А вот и ответы от ЛК: кратко приведу, кому лень в ветку глянуть:
Я:
«Кстати о сотрудничестве… Не в тему, конечно, но может Вы ответите на такой вопрос: 1. У вас куча сертифкатов и лицензий ФСБ, да и вообще вы в плотном общении с ними. Значит ли это, что ФСБ заставляет Вас при сертификации вставлять закладки в ваше ПО, чтобы данные были им доступны если нужно? 2. Почему вы не открываете код на модуль шифрования (криптодиски), как можно быть уверенным в безопасности своих данных?»
Они:
« чем _лично_ Вам поможет открытый код? отличная, на мой взгляд, статья по этому поводу habrahabr.ru/company/pt/blog/249927/
Первый вопрос из серии «перестали ли вы пить коньяк по утрам». Сомневаюсь, что вас устроит какой-либо вариант ответа от ЛК.
Компания сотрудничает с госструктурами во многих странах, и в такой ситуации отдавать преференции кому-либо невозможно, как по части кода, так и по части детектирования атак. »
Знаете это уже пошла игра мое слово последнее. То есть, чтобы я не сказал должен быть «аргументированный» ответ. Та защита, которая есть на драйверах, не позволит в разумные сроки / за разумную цену получить сорцы. Однако, действия программы по вызовам АПИ (которое у нас полностью открыто) отследить вполне реально.
Конечно. Обфускацию не делали. Даже VMProtect стоит на минимальной степени защиты. Это ж очевидно, что мы защищаем не свое ПО а выходные данные. Тот же лицензионный код триала который зашит в программе нам доставали за 1,5 — 2 часа. А вот криптоанализ уже дело другое. Там ничего вытянуть не удалось.
Понятно. Я не удержался, сам задал вопрос. Кроме того, мы отправили официальный запрос в компании Касперский и Др.Веб. Если будет ответ, в чем я сильно сомневаюсь, обязательно напишу.
«Ну а если ваши данные настолько важны, что держать их в открытом виде нельзя, то Kaspersky Total Security позволяет «положить» их в виртуальный сейф. Указанные вами файлы будут зашифрованы очень устойчивым к взлому методом шифрования, а извлечь их можно будет, исключительно зная пароль от зашифрованного сейфа. Как в банке! Главная задача пользователя — не оставить где-нибудь на столе бумажку с записанным паролем. И, разумеется, не забыть заветное сочетание символов. Об остальном позаботится Kaspersky Total Security.»
:-))))
Конечно занимаются. Вы, вероятно, давно их продуктами не пользовались.
Мои действия — сообщить что я с радостью! Однако, с помощью фонарика и парика, так как наша программа не представляет технической возможности расшифровать данные, о чем они же прекрасно знают, ибо проводили проверку на отсутствие закладок. Но я еще раз хочу повторить: наша скромная компания далеко не единственная, которая «якшается» с ФСБ. Самые вовлеченные в этот увлекательный процесс это Каспер, Веб, Микрософт (у которого есть сертифицированная ФСБ винда), Esset и проч. Все эти компании работают НЕПОСРЕДСТВЕННО с персональными данными клиентов, имеют ВСЕ модули шифрования и проч. Так покажите мне ваши посты в их блоги. Вы же наверняка уже свое беспокойство им выразили. Мы-то недавно на рынке. А сколько они уже «якшаются». И Вы все еще не выяснили? Не может быть! И, мне страшно подумать, в своей профессиональной деятельности, возможно, использовали эти продукты? А может и клиентам ставили?
Кстати о сотрудничестве… Не в тему, конечно, но может Вы ответите на такой вопрос: 1. У вас куча сертифкатов и лицензий ФСБ, да и вообще вы в плотном общении с ними. Значит ли это, что ФСБ заставляет Вас при сертификации вставлять закладки в ваше ПО, чтобы данные были им доступны если нужно? 2. Почему вы не открываете код на модуль шифрования (криптодиски), как можно быть уверенным в безопасности своих данных?
Прошу прощения если огорчил Вас. 2 часа дизассемблера (или криптоанализа выходных данных) и все закладки будут выявлены. Затем выплата компенсации всем кому захочется написать иск и закрытие конторы. -) Вот так, например, www.cvedetails.com/vulnerability-list/vendor_id-462/PGP.html
Файлы шифруются OpenSSL, там можно все сравнить командной строкой я писал. На хуки опирается прозрачное шифрование (следующая статья), скрытие, блокировка папок, резервное (облачное) шифрование, шифрование сетевых папок. А в дальнейшем новый продукт по регламентации доступа в компании, мониторинг действий пользователя и проч.
Так а как мы покажем часть кода для файлов и дисков? Опять скажут выкладывайте весь проект, правда ведь, и будут правы.
А файрвол причем? Там таже песня, там драйвер тоже не дешевый. А потом, Вы пользуетесь исключительно опенсорцовскими файрволами? И циску, комодо, чекпоинт, аванпост, керио в топку? То есть, вообще любое ПО должно быть открыто? Или только которое мы производим? -) Или то, которое пиарится на хабре?
Уважаемые коллеги, я все наши аргументы выразил, если кратко мы не выкладываем сорцы, потому что в проектах содержатся очень дорогие драйверы, которые есть возможность еще и продать. Это обычная практика. Ок? Ничего исключительного в этом нет, хотя и пример ПГП и Джетико никого не убедил.
Также, мы исходим из того, что все тайное становится явным, и если мы думаем что умнее других и делаем кучу закладок по заданию ФСБ рано или поздно это станет известным ( не такие перцы попадались), поэтому доказывать, что мы не пингвины не имеет смысла.
За сим я очень постараюсь больше не отвечать на эти 2 вопроса: про открытые коды и аффилированность с фсб. На все остальные, в том числе и на конструктивную критику в меру своих умственных возможностей постараюсь ответить.
Я говорю не о шифрованной ФС, а десятках хуках, которые подчиняют ВСЕ действия с виндовой ФС, понимаете? Или все же, наверное, нет.
Вот о чем я: www.alfasp.com/products.html, фичи посмотрите, дайте мне пожалуйста бесплатный публичный аналог, или фирму которая публикует в своих сорцах подобный функционал.
Я вам помогу. Вот www.alfasp.com/pricing.html, только денюжек немножко заплатить надо. 19,999€ * 75 = 1 499 925 руб. А мы вот просто обязаны по просьбам трудящихся этот код выложить.
Я:
«Кстати о сотрудничестве… Не в тему, конечно, но может Вы ответите на такой вопрос: 1. У вас куча сертифкатов и лицензий ФСБ, да и вообще вы в плотном общении с ними. Значит ли это, что ФСБ заставляет Вас при сертификации вставлять закладки в ваше ПО, чтобы данные были им доступны если нужно? 2. Почему вы не открываете код на модуль шифрования (криптодиски), как можно быть уверенным в безопасности своих данных?»
Они:
« чем _лично_ Вам поможет открытый код? отличная, на мой взгляд, статья по этому поводу habrahabr.ru/company/pt/blog/249927/
Первый вопрос из серии «перестали ли вы пить коньяк по утрам». Сомневаюсь, что вас устроит какой-либо вариант ответа от ЛК.
Компания сотрудничает с госструктурами во многих странах, и в такой ситуации отдавать преференции кому-либо невозможно, как по части кода, так и по части детектирования атак. »
Мы не открываем по причинам описанным ниже.
ВТЮХИВАЮТ!!! Будьте честным, напишите. Там коменты без регистрации.
«Ну а если ваши данные настолько важны, что держать их в открытом виде нельзя, то Kaspersky Total Security позволяет «положить» их в виртуальный сейф. Указанные вами файлы будут зашифрованы очень устойчивым к взлому методом шифрования, а извлечь их можно будет, исключительно зная пароль от зашифрованного сейфа. Как в банке! Главная задача пользователя — не оставить где-нибудь на столе бумажку с записанным паролем. И, разумеется, не забыть заветное сочетание символов. Об остальном позаботится Kaspersky Total Security.»
:-))))
Это так, к слову, вдруг Вы что-то пропустили. Нельзя же знать о всех продуктах, кто «якшается» с ФСБ…
Не как средство шифрования, о чем я не писал. Но с вывернутыми сорцами ессно и «кучей» закладок.
Мои действия — сообщить что я с радостью! Однако, с помощью фонарика и парика, так как наша программа не представляет технической возможности расшифровать данные, о чем они же прекрасно знают, ибо проводили проверку на отсутствие закладок. Но я еще раз хочу повторить: наша скромная компания далеко не единственная, которая «якшается» с ФСБ. Самые вовлеченные в этот увлекательный процесс это Каспер, Веб, Микрософт (у которого есть сертифицированная ФСБ винда), Esset и проч. Все эти компании работают НЕПОСРЕДСТВЕННО с персональными данными клиентов, имеют ВСЕ модули шифрования и проч. Так покажите мне ваши посты в их блоги. Вы же наверняка уже свое беспокойство им выразили. Мы-то недавно на рынке. А сколько они уже «якшаются». И Вы все еще не выяснили? Не может быть! И, мне страшно подумать, в своей профессиональной деятельности, возможно, использовали эти продукты? А может и клиентам ставили?
Так а как мы покажем часть кода для файлов и дисков? Опять скажут выкладывайте весь проект, правда ведь, и будут правы.
А файрвол причем? Там таже песня, там драйвер тоже не дешевый. А потом, Вы пользуетесь исключительно опенсорцовскими файрволами? И циску, комодо, чекпоинт, аванпост, керио в топку? То есть, вообще любое ПО должно быть открыто? Или только которое мы производим? -) Или то, которое пиарится на хабре?
Уважаемые коллеги, я все наши аргументы выразил, если кратко мы не выкладываем сорцы, потому что в проектах содержатся очень дорогие драйверы, которые есть возможность еще и продать. Это обычная практика. Ок? Ничего исключительного в этом нет, хотя и пример ПГП и Джетико никого не убедил.
Также, мы исходим из того, что все тайное становится явным, и если мы думаем что умнее других и делаем кучу закладок по заданию ФСБ рано или поздно это станет известным ( не такие перцы попадались), поэтому доказывать, что мы не пингвины не имеет смысла.
За сим я очень постараюсь больше не отвечать на эти 2 вопроса: про открытые коды и аффилированность с фсб. На все остальные, в том числе и на конструктивную критику в меру своих умственных возможностей постараюсь ответить.
Спасибо и звыняйте еси шо нэ так.
Вот о чем я: www.alfasp.com/products.html, фичи посмотрите, дайте мне пожалуйста бесплатный публичный аналог, или фирму которая публикует в своих сорцах подобный функционал.