Pull to refresh

Comments 118

Не понимаю, почему само агентство пытается наладить сотрудничество с Apple, Sun и Red Hat, а не наоборт?
Потому что в винде бэкдор уже есть, нужно теперь в другие системы вмонтировать.
UFO just landed and posted this here
UFO just landed and posted this here
это спорно, это просто мегариск — умных людей много в мире кто занимается реверсингом винды, и если они его найдут — майкрософт просто сотрут в порошок после такого заявления.

либо если там бекдор есть — он замаскирован так что это достойно нобелевки наверное.
UFO just landed and posted this here
Фигня получится. В ответ-то не пакеты данных прилетят.
UFO just landed and posted this here
Разумеется, что ядерные боеголовки надо слать специальными UDP-ракетами — подтверждение от получателя о доставке обычно не интересно ;)
Да. Не думаю, что оборона и инфраструктура на винде, поэтому бесполезно так в открытую что-то делать.
IPTV работает обычно через IGMP, т.н. «мультикаст» — вещание в группах. Участововать или нет в группе определяет маршрутизатор подсети. А «экранчики» показывают ethernet-пакеты, по-любому должны у вас светиться если к вам что-то идет (IGMP находится на одном уровне с IP).
IGMP служит лишь для настройки всех компонентов сети на широковещательную передачу, а трафик гоняется по UPD
А ничего что у Китая в основном линукс стоит?
UFO just landed and posted this here
Это средние показатели по всему миру.
Тем не менее в Китае многие государственные учреждения работают под Linux. А в планах перевести все.
UFO just landed and posted this here
И не только в Китае.
Большинство государственных структур во всём мире пользуются *nix
Возьмите тех же самых наших военных.
А вот ботнет не плохой бы получился бы их машинок под окнами
Да история с Хр хорошо помниться.
p.s. Если и кто обнаружет бекдор, то это врятли всплывет в паблик. (Проще заставить человека замолчать, чем потом оправдываться перед всем миром)
А можно пруфлинк или номер обновления?
UFO just landed and posted this here
Кстати да. Никто не помнит, возможность принудительного обновления была до того случая официально озвучена?
А в ответ китай посылает свои датаграммы, от которых железки, сделанные в китае, превращаются в тыквы.
Ну он же необходим, значит он есть.
Не важно как, но АНБ должно иметь доступ к данным. Просто они это организуют неочевидным способом.
Были инциденты с IBM (к сожалению не могу найти сейчас источников). И ничего живет. :)
Если кто-то найдёт бэкдор в винде, то потом долго это человека никто не сможет найти. Может поэтому ещё не найдены в ней подобные штуке? АНБ ведь всётаки! Не шутки!)
нет смысла внедрять бекдор прямо в ОС. если вдруг понадобится — есть же windows update :)
UFO just landed and posted this here
На тему сотрудничества Microsoft и АНБ есть две хорошие статьи
Первая и вторая
Автор Берд Киви — известный параноик, но статьи тем не менее интересные.
Есть над чем подумать и сделать собственные выводы :)
UFO just landed and posted this here
Криптография — это область а не система. Криптография существовала тысячелетия назад до появления компьютеров.
UFO just landed and posted this here
«Вы бы подумали прежде чем писать.» — как раз вам хотел написать, но решил быть вежливым. P.S. А еще существуют такие службы доставки. Понятно что кто-то должен шифровать, а кто-то доставлять. Более того, даже школьники знают, что шифрование — не единственное чем занимается криптография…
UFO just landed and posted this here
Это называется «криптографические алгоритмы».
UFO just landed and posted this here
Там нет «или», это разные вещи. Криптография — это наука, она не может быть слабой или сильной. О чём вам и сказал SerrNovik. Не говоря о том что криптография не может принадлежать к «системам безопасности». Скорее некоторые системы безопасности имеют отношение к криптографии.

«Сильными» или «слабыми» могут быть криптографические алгоритмы или их реализации.
UFO just landed and posted this here
1. Понятно, но не всем.
2. Разжевывать не надо, надо быть точнее и не учить неправильному людей, которые не знакомы с криптографией, но читают нас. Именно для точности и понятности и существует терминология.
3. Не надо примитивных приёмов присвоения бредовых мыслей через «как бы вопрос». Я ведь тоже могу начать «Или по-вашему криптография не наука и безопасность от неё не зависит?»

Ведь вот после таких «обобщений» люди и думают, что Интернет — это Internet Explorer, а корпус компьютера называют «процессором»
UFO just landed and posted this here
1. Не важно учишь или нет. Люди же читают. По этому и появились уточнения.
2. По чём видно и кому видно и что значит «уровень ресурса»? Если в том что криптографию относят к части безопасности системы, то да, уровень заметен.
3. Я не спрашивал на какие вопросы вы отвечаете, так что, к чему эта фраза? Я просто попросил без передёргивания.
UFO just landed and posted this here
1. Это печально, что до вас так трудно доходит.
2. Нет, за бредовость аргументов. Вам уточнили про криптографию, вы упёрлись, да ещё и аргументы смешные приводили. Вот и заминусовали.
3. Вопрос тоже может быть компрометирующим, или поставленным так, что он уже что-то подразумевает под собой. Я попросил так вопросы не формулировать. Что не понятно?
UFO just landed and posted this here
1. Вы говорили не о службе, а о «системе безопасности». О некорректности чего вам и сделали замечание. Про «думать» — не стоит судить обо всех по себе.
2. Как скажите.
3. Можно сказать, а можно и не сказать. Проекции в вашем мозгу мне не ведомы. А о вас уже давно всё понятно.
UFO just landed and posted this here
UFO just landed and posted this here
Извините не очень понял… :)
На всякий случай: я не к автору привязывался — а к тем моментам которые в его статье указаны.
А если интересно еще его почитать — то лучше это делать на сайте Компьютерры (в вики есть ссылка на подборку его статей), про домашнюю страничку я от вас услышал — а информация на ней… ну-у… устаревшая не то слово :)
статья про GSM печаталась в журнале в 2000 году.
АНБ — это не те же люди, которые говорили, что в Ираке навалом химического оружия? :)
конечно мы все им верим на слово :)
Нет.
Вы путаете ЦРУ и АНБ.
А помните когда про NSAKey в Windows 2000 писали? Замяли тему что ли?
Бэк по дешевке, никому не надо? ;)
Конечно, если бы там был бэкдор, они бы сразу признались. =)
UFO just landed and posted this here
После заключения некоторых договоренностей — с радостью и умилением смотрят :)
Читайте статьи (ссылка выше в моем посте) — там описано.
Перед использованием, например в вооруженных силах, ПО проходит дорогостоящую сертификацию, где проводится как статический анализ(проверка исходных текстов), так и динамический(во время выполнения). Занимаются этим аккредитованные в ФСТЭК(Федеральная служба по техническому и экспортному контролю) испытательные лаборатории.

Проверяется не только Windows, по-моему последний раз исходники win2000 утекли как раз в результате такой сертификации. но это уже мелочи жизни…
угу, и они там после такой проверки находят все уязвимости и лечат их .))))
Только вот пользоваться этим windows опасно. Так как обновления поставить на него низя.
Хм… а действительно… ведь каждое обновление должно проходить дорогостоящую сертификацию.Значит ли это что некоторые слабофинансируемые правительственные органы пользуются необновленными компонентами?
В документе «Государственный реестр сертифицированных средств защиты информации Системы сертификации средств защиты информации по требованиям безопасности информации» есть разные версии windows xp (OEM/Embedded) от sp1a до sp3 c разными оценочными уровнями доверия и классами защищенности. Но там задание по безопасности не на обновления, а на систему в целом. Так что сертифицированных обновлений у ФСТЭК'а на windows xp нету.
Не знаю какую сертификацию проходит ПО, но лично видел как раздаются наклейки на типа сертифицированные ФСБ компы (если интересно, могу выложить фотку такой наклейки)… Все легально и официально, но по сути без проверок, тока плати денежку. Вообще, что касается сертификации (в той области, где мне довелось поработать) — просто побор денег за выдачу фантиков и ничего больше. Одна профанация.
Free Image Hosting at www.ImageShack.us

QuickPost Quickpost this image to Myspace, Digg, Facebook, and others!
Обычно под такой наклейкой подразумевается не только отсутствие закладок в ПО, но и в аппаратной начинке (например от ВЧ навязывания). То есть как минимум с наклейкой должен быть документы в каких условиях этот компьютер должен использоваться.
Под такой наклейкой обычно подразумевается соответствие оси пунктам сертификационного чеклиста. Какое это отношение имеет к реальной безопасности — вопрос очень интересный.
>… ПО проходит дорогостоящую сертификацию, где проводится как статический анализ(проверка исходных текстов)...

Исходные тексты всех обновлений тоже проверяются? Иначе при первом же прилетевшем обновлении эта «дорогостоящая сертификация» летит псу под хвост.
А, чёрт, уже сказали выше. Извиняюсь.
И как правило летит, поскольку юзеры включают обновления. Но всем пофиг.
Допустим пользователь ставит linux.

Если он сам из исходников ничего не компилирует, то имеет теже бинарные пакеты и обновления.
Кто мне может 100% гарантировать, что бинарник и исходники совершенно идентичны?
Если nvidia тоже под колпаком у АНБ, то ко мне бекдоры могут придти вместе с дровами и тд…
Прочитайте, пожалуйста, внимательно тот пост, на который я отвечал. Мы тут, кажется, говорим не совсем о простых пользователях. А эти самые «не простые» пользователи, как мне кажется, могут себе позволить заморочиться сборкой из исходников. Тем более что самостоятельная [пере]сборка пакета из репозитория не составляет никаких сложностей, и я сам недавно описывал процедуру тут, на Хабре.

>Кто мне может 100% гарантировать, что бинарник и исходники совершенно идентичны?

Соберите сами и сами себе гарантируйте :)

>Если nvidia тоже под колпаком у АНБ, то ко мне бекдоры могут придти вместе с дровами и тд…

Есть свободные дрова.
>Есть свободные дрова.
Знаю.

>Соберите сами и сами себе гарантируйте
Много ли людей, которые до сих пор пересобирают все пакеты? Ну а вообще вы правы мы о разных группах пользователей говорим. Если есть некая организация(структура), которая может проверить весь поступающий к ней код в том числе и код обновлений и патчей, то это одно.

А то что пользователь пусть и продвинутый пересоберет все сам, при этом не заглянув в код, качественно ничего не меняет. Все так же основано преимущественно на доверии, просто в случае с исходниками, конечно, возможность контроля существенно возрастает.
Специально для гос.органов и т.д., бэкдор'чик деактивируют/удаляют… но это так, юмор.
Если мыслить более параноидально, чем сейчас, то вполне можно предположить, что в остальных ОС бэкдоры «сидят» уже давно (разумеется, там, где они в принципе могут быть), а MS — «козел отпущения».
О каких ОС вы говорите?
Об ОС с закрытым исходным кодом, надо полагать. Собственно, я ведь не знаю, чай, не инсайдер АНБ.
Я не более чем предполагаю, что Microsoft призван отводить глаза.
И сколько вы таких ОС знаете (кроме винды) имеющих хоть какую-то значимую распространенность?
iphone OS — у них серьезная доля рынка устройств. Естественно в одном ряду с Blackberry OS — также закрытая и популярная в США. Mac OS — за исключением некоторых компонентов, ОС закрытая (ядро и cups не так уж много значат на фоне всей остальной системы; впрочем, есть opensource.apple.com, но он полезен разве что разработчикам под эту ОС).

У вас тут же контраргумент — их мало! Конечно, их мало. Компьютеров Apple мало на фоне сами-знаете-чего, Blackberry тоже вёдрами не продают на каждом углу. Однако следует принять во внимание то, какой процент компьютеров с windows используется не для игры в косынку и просмотра фотографий в социальных сетях с 10 до 18 часов, а для действительной работы.

Тогда, может быть, обнаружится сравнимость количества устройств с windows и устройств с другими ОС, на которых есть ценная информация :)

Может быть, айрони, а может быть, и нет.
И сколько Iphone OS стоит в гос органах или крупных компаниях в которых на копах на самом деле работают? Тем более по словам топикстартера до apple еще не добрались. Blacjberry вообще кроме штатов почти ни кто не знает.
Итог в мире только одна на самом деле значимая проприентарная ОС.
Не вижу причин думать, что разведку могут интересовать только госорганы или крупные компании. Тем более что вот у Президента РФ макбук и айфон (были, по крайней мере) — вполне себе «проприентарно».
Узнаем наверняка, когда семерка получит или не получит сертификат ФСТЭК, и будем наедятся что ее проверяли честно, ну вы поняли…
UFO just landed and posted this here
UFO just landed and posted this here
> Сейчас АНБ пытается наладить сотрудничество с Apple, Sun и Red Hat…

Не трожьте красношапок! Да и остальных тоже не надо. У данных компаний и без АНБ операционки куда защищённее форточек.
У данных компаний и без АНБ операционки куда защищённее форточек.

Если говорить формально, то уже давно «с АНБ», а не «без». Red Hat начиная с RHEL 4 поддерживают SELinux — разработку АНБ, как в прочем практически все другие крупные дистрибутивы. Я правда не считаю, что там есть бэкдор.

en.wikipedia.org/wiki/Security-Enhanced_Linux
Ну допустим внедрят бэкдор в RH. Об этом сразу же все узнают(или есть сомневающиеся?) и сразу имиджу RH будут нанесен ппц какой удар. Оно им надо?)
Не обязательно делать очевидную дырку.

Видете ли, АНБ преследует прежде всего национальную выгоду. Или, по вашему, АНБ принесёт в open source что-то гениальное и системы станут защищены от всего? Для этого надо изолировать сервера и физически отключать от сети.
Так а что за национальная выгода? В смысле, в чем она. Поделитесь, пожалуйста.
Продуктами пользуются множество компаний по всему миру. Красношапки под крылом США, следовательно, последним выгодно, чтобы некоторые дыры, обнаруженные внутренними сотрудниками и не разглашённые, не латались. В итоге в случае конфликтов спецслужбы смогут парализовать те машины противника, которые работают под определённой ОС.

Грубый пример, конечно, но очень даже реальный, если ошибку очень трудно обнаружить и она специфична для конкретной ОС / дистрибутива.
а мне кажется, что заявление о том, что в случае обнаружения бэкдора в Windows последствия для бизнеса Microsoft были бы катастрофическими полная ерунда. любая созданная умышленно уязвимость, позволяющая выполнить код — тот же самый бекдор, только в случае обнаружения его, никто ничего не заподозрит, а дырку закроют.
Кстати, не поэтому-ли винда такая дырявая? Найденные дырки закрывают, новые добавляют. В теории, к появлению практически любой дыры могло приложить руку NSA.
ну недавно и в линукс закрыли очень крутую дырку, которая хрен знает сколько времени там была. так что дырявая не только винда )
А можно ссылку на крутую дырку?
да хотя бы это itua.info/news/security/21921.html
Практически всё продукты дырявые, но у СПО есть одно большое преимущество открытые исходники в которых можете копаться по желанию.
А вот у ms исходники закрыты, а если кто и докапается до истины, то далеко это не уйдёт
Ну локальная уязвимости это не такая критическая. В отличие от тех которые сетевые.

Вот скажем в Debian n-ое количество лет был патч который в openssl «отключал криптографию». Ну и не особо открытые исходники помогли.
Локальная — не интересно. У меня вот facepalm случился когда увидел новость о win7 про падение от специально сформированного пакета, хотя вроде в итоге оказалось что 7 не подвержена, зато виста и 2008 — вполне.
UFO just landed and posted this here
UFO just landed and posted this here
ты не переживай ) большой брат всегда будет следить за тобой. будь то линукс, или винда, или макось… неважно.
А в случае с Хром ОС ты сам будешь рассказывать что сегодня делал))))
UFO just landed and posted this here
АНБ — Анненербе :) Не могу избавиться от ассоциации.
и не надо избавляться
> Сейчас АНБ пытается наладить сотрудничество с Apple, Sun и Red Hat в области безопасности > операционных систем

Уже понятно, что сами себя выдали. Если они пользуются одной системой, то заботятся о безопасности одной системы, а не сразу всех. Люди не нужно быть такими наивными, бэкдор точно есть, но не возможно определить намерено это сделано товарищами из АНБ или по ошибке программиста.
А кто пользуется одной системой? В штатовских госучреждениях чего только нет. Под разные задачи — разные платформы и ОС. Вполне логично, что государству хочется, чтобы они все были хорошо защищены.
Одному мне пришёл в голову вопрос:
«А может поэтому Билл Гейтс получил такой успех в этом не лёгком деле — зарабатыванию миллионов?»
>«Microsoft никогда не внедряла и не будет внедрять «бэкдоры» в Windows», — заявил вчера официальный представитель компании.

И глаза такие честные-честные…

Сразу вспоминается, как пару лет назад на компы юзеров прилетело принудительное обновление, которое устанавливалось даже при отключённом виндовс-апдейте, не выводя никакого оповещения.

Клоуны, блин… =\
дада, «мы никогда не делали и больше не будем»
UFO just landed and posted this here
> Многие эксперты склонны верить этому заявлению, потому что в случае обнаружения бэкдора в Windows последствия для бизнеса Microsoft были бы катастрофическими. Это просто слишком рискованно.

Да-да. Обтряхнулись и дальше пошли. Старая история. Сколько уж их раз уличали в подобном.
Only those users with full accounts are able to leave comments. Log in, please.