Могут ли компании снова доверять Microsoft? Спецслужбы получали информацию о 0-day уязвимостях Windows и Skype


    Не так давно отшумел скандал о PRISM. Кто-то помнит скандал в 1999 о бекдоре. После покупки skype, было много дискуссий об изменившейся архитектуре. Дескать, изменения произвели в угоду слежке. Однако, все эти, порой не беспочвенные, слухи меркнут на фоне последнего скандала.
    Frank Shaw, представитель Майкрософт, подтвердил наличие программы раннего информирования о не закрытых 0day уязвимостях в продуктах корпорации. Таким образом, NSA получала инструмент для проникновения на любые пользовательские комьютеры с установленным Windows либо Skype. Участие компании в данных программах было добровольным со стороны Microsoft. Со слов Frank Shaw, данная инициатива существовала для оценки и смягчения рисков связанных с грядущими исправлениями этих уязвимостей. Учитывая что скайп широко используется на Linux, Mac OS, Android, iOS покрытие получается масштабным. Как и размер очередного скандала связанного с компанией. Возникает резонный вопрос, а стоит ли доверять свои данные этой компании. Которая откровенно лицемерит, выплачивая награды за обнаружение проблем с безопасностью, с другой стороны, сливает данные до закрытия дыр в своих продуктах спецслужбам. И снимает ролики а-ля scroogled.
    Источник
    Share post

    Similar posts

    Comments 84

      –1
      «Учитывая что скайп широко используется на Linix, Android, iOS»

      Это субьективное ощущение или есть какие-то цифры?
        +8
        Зайдите на маркет приложений того же Android and iOS, посмотрите популярность.
        +15
        arch wiki об анальном огораживании linux системы от установленного skype
        Видимо, параноики действительно живут дольше.
          +3
          Видимо, подобные действия имеют смысл для всех, кто использует на пк важную информацию.
            –2
            Спасибо за интересную ссылку. А я вот скайп на виртуальной машине держу. Не слишком удобно (без второго монитора), но вполне надёжно
              0
              А ещё кошернее запихнуть skype в LXC-контейнер.
                0
                А простого chroot недостаточно?
              +2
              наличие программы раннего сообщение о грядущий 0day уязвимостях в продуктах компании, до того как они были исправлены. Участие компании в данных программах было добровольным со стороны Microsoft.

              Можно это на русский перевести?
                +9
                Полагаю Майкрософт сливала информацию об обнаруженных уязвимостях софта при помощи которых можно запускать произвольный код на машине до того, как начинала исправление их. Если все действительно так, то они сволочи.
                  +3
                  Таким образом, NSA получала инструмент для проникновения на любые пользовательские комьютеры с установленным Windows либо Skype.
                    +7
                    Ну, это тоже перегиб. От информации о 0day уязвимости до проникновения на хоть какой-то компьютер лежит пропасть, а уж чтобы на любой.
                      –1
                      Теория заговора :)
                      Мне почему то кажется, что эта информация нужна была для предотвращения утечек, т.к. написать нормальную систему для проникновения на основе 0day уязвимости за срок до её закрытия(а выходят патчи, вроде как раз в две недели, ну может месяц) задача вообще не тривиальная. А ещё что бы твой вирус заразил целевую систему — так вообще что-то фантастическое.
                        +1
                        Тем не менее эксплойты рабочие проскакивают. Дыры разные бывают, для одной эксплойт тривиален, для другой нет. Я больше за линуксом слежу, там рабочие эксплойты появляются бывает в течении двух дней.
                          +1
                          Кому действительно интересно какое кол-во времени требуется на разработку эксплоита — рекомендую обратиться к человеку, который непосредственно разработкой эксплоита и занимается. Например, хабражитель d00kie (его посты скажут сами за себя)
                          +3
                          вы не так поняли. Сначала МС проводила исследование и проверяла уязвимость. Затем её описание (подробное, по которому можно запилитиь эксплойт) сливали АНБ, и только после этого начинали багу чинить, потом тестировать, а потом раз в месяц — порция обновлений.
                            +1
                            Я всё так понял. От даже очень подробного описания дыры до заражения целевой системы лежит очень большое и не всегда конечное время.
                              +3
                              Все зависит от ресурсов и желания. Учитывая заявления о кибервойнах, то ресурсы у них есть
                                0
                                А не проще тогда иметь закладку в системе, зачем всё это городить? В каждой системе от МС есть, как минимум, RDP-сервер. Скорее всего информация передавалась, чтобы до появления заплатки критически важные компьютеры спец-служб отключали уязвимые подсистемы.

                                Какие же ресурсы нужны, чтобы в срок 2-4 недели воспользоваться уязвимостью на конкретном компьютере?
                                  +2
                                  Они многим организациям дают исходники, тут с бекдорами не всегда получится. А вот таким образом пожалуйста
                                    0
                                    передача исходников от дыр не очень помогает, чем она от бэкдора поможет? Там есть табличка «Бэкдор здесь»?
                                      0
                                      имея подтверждённую информацию что бэкдор есть, многие начнут искать его очень тщательно
                                        –1
                                        Имея подтвержденную информацию, что бэкдор есть — его можно уже и не искать
                                          0
                                          Совершенно неверно. Даже если выпустили фикс (что не факт — «бэкдор есть» не равно «бэкдор был»), всё равно существуют миллионы уязвимых инсталляций без этого фикса.
                                            0
                                            > «бэкдор есть» не равно «бэкдор был»

                                            Ну вот и не передергивайте.

                                            В любом случае проще хозяина исходников взять за пуговицу и попросить показать diff фикса. Искать там нечего.
                        0
                        Хм. А мне кажется довольно логично, что они так делали. А цель, которую они преследовали — совсем не та, о чем говорится в топике. Мс легко может дать бэкдор спецслужбам, если приспичит. Другое дело нац.безопасность. Если похакают серваки спецслужб это может обернуться всем чем только можно для страны и граждан.
                          +4
                          Да кто сказал вообще, что на ответственных серваках там винда?
                            0
                            МС не может так легко дать бекдор, потому что почти у всех крупных спецслужб есть исходники. и у ФСБ есть.
                          • UFO just landed and posted this here
                            +1
                            поправил, спасибо
                              +1
                              Можно попробовать.
                              существование программы оповещения о найденных уязвимостях нулевого дня в продуктах компании прежде, чем они будут исправлены. Участие в данной программе было добровольным со стороны Мелкомягких.
                                0
                                О, спасибо. А то я мозг себе сломал. :) Как МС сливает инфу о грядущей уязвимости
                              +2
                              Т.е. получается, что Microsoft запустило программу по вознаграждению за найденные дыры из меркантильных целей. Они получают инфу от сообщества о дыре, сливают её (наверняка не за бесплатно) спецслужбам, выплачивают инфу ресёчеру и всё равно в плюсе остаются.
                                +1
                                Ну это уже конечно очень далекие домыслы, но то что скайп купили под диктовку спец. служб, есть такая известная теория блуждающая в сети.
                                • UFO just landed and posted this here
                                +4
                                Также. Ничто не мешает майкрософту специально плодить приватные дыры для спецуры. Где-нибуть в укромном месте не поставить проверку длинны буфера и готово. Или хитрую логическую уязвимость построить. Это не бэкдор нет, это типа «не досмотрели».
                                Вспомним stuxnet с его 4-мя неизвестными ранее широкой публики уязвимостями.
                                  –1
                                  Дак так и есть. Корпорации давно и прилежно делают «задние двери» для спецслужб (полагаю, что в таких крупных корпорациях как Микрософт и Гугл даже сами сотрудники спецслужб сидят и делают бэк-доры). Но вида никто не подавал.

                                  А сейчас, когда их ухватили за яйца, придумывают сказки «мы вобще-то сообщали о дырах в спецслужы». Это очередная дурёжка публики, чтобы сохранить лицо. Потому что если лицо не сохранить, пользователи в массовом порядке ломанутся на системы с открытым кодом, и в этом случае:
                                  1) корпорации потеряют прибыли
                                  2) спецслужбы потеряют контроль.

                                  Очевидно, это не в их интересах.
                                  Вот и вертятся как ужи на сковородке.
                                    –1
                                    Что помешает спецслужбам взять за тестикулы майнтайнеров нескольких популярных пакетов той же убунты, с целью интеграции бекдора в эти пакеты? Исходники есть, но читают их перед тем как установить только упоротые параноики, а т.к. не все из этой группы хорошие программисты, то шанс на то, что «закладка» всплывёт довольно мал.
                                    Большинству пользователей софт будет приходить по apt-get update && apt-get dist-upgrade.
                                      +1
                                      > Исходники есть, но читают их перед тем как установить только упоротые параноики

                                      В том-то и дело, что ошибаетесь. Кроме того, помешает, например, то, что мэйнтейнеры убунты бывают и не из сша, и могут быстро слиться — мол, не, всё, больше не мейнтейнер я.
                                        0
                                        Ан масс, софт на компьютер пользователя попадает так, как я написал выше. С поправкой на экосистему дистрибутива, но думаю что суть понятна. Я довольно давно работаю с линуксами, но не знаю никого, кто бы самостоятельно собирал программы, имеющиеся в стандартной поставке дистрибутива, из исходников предварительно их вычитав и проанализировав.
                                        Да, работа с майнтайнерами сложна. Их нужно «заинтересовать», т.е. иметь на каждого материал под пару лет отсидки. Чтобы были послушными и не соскакивали.
                                        Да, внедрение бэкдора потребует времени, потому что никто не будет коммитить в git код с комментом «А это бекдор для АНБ», потребуется постепенно то там строчку добавить, то тут.

                                        Но в этом нет ничего невозможного. И этого не делают только потому, что линукс пока — платформа для маргиналов, и овчинка выделки не стоит. Как только «пользователи в массовом порядке ломанутся на системы с открытым кодом» все службы вынуждены будут работать в этом направлении. Возможно, с помощью талантливых программистов корпораций, которые будут компенсировать потерю прямой прибыли с продаж грантами от спецслужб «за вклад в развитие СПО».
                                          0
                                          Постепенно коммитить по строчке не выйдет. Тот же Линус придёт и наругается — мол, что это за хрень вы тут накомитили.

                                          Про отсидку — я же говорю, разработчик не из США и привет.

                                          Про маргиналов и овчинку — это вы опять капитально заблуждаетесь. Как раз очень было бы приятно им иметь бэкдоры в линуксе именно сейчас, поскольку век веба и соцсетей на дворе. Гораздо удобнее иметь дыру в сервере, чем следить за каждым пользователем с его особой системой по отдельности.

                                          Кстати, спецслужбы, чтобы вам было известно, сами вкладываются в развитие СПО. Вся модель selinux разработана изначально в АНБ США. Их код проверяли на бэкдоры тщательнее всего :)

                                          И главное: если разработчик такой умный, что способен обмануть других разработчиков, вставив бэкдор, он же сможет и обмануть спецслужбы, на самом деле не вставив бэкдор, ну или хитро оповестив остальных об этом бэкдоре.
                                            –1
                                            Про отсидку — я же говорю, разработчик не из США и привет.

                                            Не думаю, что каждый захочет получить срок (или даже просто обвинение) в США — де-факто это будет означать запрет въезда в большинство стран мира.
                                              +1
                                              Я думаю, что Линусу совсем по барабану кто там чего коммитит в код, скажем, kopete. Который со всеми скромными правами вполне в состоянии мониторить переписку пользователя в IM. Да, контроль над системой не получить, но нужны-то данные из юзерского хомяка.

                                              Про США — ещё раз. Если я, типично русский человек, живущий в России и работающий в российской компании совершу чего-то такого, за что меня можно будет некисло присадить и дяди из АНБ поимеют материалы это всё доказывающие — им будет очень легко сделать мне предложение, от которого мне тяжело будет отказаться. А в некоторых странах и совершать ничего не обязательно, кстати, могут на ровном месте дело сшить.

                                              И тут, как вы справедливо заметили, остаётся только борьба интеллектов. Кто умнее, тот, кто проектирует «закладку» или тот, кто её ищет? В голливудских кинофильмах ответ понятен и однозначен. Хакер не может не придумать тонкую пятиходовку чтобы выставить тупых вояк идиотами.
                                              А в жизни всё чуток по-другому.

                                              Я, кстати, на месте служб с компрометацией кода вообще не морочился бы. Пакеты в убунте собирает не сам Шаттлворт лично, не говоря уже о PPA. Выложить «чистый» исходный код и положить в репозиторий пакеты, собранные из «подправленного» тоже можно, были бы в руках тестикулы майнтайнера пакета (см. выше).
                                                0
                                                Практика показывает, что им проще забить на бэкдор, чем так палиться: habrahabr.ru/post/184014/#comment_6401096
                                                  0
                                                  Кто знает, может это как раз пример почти успешной операции спецслужб по врезанию бэкдора? «Почти» — потому что спалили, «успешной» — потому что бэкдор есть и OpenBSD много где используется и поныне.
                                                    0
                                                    Мне кажется довольно очевидным соображение, что если есть открытый код и публично известно, что в нём есть бэкдор, разработчики этот бэкдор оттуда быстро удалят.
                                                      +1
                                                      потому что бэкдор есть


                                                      Простите, а где конкретно он есть? Шумиха тогда была знатная, но конкретное место, насколько я помню, никто не показал.
                                                    +1
                                                    К хомячкам найдут всегда найдут подход, во флеше/java/windows дырку найдут, тут хотя бы о серверах.
                                                  0
                                                  У меня несколько друзей гентушников, один вообще LFS-ник. Gentoo довольно популярна, даже некоторые клауд енвайроменты базируются на нет. И я знаю фирмы где свои пакеты, собранные своими руками и т.п.
                                                    +1
                                                    Гентушники смотрят в исходники не чаще убунтоводов, то есть, чуть чаще, чем никогда.

                                                    Я вот лезу, если вижу какую-то ошибку. Сегодня вот в исходники uwsgi лазил. Ну да, я гентушник, мне не в падлу пересобрать пару раз ;)
                                                      0
                                                      только для сырцов гораздо проще отследить «подлог» майнтейнера. Это не бинарик. Это о гентушниках
                                                        0
                                                        В теории проще. На практике никто не заметит.
                                                          0
                                                          Нет, как раз в данном случае действительно легче заметить. Тут спецслужбы могли бы действовать так: брать исходник, добавлять бэкдор и класть на своё зеркало, а в metadata будет указан хеш именно исходника с бэкдором. Тогда portage будет отказываться собирать пакет скачаный с любых других зеркал и успокоится только тогда, когда доберётся до собственно того самого поддельного источника.

                                                          Собственно, загнать кривой хеш и адрес зеркала в portage может только мэйнтейнер. А обычно сырцы качаются непосредственно с sourceforge, google code, github или с сайта разработчика, а в portage прописаны чексуммы пакетов — так что просто так подменить сырцы не выйдет.
                                                • UFO just landed and posted this here
                                                  0
                                                  Кстати да, была же шумиха с бэкдором во freebsd
                                                  Не могу найти точный пруф, но вот сообщение на тему
                                                    0
                                                    Ну, так в этом же письме видим и такие строки:
                                                    This is also probably the reason why you lost your DARPA funding, they
                                                    more than likely caught wind of the fact that those backdoors were
                                                    present and didn't want to create any derivative products based upon
                                                    the same.
                                                    0
                                                    тем кому важна безопасность, и читают их и ревью делают, и сертификацию, и ставят из своих репозиториев.
                                                      0
                                                      Так, давайте ещё раз, по полочкам, у меня и так уже карму под плинтус высадили.
                                                      Есть те, кому действительно важна безопасность, и те, кому надо «сделать быстро и недорого».
                                                      О первых в этом топике речи быть не может, они у майкрософта исходники точно так же получают, читают, задают вопросы неудобные разработчику. Но их десяток на миллион инсталляций.
                                                      Большинство просто ставит сервак LAMP по мануалу из интернета, не заморачиваясь с чтением исходников. В мануале в первом абзаце сказано — ПО с открытым исходным кодом, это безопасно. Nuff said.
                                                        0
                                                        Вы видимо убежденный дотнетчик, не знаю почему у вас кто покупает форточки, читает вдруг исходники, хотя они их обычно только спецслужбам и дают, а вот отдельные, проверенные репозитории, это удел компаний намного меньше масштабом. В топике речь идет совершенно о другом. О том что информация о дырке сливается тем кто этой информацией воспользуется во вред. Очевидно отличие от открытой модели разработки.
                                                          +1
                                                          Видимо я очень косноязычен, и не могу внятно объяснить свою точку зрения.
                                                          Отличие открытой модели разработки от закрытой — очевидно.
                                                          Возможности пользователей ПО с открытым исходным кодом тоже очевидны.

                                                          Но сам факт использования СПО не панацея от наличия уязвимостей в нём.
                                                          Для того, чтобы СПО было безопасным, его код необходимо читать, понимать, анализировать. Это мало кто делает, и не факт что прочитавший, понявший, проанализировавший и нашедший уязвимость напишет об этом багрепорт автору. Есть ещё варианты, например юзать эту уязвимость в своих целях по-тихому, продать инфо об уязвимости спецслужбам, получить премию потому что ты работник АНБ и инспектить код и писать эксплоиты твоя работа.

                                                          СПО более прогрессивно и удобно, но «валить с венды на линух» не равно «решить все свои проблемы с безопасностью используемого ПО». Вот я о чём всё это время твержу.
                                                  • UFO just landed and posted this here
                                                      0
                                                      Должна уменьшится, но не сильно. Только там, где обязаны сохранять какую-то тайну, в то числе обязаны предотвращать НСД.
                                                        +2
                                                        Доля ОС майкрософт за последние 5 лет упала с 90% до меньше 30%. И пока что продолжает падать. На серверах конечно же упадет, однако она никогда не признается. Ибо накроется миллион сертификаций ос как безопасной. А это чревато падением продаж, и долей. Так что на сервере доля пошатнется заметно.
                                                        • UFO just landed and posted this here
                                                            +2
                                                            > Я даже спрашивать не буду, откуда эта статистика.
                                                            Это вероятно с учётом мобильного рынка.
                                                              +3
                                                              Это рынок всех операционных систем мобильных в том числе, сундук под столом уже умер, ноутбуки теснят, скоро останется только для работы. Вырастает целое поколение с только планшетом или смартфоном. Там майкрософта нет. Прогноз пока что очевиден.
                                                          • UFO just landed and posted this here
                                                            0
                                                            Дело в том, что если МС признается в наличии бэкдора, то это практически будет означать, что бекдор теперь есть не только у спецслужб США, но также вообще у всех, кто видел код винды. То есть, даже студенты вузов могут потенциально видеть код бэкдора и им воспользоваться.

                                                            Это, я полагаю, не сотня и не тысяча человек. И из обширного круга стран. В общем, после небольшого рассуждения любой безопасник поймёт, что теперь угроза может исходить не только от спецслужб и прятаться за «да кому мы нужны», а просто от вируса, который написал ушлый студентишка мти и который использует бэкдор для размножения.

                                                            Так что в течение первого месяца собственно появятся эти вирусы и будет, собственно, паника. А безопасники крупных контор, которые есть люди весьма неадекватные, видя это, вынудят отказаться от винды в течение максимум пары месяцев.

                                                              +1
                                                              Да, чуть не забыл. Скандалов будет — не оберёшься: в каждой стране правительство по идее должно будет начать внутреннее расследование среди своей службы, которая получила доступ к коду винды и сертифицировала этот код как безопасный и не содержащий бэкдоров: собственно, господа, куда вы смотрели и как так вышло, что к нашим данным могут получить доступ американские компании? И куча выступлений всяких Навальных по поводу качества работы местных спецслужб (какая комедия вышла бы, однако: потенциально неугодные госспецслужбам люди жалуются на качество работы гос.спецслужбы).
                                                              • UFO just landed and posted this here
                                                                  +1
                                                                  Я уверен, что 90% отчётов о безопасности винды написаны «с потолка». И никто там ничего толком не анализировал.

                                                                  А вот информация о наличии там бэкдора непременно заставит изучить его снова и тщательно.

                                                                  Ответ я дал вполне конкретный: два месяца.
                                                                  • UFO just landed and posted this here
                                                                      +1
                                                                      Понимайте это так: доля виновс в корпоративном секторе средний/крупный бизнес упадёт до нуля через два месяца и так там и останется через год.

                                                                      Насчёт домашних пользователей ничего сказать не получится. По ним и сейчас нет вменяемой статистики, которой можно было бы доверять, и динамика неизвестна.
                                                                      • UFO just landed and posted this here
                                                        +1
                                                        Microsoft предоставит Минобороны США доступ к исходным кодам ПО

                                                        Министерство обороны США приобрело право доступа к исходному коду программ производства компании Microsoft. Сделка обошлась ведомству в $412,2 млн.

                                                        Для того чтобы Минобороны США получило доступ к данным Microsoft, министерству пришлось заключить дополнительное соглашение о сервисе техподдержки по программе Microsoft Enterprise Technical Support Services (METSS).

                                                        Согласно опубликованному на сайте ведомства анонсу контракта, в числе консультационных услуг Минобороны получает эксклюзивную лицензию на изучение закрытого кода программ Microsoft. Более того, ведомство обретают доступ к ряду «проприетарных ресурсов». К последней относиться закрытая документация для разработчиков, а также сопроводительные документы.
                                                          +4
                                                          Вот где настоящая тоталитарная Империя зла: центральный аппарат со спецслужбами, слившийся в экстазе с корпорациями и повелевающий своими гражданами. Думаю, граждане Пендосии уже начинают понимать, что не тот «советский союз» разрушили.
                                                            +2
                                                            Мне больше понравилось
                                                            Тендер на закупку услуг технической поддержки организовывался в виде открытого конкурса. Несмотря на это, Microsoft оказалась единственной компанией, которая предложила свои услуги.
                                                              +2
                                                              Предоставление доступа к исходникам только ограниченному кругу лиц, это еще один способ подрыва безопасности конечных потребителей.

                                                              Как вы думаете, что будут делать спецы минобороны США, если обнаружат настоящие ошибки в коде, поделятся данной новостью с обществом и направят рекомендации майкрософту на исправление.
                                                              Или же используют их в кибератаках.
                                                              +8
                                                              Могут ли компании снова доверять Microsoft?


                                                              А они когда-то могли?
                                                              0
                                                              Если бы я был службой безопасности (в правительственной или коммерческой структуре), то хотел бы знать о наличии дыр и потенциале угроз от их эксплуатации, чтобы понимать, где возможна брешь в безопасности, и какие workaround'ы можно предпринять, чтобы избежать реализации этих угроз. Так что не стоит во всем искать злобные проделки большого брата. Хотя он в последнее время косячит довольно часто.
                                                                0
                                                                Между «хотел бы знать» и «хотел бы знать раньше всех» большая разница. Все хотят знать, но некоторые узнают заметно раньше других, если другие вообще узнают.
                                                                +1
                                                                наверно поэтому MS по пол года баги фиксит :)
                                                                  0
                                                                  Скажу больше. Его величество Интернет был создан, финансировался и развивался под неусыпным контролем американских спецслужб. Основными целями создания интернета были — глобальная слежка за каждым человеком в мире, а также оказание влияния на умы граждан, минуя законодательные барьеры государств и правительств стран мира.
                                                                    0
                                                                    Это откуда такая инфа? Как я слышал, он создавался как стратегическая сеть связи, способная сохранять функциональность даже в случае выведения из строя большой части узлов (в том числе в результате ядерной атаки).

                                                                  Only users with full accounts can post comments. Log in, please.