для наглядности. На скриншотах видна адресная строка браузера, в которой виден трехбуквенный домен одной из очень серьезных государственных организаций США… У них немного таких трехбуквенных организаций, в одной из них небезызвестный Сноуден работал…

Открываю сайт компании и читаю, что они разрабатывают софт для серьезных гос. учреждений США, поверхностно упоминается система, которую я делаю, говорится, что они сертифицированы по всяким серьезным стандартам безопасности… Исправил указанные недостатки, и больше они ко мне не обращались. А что мне еще оставалось делать? Расскажи кому — не поверят.

Единственное, что пришло мне в голову — недобросовестный или ленивый сотрудник не мог справиться с работой, и пошел на фрилансерский сайт.

Так что бардак происходит и там, где есть сертификации, и даже там, где, казалось бы, намного более серьезное отношение к безопасности.
Надеюсь бэкдор оставили?
Ради чего? Работаешь ведь не только за деньги, но и на репутацию. Бэкдор бы мне ничего не дал, кроме потенциальных проблем:
— подмоченную репутацию
— потенциальные проблемы при попытке получить визу в США
— возможность попасть в тюрьму в США если я вдруг решу туда поехать

Да и просто совесть бы мучала. Непонятно, какие блага бы я от этого получил. Узнал бы о том, как они ловят преступников? Список сотрудников? Мне это ни капли не интересно.

>Непонятно, какие блага бы я от этого получил.
Это зависит, что под благами понимать, если чисто материальные, то, конечно, никаких. А если к материальному добавить идеальное и задать вопрос: «как я могу помочь Родине в случае чего» то ответ кардинально меняется.
Это шутка? Вы когда за границу отдыхать едете, стремитесь сфотографировать военные объекты или как-нибудь подгадить «вероятному противнику»?

Я просто по-другому отношусь к жизни и к людям. Для меня все люди одинаково важны: и те, что живут здесь, и те, что живут там. У меня нет причин делать плохое людям «там» потому что я живу «здесь».
Вспоминается «Требуется опытный хакер. Просьба контакты оставлять на www.micorosoft.com».
Вы слишком хорошо думаете о том, как сдаются (и принимаются) подобные комплексы.
Читал и смеялся. В стране, где откат на откате и откатом погоняет, есть нормальная сертификация безопасности? Её кот наплакал даже на западе.
Не относительно сертификации безопасности, но про общую тенденцию.
Аппарат был признан (без малейшей необходимости) медицинским оборудованием. На этапе «есть первый (косячный во всем) макет»
Производство этого аппарата было сертифицировано по ISO9001. При том что официально в штате был 1(один) сборщик, девочка по бумажкам и производственное помещение с одним слесарным верстаком… И всё.
Вполне могла быть следующая ситуация:

Для получения госзаказа делается силами студентов этакая демка, в которой фактически никакой логики — только красивый интерфейс. А когда заказ получается, проект делается по человечески. Я, будучи студентом, однажды разрабатывал некое банковское ПО аналогичного качества.

UFO just landed and posted this here
Не хочется разрушать веру в деда мороза, поэтому просто намекну, что сертификация происходит с участием коньяка и довольно быстро. Не знаю, почему принят коньяк, а не водка, но так уж у нас повелось.
Работал несколько лет в конторе, которая продавала софт, сертифицированный во ФСТЭК (ФАПСИ) и ФСБ.
Весь нюанс в том, что сертификация длится несколько месяцев, а в сертификате пишется конкретная версия ПО, например «3.7.3». Другая версия уже официально не считается сертифицированной. На диске с ПО наклеена голографическая этикетка, контрольная сумма дистрибутива вписана в сертификат.
Вопрос в том, что делать, потом, если в сертифицированной версии находятся и исправляются критические ошибки. Ответ простой, появляется версия 3.7.3 (build 3434). Наверное не стоит объяснять, что никакими контрольными суммами новая версия не проверяется. Заказчики всё прекрасно понимают и закрывают на это глаза, потому что никто не готов ждать ещё полгода, пока ошибки исправятся и появится новая сертифицированная версия.
Так получилось, что буквально несколько дней назад я рассказывал коллегам о примере закладки, в которой использовалась функция rand(). Не помню с чего началось обсуждение, но в его процессе я приводил примеры, что примитивный поиск всех функция random иногда имеет смысл и не надо над этим смеяться.

Ага, имеет смысл — если засланец настолько тупой, чтобы использовать библиотечный rand(), а не написать свою наколенную реализацию.

Sign up to leave a comment.