Comments 95
У меня как раз закончилась подписка на Nortnon. Походу, стоит задуматься над тем, чтобы продлить :)
И как эта новость влияет на продление подписки?
Компания остаётся на рынке, а заверениям «Директор компании «Эшелон»» нет доверия из-за его связей с ФСБ.
Symantec поступают правильно. Безопасность продукта важнее.
То есть компания фактически уходит с российского рынка.— мечты Касперского.
Компания остаётся на рынке, а заверениям «Директор компании «Эшелон»» нет доверия из-за его связей с ФСБ.
Symantec поступают правильно. Безопасность продукта важнее.
Отчасти вы уже ответили: то, что Sumantec не желает иметь никаких дел с ФСБ, к которой я не питаю симпатий. Одной шпионской конторой меньше. Касперский, в этом плане, не заслуживает моего доверия, поэтому я предпочёл не использовать его.
Ну нортон с момента создания был шпионским и всю жизнь пытается избавится от этой грязи. И потом, кто не пользуется касперским, за теми фсб следит еще тщательнее )))))) А тут за вами еще и анб добавляет ))))
UFO just landed and posted this here
Не могли бы дать подробностей?
В документах Сноудена, например, есть информация о том, как ломают антивирусы. Американских антивирусов там нет. Наверное, ломать их не надо, так как они заодно.
https://theintercept.com/2015/06/22/nsa-gchq-targeted-kaspersky/ (первая ссылка)
Лично мне от слежки АНБ ни жарко ни холодно.
Так можно говорить только в том случае, если вы никогда и ни при каких обстоятельствах не собираетесь выезжать за пределы РФ. Если у вас есть хоть какие то намётки посещать буржуйские страны, то как раз лучше пусть ФСБ о вас знает всё, а все западные спецслужбы ничего.
Если я верно помню, то этот аудит нужен для того, что бы компании разрешили продавать свой продукт в гос.секторе.
Для физ и юр.лиц ничего не поменяется, если, конечно, вы не работаете в гос.секторе и не приобрели SEP.
Для физ и юр.лиц ничего не поменяется, если, конечно, вы не работаете в гос.секторе и не приобрели SEP.
А Китаю и Америке Симантек показал код?
А в чем негатив вопроса?
Неэтично напоминать, что некоторые более равны…
КНДР код для аудита тоже вряд ли предоставили.
Вот и я о том. Или мы даём всем государственным заказчикам любых стран равные права и говорим об открытом рынке, или мы говорим о государственной монополии и продаём только тем, кому хотим. А сейчас, выходит, говорим о свободном и открытом рынке, но кто-то имеет право проверить продукт перед использованием, а кто-то будет жрать, что дают.
С другой стороны никто не будет предоставлять исходные коды госорганам какой-либо страны, если есть подозрение, что эти коды могут быть использованы сомнительным способом.
Госорганы любой страны в случае необходимости используют исходный код любым выгодным им способом. Договоренности на высшем уровне существуют только до тех пор, пока их выгодней выполнять, чем нарушать.
Например в США ФБР так и не удалось заставить Apple взломать iPhone, Apple выиграла в суде против ФБР. А теперь представьте такую ситуацию, скажем, в РФ…
Второе предложение предыдущего моего комментария — ответ на ваш пример. Либо плюсы от взлома айфонов — перевешивают репутационные минусы, либо этот судебный процесс — вообще голый пиар Apple, а негласно всё давно доступно кому надо.
Просто в США ФБР и полиция тоже не могут идти против закона.
Блажен, кто верует, тепло ему на свете! Эдвард Сноуден, как бы, уже рассказал, что это не так.
А эти действия АНБ и не были признаны законными, насколько я знаю.
Да, кому-то трудно представить, что в других странах простой рабочий может иметь свою машину и питаться чем-то кроме риса, другим трудно представить, что в других странах можно реально защитить свои права в суде и выиграть иск хоть к президенту.
Вы правда не понимаете разницы между «не может идти против закона» и «действия не были признаны законными»? В первом случае «действий» не происходит. Вообще. Во втором случае — ну не признали действия законными, на словах осудили, а что там под капотом творится — а хрен его знает.
Я не спорю, возможно, ваши рассуждения и истинны, проблема в том, что они основаны на вере, а не на фактах. Вере в то, что любое правительство обязательно либо «плохое», либо «хорошее», а также в то, что есть «плохие» и «хорошие» спецслужбы. К сожалению, это не так, ни первое, ни второе.
Я не спорю, возможно, ваши рассуждения и истинны, проблема в том, что они основаны на вере, а не на фактах. Вере в то, что любое правительство обязательно либо «плохое», либо «хорошее», а также в то, что есть «плохие» и «хорошие» спецслужбы. К сожалению, это не так, ни первое, ни второе.
А вы правда не понимаете разницы между сбором информации "пока никто не видит" и открытым наездом с требованием информацию предоставить, с последующим использованием этого для преследования по закону же? В первом случае собранная "по-тихому" информация не может быть использована для преследования вас по закону, даже если они что-то незаконное таким способом на вас накопают.
они основаны на вере
Факты выигранных судов с ФБР, президентом и т. д. — известны. Косвенные факты инвестиционной привлекательности (люди не хотят держать бизнес и деньги там, где их легко могут отжать и закон не защитит) — тоже есть.
А какие у вас есть факты того, что это "голый пиар Apple" или того, что у них есть какие-то договоренности на высшем уровне по этому поводу?
Извините, я умываю руки, оставайтесь в вашей стране эльфов.
А ещё там нет эцилоппов и по ночам никто не бьёт ;)
Представляете, у нас тут в реальности — тоже нет.
Да не в этом же дело. Если не хотят давать равные права заказчикам на основе условной опасности государства — их право. Только тогда нужно заявлять: мы — часть государственной монополии США и союзников, а для остальных у нас отдельный порядок закупки. А компании, как правило, говорят: мы — международная компания, работаем на открытом рынке, преференций не делаем, и вообще за честную конкуренцию. Люди, которым лень разобраться в вопросе, верят, потом несут любопытную ересь про честную конкуренцию и открытый рынок.
То есть компания не вправе выбирать, каким государствам доверять свои собственные продукты, а каким — нет? И если компания доверяет США или Германии, то она автоматом должна доверять, скажем, КНДР только потому, что КНДР — это тоже государство? Государства разные бывают — одним доверяют, других обходят десятой дорогой.
Разве это не прямое проявленние капитализма? Если рынок ценный отдаешь исходники, если не очень то держишь позицию, что для тебя важнее всего конфеденциальность.
Это обычное проявление государственно-монополистического капитализма. А тем временем президент вслед за ВШЭ несёт бред про капитализм свободной конкуренции. Причём, верить в бред ВШЭ ухитряются даже те, кто не верит президенту.
Из-за отказа сертифицировать один продукт они полностью уйдут с российского рынка? Ну-ну. Продукт, о котором речь в статье — не будет на российском рынке. Остальные — будут.
И даже больше — скорее всего будет этот продукт на рынке. И наверняка есть. Скорее всего, пошли в какой-то тендер, связанный с госкомпаниями, а там было требование открытия кода. Не более того. Максимальный риск для бизнеса Symantic в России — проиграть этот конкурс.
И даже больше — скорее всего будет этот продукт на рынке. И наверняка есть. Скорее всего, пошли в какой-то тендер, связанный с госкомпаниями, а там было требование открытия кода. Не более того. Максимальный риск для бизнеса Symantic в России — проиграть этот конкурс.
Он будет на рынке, но не сможет поставляться в места, где требуется использование сертифицированных решений. Например в системы, подпадающие под 17й приказ ФСТЭК
А на конкурсах конкретно я лично не видел требований по раскрытию данных. Вот в то, что это демарш от безысходности — верю вполне. После начала компании импортозамещения иностранные антивирусы вычищают из госсектора и близких компаний активно
А на конкурсах конкретно я лично не видел требований по раскрытию данных. Вот в то, что это демарш от безысходности — верю вполне. После начала компании импортозамещения иностранные антивирусы вычищают из госсектора и близких компаний активно
Но ведь предоставление исходного кода не гарантирует что бинарники собраны именно из этой версии кода. «Эшелон» ведь не компилирует его.
Я бы удивился если бы тот же Symantec предоставлял код с явными бекдорами в этом случае.
Я бы удивился если бы тот же Symantec предоставлял код с явными бекдорами в этом случае.
Но ведь предоставление исходного кода не гарантирует что бинарники собраны именно из этой версии кода.
Не знаю как там у остальных разработчиков, но в случае с Microsoft если куплена ФСТЭКовская версия продукта то систему надо ставить с диска, полученного от ФСТЭК, а апдейты (которые выходят крайне редко) со спец. портала ФСТЭК. Только тогда гарантируется соответствие ПО их сертификации.
Сертифицированное ПО поставляется с набором контрольных сумм исполняемых файлов.
Эти контрольные суммы, по всей видимости, как раз снимает испытательная лаборатория скомпилировав исходники. Иначе какой смысл.
Эти контрольные суммы, по всей видимости, как раз снимает испытательная лаборатория скомпилировав исходники. Иначе какой смысл.
А исходники компилятора, которые можно собрать своим компилятором, тоже дают?
Нет, не дают. Как-то доводилось краем коснуться такой сертификации — они брали «официальный» бинарный релиз; исходники этого релиза; бинарники, полученные после билда этих исходников (и они, емнип, интересовались процессом сборки); и требовали объяснение любому расхождению между бинарниками (этот пункт особенно порадовал, учитывая, что какой-то из файлов строился самописной утилитой каким-то очень недетерминированным образом — выходной файл каждый раз получался совершенно разный). В билде использовалось как минимум 2 разных проприетарных компилятора, от которых у нас самих исходников не было.
Если мы тут говорим про возможность использования Ken Thompson Hack — то да, это (на тот момент) было возможно. Билд-инфраструктура не валидировалась.
Если мы тут говорим про возможность использования Ken Thompson Hack — то да, это (на тот момент) было возможно. Билд-инфраструктура не валидировалась.
Уровень сертификации бывает разный. Скажем когда проходит сертификация — приезжают определенные товарищи и под присмотром все компилят и помечают, чтобы не подменили
Компиляют чем? Имеющими в билд-системе компиляторами и прочими утилитами, т.е. по сути черный ящик, которому верить не надо бы. Если бы все делать правильно, то перед верификацией продукта надо таким же образом верифицировать на отсутствие закладок все компоненты билд-машины, начиная от компиляторов и заканчивая ОС (если не еще глубже — кто гарантирует, что там в SMI не выполняется код, который ищет в памяти процесс компилятора и делает закладку прямо там?)
В том то и дело, что испытательная лаборатория не компилирует исходники, как минимум проприетарных систем. Вся работа строится на принципе «клянусь своей мамашей, что это исходники вот этого бинаря !». Тут есть тонкий момент: ФСТЭК не требует комплируемые исходники, ФСТЭК требует исходники. ФСТЭК не требует инструментарий для сборки, а требует именно исходники аттестуемой системы. И проверить они могут (и проверяют) соответствие и количество заявленных в исходниках сигнатур методов в исходниках и бинарях.
Так что вся эта безопасность — это фарс и получение денег из воздуха. Аттестация оборудования — та же песня. Приближенные к ФСТЭК фирмочки похоже лепят голограммы, произведя в лучшем случае визуальный осмотр. Нам как-то аттестовали сиску за час, хотя мы не просили такой спешки. При всех регламентных действиях за такое время не управишься.
В общем, тут не нужно обольщаться. Аттестация и сертификация — это традиционные элементы бумажной безопасности, не более того. Вся эта машина крутится для имитации бурной деятельности. И если действительно будет спланированная атака, вся эта аттестованная инфраструктура встанет колом. Поэтому так важно развивать свое производство ПО и оборудования. Хорошо, что у нас есть и то и то, но вот масштабы не покрывают потребность страны, плюс в реестры за каким-то хреном вписывают оборудование потенциальных противников. Точнее, за каким хреном понятно, но вот непонятно когда это прекратится.
Так что вся эта безопасность — это фарс и получение денег из воздуха. Аттестация оборудования — та же песня. Приближенные к ФСТЭК фирмочки похоже лепят голограммы, произведя в лучшем случае визуальный осмотр. Нам как-то аттестовали сиску за час, хотя мы не просили такой спешки. При всех регламентных действиях за такое время не управишься.
В общем, тут не нужно обольщаться. Аттестация и сертификация — это традиционные элементы бумажной безопасности, не более того. Вся эта машина крутится для имитации бурной деятельности. И если действительно будет спланированная атака, вся эта аттестованная инфраструктура встанет колом. Поэтому так важно развивать свое производство ПО и оборудования. Хорошо, что у нас есть и то и то, но вот масштабы не покрывают потребность страны, плюс в реестры за каким-то хреном вписывают оборудование потенциальных противников. Точнее, за каким хреном понятно, но вот непонятно когда это прекратится.
Тогда придётся вырезать эвристический анализ и пр., за чем охотятся конкуренты. А это уже намного легче проверить
Вся эта сертификация какой-то бред изначально.
Ну копали они исходники Windows с черт знает какого года, а толку? Недавние события по WannaCry показывают, что это бесполезно! Все эти годы была опаснейшая уязвимость, о ней знали в ЦРУ, наверняка ей пользовались в таргетированных атаках. И где был ФСТЭК, почему при аудите кода не нашли? Или они там ищут в текстах комментарии «вот тут бэкдор» или методы с именами backdoor? Как отличить намеренно зашитую уязвимость, от ошибки программиста?
Ну копали они исходники Windows с черт знает какого года, а толку? Недавние события по WannaCry показывают, что это бесполезно! Все эти годы была опаснейшая уязвимость, о ней знали в ЦРУ, наверняка ей пользовались в таргетированных атаках. И где был ФСТЭК, почему при аудите кода не нашли? Или они там ищут в текстах комментарии «вот тут бэкдор» или методы с именами backdoor? Как отличить намеренно зашитую уязвимость, от ошибки программиста?
А с чего вы решили что не нашли?
С того, что Викиликс публикует сотф спертый у ЦРУ, а не у ФСБ?
С того, что Викиликс публикует сотф спертый у ЦРУ, а не у ФСБ?
С того, что у нас тот же WannaCry пачками шифрует серверы силовых структур. А заявляемая цель данных проверок — защита, а не нападение на противника.
Вся эта сертификация какой-то бред изначально.
Это вовсе не бред, а халявная кормушка для:
- контор, имеющих аккредитацию на проведение сертификации (фактически, узаконенная и принудительная торговля воздухом)
- чиновников, раздающих эту аккредитацию (продающих право продавать воздух)
конечно бред, linux пилит огромное сообщество, код изначально открытый и то там периодически находят дыры, а тут дали группе спецов поковыряться в наборе исходников, ну не найдут они там ничего, это как пытаться слепому нарисовать план города.
Сертификация нужна что бы продавать госзакачикам, с учетом того что госзаказчикам они теперь все равно не имеют права продавать… то как бы логично…
Частникам, не гос структурам имеют права продавать, никакая сертификация не нужна, никуда они не уйдут.
И че то, мне кажется, у семантека продаж в гос сектор и раньше особо не было.
Частникам, не гос структурам имеют права продавать, никакая сертификация не нужна, никуда они не уйдут.
И че то, мне кажется, у семантека продаж в гос сектор и раньше особо не было.
Учитывая уровень компетенции власти, то хорошо спрятаный бэкдор они и не найдут.
UFO just landed and posted this here
Думается мне что весь этот аудит — не более чем показуха с целью извлечения прибыли. Это как с сертификацией opensource проектов, входящих в состав «отечественных» ОС. Каким образом в сертифицированном opensource проекте вообще может обнаружится очередная уязвимость? (риторический вопрос). Оно конечно понятно — хотя бы прочитать все эти миллионы строк кода чисто физически крайне сложно. А осмыслить их полностью и вовсе нереально. Но если уж заявляется, что какой-то продукт проверен на отсутствие закладок, значит весь код был прочитан и осмыслен. Иначе я могу предположить только три возможных ситуации и все они нелепы и печальны:
1. Проверяющая организация просто получила чемодан денег, потому что без ее одобрения применение продукта невозможно (эдакий вариант «законной» взятки).
2. Проверяющая организация абсолютно некомпетентна, т.к. пропустила серьезные уязвимости.
3. Проверяющий намерянно пропустил серьезные уязвимости (саботаж?).
1. Проверяющая организация просто получила чемодан денег, потому что без ее одобрения применение продукта невозможно (эдакий вариант «законной» взятки).
2. Проверяющая организация абсолютно некомпетентна, т.к. пропустила серьезные уязвимости.
3. Проверяющий намерянно пропустил серьезные уязвимости (саботаж?).
Мне кажется, вы путаете понятие "закладка" и "уязвимость". Никто не ищет все ошибки при аудите, ищут преднамеренно оставленные бекдоры. Даже бекдор вида "а тут мы не проверим размер буфера перед выполнением содержимого" может оказаться заметным при аудите. В конце концов не обязательно вчитываться в алгоритм, ну не знаю, round robin, чтобы понять, что он изолирован и не представляет опасности.
Согласен, это разные вещи. Тем не менее, если бы мне нужно было бы сделать закладку в открытом проекте, я бы постарался сделать это сильно неочевидным способом, что по сути своей не сильно бы отличалось от ошибки, приводящей к уязвимости. Если они ищут только очевидные закладки, грепая исходники по слову «backdoor», то смысла в таком аудите не сильно много.
Как выше заметили — тот же WannaCry, если присмотреться, вполне себе сойдет как backdoor для любого компьютера с разрешенной работой SMB. И никто не нашел. А кто нашел, те прикопали для внутреннего использования, а не потребовали исправление.
Я так подозреваю, что аудит по большей части состоит в grep -i 'NSA|backdoor|master key'. Глазами просмотреть исходный код даже критических компонентов Windows, даже не вчитываясь, малореально. Что уж говорить про глубокий анализ.
Я так подозреваю, что аудит по большей части состоит в grep -i 'NSA|backdoor|master key'. Глазами просмотреть исходный код даже критических компонентов Windows, даже не вчитываясь, малореально. Что уж говорить про глубокий анализ.
допустят на российский рынок
А кто-нибудь может объяснить что означает эта фраза? Вот есть магазин Google Play, там сотни тыщ «западных компаний» (почему кстати правила не касаются восточных компаний, а также северных и южных). И вот я, гражданин РФ находящийся в России, покупаю в Google Play одно из этих приложений. Вопрос: кто из нас троих (я, гугл, разработчик) находится на российском рынке? Кто из нас на него допущен? Я не верю что все эти сотни тыщ компаний предоставляли в ФСБ свои исходники. Что по задумке должно происходить с недопущенными компаниями?
Мне всё-таки таки кажется, что речь в статье шла о гос. закупках. Слово "рынок" вносит слишком большую путаницу, зря его добавили в статью. И то мне кажется, что речь далеко о всех госпредприятиях. Никто ведь не будет проверять используемый в школах или университетах софт.
В случае приложений для смартфонов — ну, исходники по сути есть только у разработчиков. Другой вопрос, что государство скорее всего обратится к производителю телефонов, а тот переадресует запрос к Гуглу или разработчикам приложений.
Ни слова про госзакупки в тексте не нашел. Ну и последняя фраза понимается вполне однозначно:
После отказа показать исходники Symantec больше не сможет продавать в России некоторые корпоративные продукты.
Я даже не поленился сходить в оригинал:
Russian authorities are asking Western tech companies to allow them to review source code for security products such as firewalls, anti-virus applications and software containing encryption before permitting the products to be imported and sold in the country.
Видимо, речь идет о закупках ПО в госструктуры, предприятия имеющие дело с гостайнами, персональными данными, обслуживающими инфраструктурные объекты и тд. Частников никто (пока, во всяком случае) не стесняет рамками в выборе ПО. Впрочем, ветер дует в сторону чебурнета и болгенос уже давно, и с каждым годом все сильнее.
UFO just landed and posted this here
17 приказ (гос органы), 21 приказ (ПДн) требуют использования сертифицированных. Если компания подпадает под эти и иные приказы/ПП — она должна использовать сертифицированное. Если нет — может использовать что угодно
Странная позиция у комментаторов — на 100% негативная.
Если бы сертификация была поголовной для всего ПО, в том числе для личного использования, то тогда бы ещё можно было понять опасения такого характера, что «товарищ майор» встраивает трояны во всё сертифицируемое ПО, чтобы потом следить за всеми гражданами страны. Но в действительности сертификации подлежит только ПО, которое будет использоваться в закрытых системах (где гостайна и прочие аспекты).
Неужели тем, кто никаким образом не соприкасается с закрытыми системами и сертификацией, имеет смысл опасаться сертифицированных сборок ПО?
И ещё. Сертификация != поиск уязвимостей и т.д.
На примере той же Windows логично предположить, что никакая сертификация и близко не соизмерима с тем бюджетом, который Microsoft ежегодно самостоятельно тратит на анализ своих продуктов (тестирование, поиск программных дефектов и т.д.).
Если бы сертификация была поголовной для всего ПО, в том числе для личного использования, то тогда бы ещё можно было понять опасения такого характера, что «товарищ майор» встраивает трояны во всё сертифицируемое ПО, чтобы потом следить за всеми гражданами страны. Но в действительности сертификации подлежит только ПО, которое будет использоваться в закрытых системах (где гостайна и прочие аспекты).
Неужели тем, кто никаким образом не соприкасается с закрытыми системами и сертификацией, имеет смысл опасаться сертифицированных сборок ПО?
И ещё. Сертификация != поиск уязвимостей и т.д.
На примере той же Windows логично предположить, что никакая сертификация и близко не соизмерима с тем бюджетом, который Microsoft ежегодно самостоятельно тратит на анализ своих продуктов (тестирование, поиск программных дефектов и т.д.).
Судя по тому что апдейты выходят крайне редко https://geektimes.ru/post/290387/#comment_10149145 то сертификация это еще и прямая угроза безопасности самим защищаемым серверам.
Мы сейчас про какую систему сертификации говорим? Например, ФСТЭК сейчас нормативно закрепил обязательность выпуска обновлений, определил процедуру использования обновления, которые ещё не прошли инспекционный контроль и т.д. Ведомство ведёт активную работу по принуждению (термин грубый, но реальность именно такая) производителей ПО к актуализации сертифицированных версий ПО.
Апдейты выходят так часто, как это решает производитель ПО. ФСТЭК решило эту ситуацию немного переломить, чтобы производители активнее выпускали обновления.
Странно винить в качестве продукта кого угодно, но только не производителя продукта. Не так ли?
Сертификация не является процессом, в результате которого ПО становится неуязвимым. Сертификация направлена на оценку соответствия ПО требованиям того или иного Ведомства. Это, в большей степени, требования к функциональным возможностям ПО, чем к качеству его кода.
Можно привести такой пример. Есть производитель ОС, он регламентирует как под этой ОС должны функционировать те же антивирусные средства, а именно предъявляет требования по функциональным возможностям этих средств, регламентирует механизмы их встраивания в ОС и т.д. Оценка соответствия стороннего антивируса требованиям производителя ОС можно считать такой же сертификацией.
Ведомственные сертификации занимаются тем же самым. Различными производителями выпускается много различных ОС (я про отечественные), средств защиты различного назначения (как аппаратных, так и программных) и т.д. Основная суть сертификации в том, чтобы всё это потом вместе дружно заработало и выполняло заявленный функционал.
Вы же, если настраиваете, например, хостинг на одном из Linux-дистрибутивов, то наверняка же в интернете читаете различные статьи по безопасной настройке Linux, ставите дополнительное ПО для поиска руткитов (и смотрите в интернете какое ПО кто рекомендует) и т.д. Т.е. частично опираетесь на экспертное мнение тех людей, квалификация которых позволяет давать компетентные рекомендации. Однако того или иного совета можете придержаться или не придержаться, решение целиком за вами, все риски тоже целиком на вас. Потеря/искажение информации принесёт ущерб только вам или вашей компании. А в закрытых системах такой же принцип, только вместо интернета есть регулятор. Вот и вся разница.
Разговоры о том, что регулятор или лаборатория трояны встраивают — паранойя. Если из-за этого трояна произойдёт утечка гостайны, то кто за это будет нести ответственность?
Апдейты выходят так часто, как это решает производитель ПО. ФСТЭК решило эту ситуацию немного переломить, чтобы производители активнее выпускали обновления.
Странно винить в качестве продукта кого угодно, но только не производителя продукта. Не так ли?
Сертификация не является процессом, в результате которого ПО становится неуязвимым. Сертификация направлена на оценку соответствия ПО требованиям того или иного Ведомства. Это, в большей степени, требования к функциональным возможностям ПО, чем к качеству его кода.
Можно привести такой пример. Есть производитель ОС, он регламентирует как под этой ОС должны функционировать те же антивирусные средства, а именно предъявляет требования по функциональным возможностям этих средств, регламентирует механизмы их встраивания в ОС и т.д. Оценка соответствия стороннего антивируса требованиям производителя ОС можно считать такой же сертификацией.
Ведомственные сертификации занимаются тем же самым. Различными производителями выпускается много различных ОС (я про отечественные), средств защиты различного назначения (как аппаратных, так и программных) и т.д. Основная суть сертификации в том, чтобы всё это потом вместе дружно заработало и выполняло заявленный функционал.
Вы же, если настраиваете, например, хостинг на одном из Linux-дистрибутивов, то наверняка же в интернете читаете различные статьи по безопасной настройке Linux, ставите дополнительное ПО для поиска руткитов (и смотрите в интернете какое ПО кто рекомендует) и т.д. Т.е. частично опираетесь на экспертное мнение тех людей, квалификация которых позволяет давать компетентные рекомендации. Однако того или иного совета можете придержаться или не придержаться, решение целиком за вами, все риски тоже целиком на вас. Потеря/искажение информации принесёт ущерб только вам или вашей компании. А в закрытых системах такой же принцип, только вместо интернета есть регулятор. Вот и вся разница.
Разговоры о том, что регулятор или лаборатория трояны встраивают — паранойя. Если из-за этого трояна произойдёт утечка гостайны, то кто за это будет нести ответственность?
На сколько я понял комментарий на который ссылался то сертификация задерживает обновления. Если это не так — прошу прощения.
Апдейты выходят так часто, как это решает производитель ПО
Если бы оно было так. Только после проверки испытательной лабораторией. А это не быстрый процесс
ФСТЭК решило эту ситуацию немного переломить, чтобы производители активнее выпускали обновления
Поскольку все проходит через испытательные лаборатории — они как-то не хотят работать бесплатно. И за пять копеек тоже не хотят
Не стоит доверять сказкам ФСТЭК. Полный ИК — как был 6 примерно месяцев, так и остается.
Если бы оно было так. Только после проверки испытательной лабораторией. А это не быстрый процесс
Это не отменяет того факта, что обновление не возникнет из ничего без инициативы производителя ПО. Позиция ФСТЭК сейчас такая, что обновление, направленное на устранение уязвимостей можно применять сразу после выпуска, до завершения процедуры инспекционного контроля. Разве не так? Или Лютиков, публично оглашающий данную позицию, вводит отрасль в заблуждение?
Поскольку все проходит через испытательные лаборатории — они как-то не хотят работать бесплатно. И за пять копеек тоже не хотят
Само собой. И так везде, не только в Ведомственных системах сертификации, и не только в РФ. Можно подумать, что RedHat после сертификации RHEL на Common Criteria не досертифицирует обновления или новые версии.
Не то, чтобы вводит, но вводит. да. Формально да — мы можем обновляться как угодно часто. Но вот скажем вышли обновления продуктов Microsoft. По текущему порядку мы не можем написать, что работаем на скажем хр и выше. Нет, мы обязаны прописать конкретные ОС. А поскольку в новоизмененной производителем ОС мы можем и не работать, то для работы в новой считай ос со старым названием нам нужно менять формуляр. А формуляр — это новая сертификация, по ИК поменять формуляр нельзя
Это раз. Два. Ну выпустим мы обновления. По текущему порядку пользователь обязан получить формуляр с контрольными суммами (и наклейку в придачу). При апдейте контрольные суммы слетят, значит нужен новый формуляр. А это покупка у нас (а у кого еще?) новой коробки. Маразм. Хотят апдейты, пусть отменят наконец эти коробки
Это раз. Два. Ну выпустим мы обновления. По текущему порядку пользователь обязан получить формуляр с контрольными суммами (и наклейку в придачу). При апдейте контрольные суммы слетят, значит нужен новый формуляр. А это покупка у нас (а у кого еще?) новой коробки. Маразм. Хотят апдейты, пусть отменят наконец эти коробки
Ну вот не знаю. Те мнения, которые я слышал от различных разработчиков, пока подтверждают концепцию Лютикова. Противоположное мнение встречают впервые.
Не совсем понял что подразумевается под работать в ОС. Речь о чём, о создании автоматизированных систем или сертификации какого-то ПО?
Вопрос чисто для собственного развития: есть некая ОС версии 1 с присвоенным децимальным номером. Производитель что-то там допиливает (багфиксы, апдейты, по мелочи) и выпускает ОС версии 2 под тем же децимальным номером. Получается, что во ФСТЭКе нужно проходить сертификацию с самого начала, нельзя дотематить и провести ИК с выдачей сертификата на новую версию?
Недостатки, согласен. Нужно их доносить до регулятора. В целом это чисто специфика ФСТЭКа, не во всех системах сертификации так.
Не совсем понял что подразумевается под работать в ОС. Речь о чём, о создании автоматизированных систем или сертификации какого-то ПО?
Вопрос чисто для собственного развития: есть некая ОС версии 1 с присвоенным децимальным номером. Производитель что-то там допиливает (багфиксы, апдейты, по мелочи) и выпускает ОС версии 2 под тем же децимальным номером. Получается, что во ФСТЭКе нужно проходить сертификацию с самого начала, нельзя дотематить и провести ИК с выдачей сертификата на новую версию?
Недостатки, согласен. Нужно их доносить до регулятора. В целом это чисто специфика ФСТЭКа, не во всех системах сертификации так.
Вот сейчас вышел большой апдейт Windows 10. Внутри все перепахано, антивирусы для поддержки считай новой ОС выпустили обновления. Компании, использующие десятку ее обновили (закрытие уязвимостей). А для занесения в формуляр надо пройти тестирование.
Но это еще ладно. Тут хотя бы формально название остается Windows 10 и могут закрыть глаза на формуляр. Хуже если в формуляре было прописано какой SP2, а вышел SP3 или вышла какая windows 11 за время сертификации (напомню она 8 месяцев) — это стопудово новый формуляр и новая сертификация. По ИК недьзя
Есет только как-то договорился об общих системных требованиях без указания ОС в формуляре. Но только для Линукса
Но это еще ладно. Тут хотя бы формально название остается Windows 10 и могут закрыть глаза на формуляр. Хуже если в формуляре было прописано какой SP2, а вышел SP3 или вышла какая windows 11 за время сертификации (напомню она 8 месяцев) — это стопудово новый формуляр и новая сертификация. По ИК недьзя
Есет только как-то договорился об общих системных требованиях без указания ОС в формуляре. Но только для Линукса
Зачем писать безграмотные новости на тему, в которой автор не разбирается?
По какому именно? Не существует никаких запросов ФСБ. Ознакомьтесь с нормативно-правовой базой по сертификации перед тем, как писать такую ерунду и провоцировать страхи. Сертификация добровольная. Кто хочет продавать ПО в те организации, где строятся закрытые системы, обрабатывающие гостайну, тот идёт и сертифицируется. Кто не хочет — тот не сертифицируется. Никто никого не заставляет. Демократия.
Никого не удивляет, что пищевые продукты должны удовлетворять опредённым требованиям и если в них обнаруживают какую-нибудь инфекцию, то партию уничтожают и запрещают их дальнейшую продажу? Почему-то не слышно, что производители отстаивают своё право поставлять продукцию, не удовлетворяющую санитарно-эпидемиологическим требованиям.
От кого эти запросы? Сертификация продуктов Microsoft происходит по инициативе заявителя. Кто являлся заявителем можно посмотреть в сертификате. Внезапно одним из заявителей указано представительство Microsoft в РФ.
npoechelon, у вас там ещё никого не посадили за это?
По российскому законодательству, западные компании обязаны подчиниться запросу ФСБ и предоставить для ознакомления исходный код своих проприетарных программ, прежде чем их допустят на российский рынок — власти хотят убедиться, что в программах нет встроенных бэкдоров. Этому требованию подчиняются все компании.
По какому именно? Не существует никаких запросов ФСБ. Ознакомьтесь с нормативно-правовой базой по сертификации перед тем, как писать такую ерунду и провоцировать страхи. Сертификация добровольная. Кто хочет продавать ПО в те организации, где строятся закрытые системы, обрабатывающие гостайну, тот идёт и сертифицируется. Кто не хочет — тот не сертифицируется. Никто никого не заставляет. Демократия.
В свою очередь, сами компании говорят, что у них нет другого выбора. Если они не предоставят исходный код, их не пустят на рынок.
Никого не удивляет, что пищевые продукты должны удовлетворять опредённым требованиям и если в них обнаруживают какую-нибудь инфекцию, то партию уничтожают и запрещают их дальнейшую продажу? Почему-то не слышно, что производители отстаивают своё право поставлять продукцию, не удовлетворяющую санитарно-эпидемиологическим требованиям.
В последние годы резко выросло количество запросов на аудит исходного кода продуктов Microsoft.
От кого эти запросы? Сертификация продуктов Microsoft происходит по инициативе заявителя. Кто являлся заявителем можно посмотреть в сертификате. Внезапно одним из заявителей указано представительство Microsoft в РФ.
Например, исходный код продуктов компании SAP российские специалисты проводили в защищённой лаборатории SAP в Германии.
npoechelon, у вас там ещё никого не посадили за это?
Это же Рейтер для домохозяек, Вы то что умничать стали? Не Ваша аудитория, вот Вам карму и попортили. По ссылки сходите, от видеоряда с Путиным страшно за всю цивилизацию становится. Фотография здания Эшелона по тегом Open Source изрядно позабавила.
Из полезной информации: Symantec не будет передавать ВСЕ свои продукты на сертификация на отсутствие недекларированных возможностей, остальное журналистская слизь.
Из полезной информации: Symantec не будет передавать ВСЕ свои продукты на сертификация на отсутствие недекларированных возможностей, остальное журналистская слизь.
С каки времен «показать исходный код» гарантирует отсутствие бэкдора в релизных бинарниках?
Sign up to leave a comment.
Symantec отказалась предоставить исходные коды для аудита в России