Symantec отказалась предоставить исходные коды для аудита в России

    По российскому законодательству, западные компании обязаны подчиниться запросу ФСБ и предоставить для ознакомления исходный код своих проприетарных программ, прежде чем их допустят на российский рынок — власти хотят убедиться, что в программах нет встроенных бэкдоров. Этому требованию подчиняются все компании. Microsoft показывает исходный код Windows, а Cisco, IBM, SAP и другие компании делятся с Российской Федерацией исходным кодом своих файрводов, антивирусов, программ с криптографическими модулями. Но в последнее время у компаний такая практика вызывает озабоченность, потому что вместе с тем российские спецслужбы получают возможность найти уязвимости в проприетарных программах западных компаний, пишет Reuters. Эти уязвимости впоследствии могут быть использованы во время кибератак и для шпионажа.

    Из опасений за безопасность своих продуктов одна компания — Symantec — прекратила сотрудничество с российскими аудиторами.

    Американские чиновники говорят, что они предупреждали коммерческие компании о рисках, связанных с передачей исходных кодов российским органам. Но у правительства США нет полномочий, чтобы запретить подобную практику, если это не какие-то военные разработки, а чисто гражданский софт.

    В свою очередь, сами компании говорят, что у них нет другого выбора. Если они не предоставят исходный код, их не пустят на рынок. Аудит происходит в безопасных условиях, в специально оборудованных помещениях, чтобы исключить утечку исходного кода.

    Кроме Cisco, IBM и SAP, известно, что аудиту исходного кода подверглись продукты Hewlett Packard Enterprise Co и McAfee. В последние годы резко выросло количество запросов на аудит исходного кода продуктов Microsoft.

    Вообще, Россия первой в мире получила исходный код Windows. Это произошло ещё в 2002 году. Microsoft согласилась показать исходники только на условии, что они будут считаться государственной тайной Российской Федерации. Сотрудничество продолжалось в последующие годы. Например, летом 2010 года Microsoft предоставила ФСБ исходные коды Windows 7, Windows Server 2008 R2, Office 2010, SQL Server 2008 R2 и Exchange Server 2010 «для повышения доверия к продукции Microsoft со стороны государственных органов».

    Непосредственно экспертизу исходного кода производит в том числе Федеральная служба по техническому и экспортному контролю (ФСТЭК России). Записи ФСТЭК гласят, что с 1996 по 2013 годы она провела экспертизу исходного кода 13 технологических продуктов западных компаний, а с 2014 по 2016 годы количество экспертиз резко увеличилось и составило 28. В комментарии для Reuters представители ФСТЭК сказали, что такой аудит исходного кода соответствует мировой практике, в ФСБ отказались от комментариев.

    Аудитом исходного кода занимаются ещё несколько компаний, аккредитованных в ФСБ. Что характерно, все они имеют связи с военными структурами. Например, компания «Эшелон» имеет награды «за хранение государственных тайн» от Министерства обороны.


    Офисное здание компании «Эшелон» в Москве

    Несмотря на все опасения, опрошенные Reuters эксперты не смогли назвать ни одного конкретного случаях взлома, кибератаки или операции по кибершпионажу, которая была бы проведена благодаря тому, что российским спецслужбам стали доступны исходные коды того или иного проприетарного продукта. Пока эти опасения носят умозрительный характер.

    В самом деле, аудит исходного кода проприетарных продуктов — не уникальная для России практика. Даже американское правительство в некоторых случаях требует предоставить исходный код закрытой программы, особенно если речь идёт об оборонном заказе или другом важном контракте. Китай тоже иногда требует предоставить исходники как условие на импорт коммерческого программного обеспечения.

    В 2014 году Microsoft открыла Центр прозрачности в Редмонде, а позже такой же — в Брюсселе. Представители государственных органов могут посетить это место, посмотреть на исходный код операционной системы Windows и других программ — и убедиться, что в них отсутствуют бэкдоры и шпионские закладки.

    Директор компании «Эшелон» Алексей Марков рассказал, что аудит кода осуществляется в своеобразных «чистых комнатах» — специальных лабораториях, из которых нельзя передать исходный код. Интересно, что не все процедуры по аудиту происходят в Москве. Например, исходный код продуктов компании SAP российские специалисты проводили в защищённой лаборатории SAP в Германии.

    Но вот для компании Symantec этих условий оказалось недостаточно, если она не доверяет экспертизе.

    «Это представляет риск цельности наших продуктов, который мы не желаем принимать», — заявила представитель компании Кристен Батч (Kristen Batch). После отказа показать исходники Symantec больше не сможет продавать в России некоторые корпоративные продукты.

    Комментарии 95

      0

      У меня как раз закончилась подписка на Nortnon. Походу, стоит задуматься над тем, чтобы продлить :)

        +2
        И как эта новость влияет на продление подписки?

        То есть компания фактически уходит с российского рынка.
        — мечты Касперского.

        Компания остаётся на рынке, а заверениям «Директор компании «Эшелон»» нет доверия из-за его связей с ФСБ.

        Symantec поступают правильно. Безопасность продукта важнее.
          0

          Отчасти вы уже ответили: то, что Sumantec не желает иметь никаких дел с ФСБ, к которой я не питаю симпатий. Одной шпионской конторой меньше. Касперский, в этом плане, не заслуживает моего доверия, поэтому я предпочёл не использовать его.

            +3
            Ну нортон с момента создания был шпионским и всю жизнь пытается избавится от этой грязи. И потом, кто не пользуется касперским, за теми фсб следит еще тщательнее )))))) А тут за вами еще и анб добавляет ))))
              +2
              Ну нортон с момента создания был шпионским

              Не могли бы дать подробностей?

              А тут за вами еще и анб добавляет

              Лично мне от слежки АНБ ни жарко ни холодно. Думаю duke_saiko тоже.
                0
                Не могли бы дать подробностей?

                В документах Сноудена, например, есть информация о том, как ломают антивирусы. Американских антивирусов там нет. Наверное, ломать их не надо, так как они заодно.
                https://theintercept.com/2015/06/22/nsa-gchq-targeted-kaspersky/ (первая ссылка)
                Лично мне от слежки АНБ ни жарко ни холодно.

                Так можно говорить только в том случае, если вы никогда и ни при каких обстоятельствах не собираетесь выезжать за пределы РФ. Если у вас есть хоть какие то намётки посещать буржуйские страны, то как раз лучше пусть ФСБ о вас знает всё, а все западные спецслужбы ничего.
                  0
                  Так можно говорить только в том случае, если вы никогда и ни при каких обстоятельствах не собираетесь выезжать за пределы РФ.

                  Ну или как альтернатива — я могу считать что США в разы более правовое, демократичное и гуманное государство чем РФ, и как следствие если я обычный гражданин и НЕ нарушаю законы США, то и опасаться мне особо нечего.
                    +1
                    Ну или как альтернатива — я могу считать что США в разы более правовое, демократичное и гуманное государство чем РФ

                    Я с Вами не согласен, но вам там видней.
          +3
          Если я верно помню, то этот аудит нужен для того, что бы компании разрешили продавать свой продукт в гос.секторе.
          Для физ и юр.лиц ничего не поменяется, если, конечно, вы не работаете в гос.секторе и не приобрели SEP.
          0
          А Китаю и Америке Симантек показал код?
            –1
            А в чем негатив вопроса?
              +1
              Неэтично напоминать, что некоторые более равны…
                +1

                КНДР код для аудита тоже вряд ли предоставили.

                  +1
                  Вот и я о том. Или мы даём всем государственным заказчикам любых стран равные права и говорим об открытом рынке, или мы говорим о государственной монополии и продаём только тем, кому хотим. А сейчас, выходит, говорим о свободном и открытом рынке, но кто-то имеет право проверить продукт перед использованием, а кто-то будет жрать, что дают.
                    0

                    С другой стороны никто не будет предоставлять исходные коды госорганам какой-либо страны, если есть подозрение, что эти коды могут быть использованы сомнительным способом.

                      0

                      Госорганы любой страны в случае необходимости используют исходный код любым выгодным им способом. Договоренности на высшем уровне существуют только до тех пор, пока их выгодней выполнять, чем нарушать.

                        0

                        Например в США ФБР так и не удалось заставить Apple взломать iPhone, Apple выиграла в суде против ФБР. А теперь представьте такую ситуацию, скажем, в РФ…

                          +1
                          Второе предложение предыдущего моего комментария — ответ на ваш пример. Либо плюсы от взлома айфонов — перевешивают репутационные минусы, либо этот судебный процесс — вообще голый пиар Apple, а негласно всё давно доступно кому надо.
                            –2

                            Просто в США ФБР и полиция тоже не могут идти против закона.

                              +1
                              Блажен, кто верует, тепло ему на свете! Эдвард Сноуден, как бы, уже рассказал, что это не так.
                                –2

                                А эти действия АНБ и не были признаны законными, насколько я знаю.


                                Да, кому-то трудно представить, что в других странах простой рабочий может иметь свою машину и питаться чем-то кроме риса, другим трудно представить, что в других странах можно реально защитить свои права в суде и выиграть иск хоть к президенту.

                                  +2
                                  Вы правда не понимаете разницы между «не может идти против закона» и «действия не были признаны законными»? В первом случае «действий» не происходит. Вообще. Во втором случае — ну не признали действия законными, на словах осудили, а что там под капотом творится — а хрен его знает.
                                  Я не спорю, возможно, ваши рассуждения и истинны, проблема в том, что они основаны на вере, а не на фактах. Вере в то, что любое правительство обязательно либо «плохое», либо «хорошее», а также в то, что есть «плохие» и «хорошие» спецслужбы. К сожалению, это не так, ни первое, ни второе.
                                    –1

                                    А вы правда не понимаете разницы между сбором информации "пока никто не видит" и открытым наездом с требованием информацию предоставить, с последующим использованием этого для преследования по закону же? В первом случае собранная "по-тихому" информация не может быть использована для преследования вас по закону, даже если они что-то незаконное таким способом на вас накопают.


                                    они основаны на вере

                                    Факты выигранных судов с ФБР, президентом и т. д. — известны. Косвенные факты инвестиционной привлекательности (люди не хотят держать бизнес и деньги там, где их легко могут отжать и закон не защитит) — тоже есть.


                                    А какие у вас есть факты того, что это "голый пиар Apple" или того, что у них есть какие-то договоренности на высшем уровне по этому поводу?

                                      +1
                                      Извините, я умываю руки, оставайтесь в вашей стране эльфов.
                                        0

                                        А ещё там нет эцилоппов и по ночам никто не бьёт ;)

                                          0
                                          Представляете, у нас тут в реальности — тоже нет.
                                            0
                                            у нас тут в реальности

                                            У вас тут в реальности одно, у других там в реальности — другое. Подходить с одними и теми же мерками ко всем странам довольно бессмысленно, не находите?


                                            Какбы уровень жизни и прочего тут и там тоже намекает на различие в реальностях.

                                              +1
                                              Выдавать собственные фантазии за мерку — не менее бессмысленно. На этом всё, отвечать вам я больше не буду.
                                                –1
                                                Выдавать собственные фантазии за мерку

                                                Согласен — вы ведь так и ни привели ни одного факта в поддержку своих утверждений. Уровень аргументации "ну вы же понимаете, тут и так всё ясно".

                        0
                        Да не в этом же дело. Если не хотят давать равные права заказчикам на основе условной опасности государства — их право. Только тогда нужно заявлять: мы — часть государственной монополии США и союзников, а для остальных у нас отдельный порядок закупки. А компании, как правило, говорят: мы — международная компания, работаем на открытом рынке, преференций не делаем, и вообще за честную конкуренцию. Люди, которым лень разобраться в вопросе, верят, потом несут любопытную ересь про честную конкуренцию и открытый рынок.
                          0

                          То есть компания не вправе выбирать, каким государствам доверять свои собственные продукты, а каким — нет? И если компания доверяет США или Германии, то она автоматом должна доверять, скажем, КНДР только потому, что КНДР — это тоже государство? Государства разные бывают — одним доверяют, других обходят десятой дорогой.

                            0
                            Если не хотят давать равные права заказчикам на основе условной опасности государства — их право
                            Я всего лишь хочу, чтобы они не заявляли обратное.
                              0

                              Обратное чему?

                                0
                                Обратным избирательному отношению к заказчикам является равное отношение к заказчикам.
                                  0

                                  Очевидно не все заказчики этого хотят.

                                    +1
                                    Конечно, не все хотят. Как и в народе некоторые не хотят покупать товары в одном магазине с «быдлом». Но тогда и говорят — мы работаем только с определённой категорией граждан.
                        +1

                        Разве это не прямое проявленние капитализма? Если рынок ценный отдаешь исходники, если не очень то держишь позицию, что для тебя важнее всего конфеденциальность.

                          –1
                          Это обычное проявление государственно-монополистического капитализма. А тем временем президент вслед за ВШЭ несёт бред про капитализм свободной конкуренции. Причём, верить в бред ВШЭ ухитряются даже те, кто не верит президенту.
                            0

                            Где вы тут государство-то увидели, не пойму. Частная компания, предоставляет свою собственность тем, кому считает нужным.

                              –1
                              А исходя из чего определяется, в сём конкретном случае, нужность?
                                0

                                Я уже выше писал:


                                … никто не будет предоставлять исходные коды госорганам какой-либо страны, если есть подозрение, что эти коды могут быть использованы сомнительным способом.
                                  0
                                  То есть, вы сами прекрасно видите, где здесь государство, верно?
                                    –1

                                    Нет.

                +1
                Из-за отказа сертифицировать один продукт они полностью уйдут с российского рынка? Ну-ну. Продукт, о котором речь в статье — не будет на российском рынке. Остальные — будут.

                И даже больше — скорее всего будет этот продукт на рынке. И наверняка есть. Скорее всего, пошли в какой-то тендер, связанный с госкомпаниями, а там было требование открытия кода. Не более того. Максимальный риск для бизнеса Symantic в России — проиграть этот конкурс.
                  +1
                  Он будет на рынке, но не сможет поставляться в места, где требуется использование сертифицированных решений. Например в системы, подпадающие под 17й приказ ФСТЭК

                  А на конкурсах конкретно я лично не видел требований по раскрытию данных. Вот в то, что это демарш от безысходности — верю вполне. После начала компании импортозамещения иностранные антивирусы вычищают из госсектора и близких компаний активно
                  +3
                  Но ведь предоставление исходного кода не гарантирует что бинарники собраны именно из этой версии кода. «Эшелон» ведь не компилирует его.
                  Я бы удивился если бы тот же Symantec предоставлял код с явными бекдорами в этом случае.
                    +12
                    Но ведь предоставление исходного кода не гарантирует что бинарники собраны именно из этой версии кода.


                    Не знаю как там у остальных разработчиков, но в случае с Microsoft если куплена ФСТЭКовская версия продукта то систему надо ставить с диска, полученного от ФСТЭК, а апдейты (которые выходят крайне редко) со спец. портала ФСТЭК. Только тогда гарантируется соответствие ПО их сертификации.
                      +3
                      Мне не понятен минус комментарию. Человек изложил факты объективной реальности, даже без интерпретации — минусующий не согласен с реальностью?
                      +2
                      Сертифицированное ПО поставляется с набором контрольных сумм исполняемых файлов.
                      Эти контрольные суммы, по всей видимости, как раз снимает испытательная лаборатория скомпилировав исходники. Иначе какой смысл.
                        +2
                        А исходники компилятора, которые можно собрать своим компилятором, тоже дают?
                          +1
                          Нет, не дают. Как-то доводилось краем коснуться такой сертификации — они брали «официальный» бинарный релиз; исходники этого релиза; бинарники, полученные после билда этих исходников (и они, емнип, интересовались процессом сборки); и требовали объяснение любому расхождению между бинарниками (этот пункт особенно порадовал, учитывая, что какой-то из файлов строился самописной утилитой каким-то очень недетерминированным образом — выходной файл каждый раз получался совершенно разный). В билде использовалось как минимум 2 разных проприетарных компилятора, от которых у нас самих исходников не было.
                          Если мы тут говорим про возможность использования Ken Thompson Hack — то да, это (на тот момент) было возможно. Билд-инфраструктура не валидировалась.
                            +1
                            Уровень сертификации бывает разный. Скажем когда проходит сертификация — приезжают определенные товарищи и под присмотром все компилят и помечают, чтобы не подменили
                              0
                              Компиляют чем? Имеющими в билд-системе компиляторами и прочими утилитами, т.е. по сути черный ящик, которому верить не надо бы. Если бы все делать правильно, то перед верификацией продукта надо таким же образом верифицировать на отсутствие закладок все компоненты билд-машины, начиная от компиляторов и заканчивая ОС (если не еще глубже — кто гарантирует, что там в SMI не выполняется код, который ищет в памяти процесс компилятора и делает закладку прямо там?)
                                +1
                                Тут думаю проблема доверия. Если компания настроена на долговременное сотрудничество — мухлевать будет в приемлимых размерах.

                          +1
                          В том то и дело, что испытательная лаборатория не компилирует исходники, как минимум проприетарных систем. Вся работа строится на принципе «клянусь своей мамашей, что это исходники вот этого бинаря !». Тут есть тонкий момент: ФСТЭК не требует комплируемые исходники, ФСТЭК требует исходники. ФСТЭК не требует инструментарий для сборки, а требует именно исходники аттестуемой системы. И проверить они могут (и проверяют) соответствие и количество заявленных в исходниках сигнатур методов в исходниках и бинарях.

                          Так что вся эта безопасность — это фарс и получение денег из воздуха. Аттестация оборудования — та же песня. Приближенные к ФСТЭК фирмочки похоже лепят голограммы, произведя в лучшем случае визуальный осмотр. Нам как-то аттестовали сиску за час, хотя мы не просили такой спешки. При всех регламентных действиях за такое время не управишься.

                          В общем, тут не нужно обольщаться. Аттестация и сертификация — это традиционные элементы бумажной безопасности, не более того. Вся эта машина крутится для имитации бурной деятельности. И если действительно будет спланированная атака, вся эта аттестованная инфраструктура встанет колом. Поэтому так важно развивать свое производство ПО и оборудования. Хорошо, что у нас есть и то и то, но вот масштабы не покрывают потребность страны, плюс в реестры за каким-то хреном вписывают оборудование потенциальных противников. Точнее, за каким хреном понятно, но вот непонятно когда это прекратится.
                            +1
                            Два последних абзаца — более чем точно, а первый не всегда так как минимум. В нашем случае — компилят
                          0

                          Тогда придётся вырезать эвристический анализ и пр., за чем охотятся конкуренты. А это уже намного легче проверить

                            0
                            Базы, а именно там эвристик — не попадают под сертификацию, ибо изменяются постоянно. Эвристик это обычные записи антивирусных баз

                            И бояться утечки записей можно разве что в китае. Использование кусков чужих баз вычисляется и последствия могут быть весьма серьезные. Были прецеденты
                          +1
                          Вся эта сертификация какой-то бред изначально.
                          Ну копали они исходники Windows с черт знает какого года, а толку? Недавние события по WannaCry показывают, что это бесполезно! Все эти годы была опаснейшая уязвимость, о ней знали в ЦРУ, наверняка ей пользовались в таргетированных атаках. И где был ФСТЭК, почему при аудите кода не нашли? Или они там ищут в текстах комментарии «вот тут бэкдор» или методы с именами backdoor? Как отличить намеренно зашитую уязвимость, от ошибки программиста?
                            +3
                            А с чего вы решили что не нашли?
                            С того, что Викиликс публикует сотф спертый у ЦРУ, а не у ФСБ?
                              +1
                              С того, что у нас тот же WannaCry пачками шифрует серверы силовых структур. А заявляемая цель данных проверок — защита, а не нападение на противника.
                                –2
                                ну так нужные серверы защищены. Пачками были зашифрованы серверы в местячковых отделениях полиции, где админ наверняка в патрульной машине проводит больше времени, чем в серверной.
                                  0
                                  нужные серверы защищены. Пачками были зашифрованы серверы в местячковых отделениях полиции
                                  Так и запишем: в местных отделениях сервера не нужны.
                                  Рабочие станции тоже, я полагаю.
                                  0
                                  Так у гэбэшников все исходники были вроде как. И что помогли они в защите от WannaCry?
                                +4
                                Вся эта сертификация какой-то бред изначально.

                                Это вовсе не бред, а халявная кормушка для:
                                • контор, имеющих аккредитацию на проведение сертификации (фактически, узаконенная и принудительная торговля воздухом)
                                • чиновников, раздающих эту аккредитацию (продающих право продавать воздух)

                                  +1

                                  конечно бред, linux пилит огромное сообщество, код изначально открытый и то там периодически находят дыры, а тут дали группе спецов поковыряться в наборе исходников, ну не найдут они там ничего, это как пытаться слепому нарисовать план города.

                                    –1
                                    И аудит проводят люди уровня технических специалистов роскомнадзора.
                                  0
                                  Сертификация нужна что бы продавать госзакачикам, с учетом того что госзаказчикам они теперь все равно не имеют права продавать… то как бы логично…
                                  Частникам, не гос структурам имеют права продавать, никакая сертификация не нужна, никуда они не уйдут.

                                  И че то, мне кажется, у семантека продаж в гос сектор и раньше особо не было.
                                    –1
                                    Учитывая уровень компетенции власти, то хорошо спрятаный бэкдор они и не найдут.
                                      +2
                                      Но вот для компании Symantec этих условий оказалось недостаточно, если она не доверяет экспертизе.

                                      «Это представляет риск цельности наших продуктов, который мы не желаем принимать»,

                                      А может быть это потому, что они опасаются что их код потихоря сольют Касперскому (и возможно dr. Web), таким образом дав лаборатории Касперского преимущество на международном рынке за счёт чужих технологий?
                                        –1
                                        А может Symantec боится за то, что обнаружатся куча бэкдоров?
                                        +1
                                        Думается мне что весь этот аудит — не более чем показуха с целью извлечения прибыли. Это как с сертификацией opensource проектов, входящих в состав «отечественных» ОС. Каким образом в сертифицированном opensource проекте вообще может обнаружится очередная уязвимость? (риторический вопрос). Оно конечно понятно — хотя бы прочитать все эти миллионы строк кода чисто физически крайне сложно. А осмыслить их полностью и вовсе нереально. Но если уж заявляется, что какой-то продукт проверен на отсутствие закладок, значит весь код был прочитан и осмыслен. Иначе я могу предположить только три возможных ситуации и все они нелепы и печальны:

                                        1. Проверяющая организация просто получила чемодан денег, потому что без ее одобрения применение продукта невозможно (эдакий вариант «законной» взятки).
                                        2. Проверяющая организация абсолютно некомпетентна, т.к. пропустила серьезные уязвимости.
                                        3. Проверяющий намерянно пропустил серьезные уязвимости (саботаж?).
                                          0

                                          Мне кажется, вы путаете понятие "закладка" и "уязвимость". Никто не ищет все ошибки при аудите, ищут преднамеренно оставленные бекдоры. Даже бекдор вида "а тут мы не проверим размер буфера перед выполнением содержимого" может оказаться заметным при аудите. В конце концов не обязательно вчитываться в алгоритм, ну не знаю, round robin, чтобы понять, что он изолирован и не представляет опасности.

                                            +1
                                            Согласен, это разные вещи. Тем не менее, если бы мне нужно было бы сделать закладку в открытом проекте, я бы постарался сделать это сильно неочевидным способом, что по сути своей не сильно бы отличалось от ошибки, приводящей к уязвимости. Если они ищут только очевидные закладки, грепая исходники по слову «backdoor», то смысла в таком аудите не сильно много.
                                              +1
                                              Как выше заметили — тот же WannaCry, если присмотреться, вполне себе сойдет как backdoor для любого компьютера с разрешенной работой SMB. И никто не нашел. А кто нашел, те прикопали для внутреннего использования, а не потребовали исправление.
                                              Я так подозреваю, что аудит по большей части состоит в grep -i 'NSA|backdoor|master key'. Глазами просмотреть исходный код даже критических компонентов Windows, даже не вчитываясь, малореально. Что уж говорить про глубокий анализ.
                                            0
                                            допустят на российский рынок


                                            А кто-нибудь может объяснить что означает эта фраза? Вот есть магазин Google Play, там сотни тыщ «западных компаний» (почему кстати правила не касаются восточных компаний, а также северных и южных). И вот я, гражданин РФ находящийся в России, покупаю в Google Play одно из этих приложений. Вопрос: кто из нас троих (я, гугл, разработчик) находится на российском рынке? Кто из нас на него допущен? Я не верю что все эти сотни тыщ компаний предоставляли в ФСБ свои исходники. Что по задумке должно происходить с недопущенными компаниями?
                                              0

                                              Мне всё-таки таки кажется, что речь в статье шла о гос. закупках. Слово "рынок" вносит слишком большую путаницу, зря его добавили в статью. И то мне кажется, что речь далеко о всех госпредприятиях. Никто ведь не будет проверять используемый в школах или университетах софт.


                                              В случае приложений для смартфонов — ну, исходники по сути есть только у разработчиков. Другой вопрос, что государство скорее всего обратится к производителю телефонов, а тот переадресует запрос к Гуглу или разработчикам приложений.

                                                0

                                                Ни слова про госзакупки в тексте не нашел. Ну и последняя фраза понимается вполне однозначно:


                                                После отказа показать исходники Symantec больше не сможет продавать в России некоторые корпоративные продукты.
                                                  0
                                                  Ни слова про госзакупки в тексте не нашел. Ну и последняя фраза понимается вполне однозначно:

                                                  Автор, похоже, просто не разобрался в вопросе. Тут и тут пишут, что сертификация нужна только для систем с гостайной и подобных вещей.
                                                  0
                                                  Я даже не поленился сходить в оригинал:

                                                  Russian authorities are asking Western tech companies to allow them to review source code for security products such as firewalls, anti-virus applications and software containing encryption before permitting the products to be imported and sold in the country.
                                                  +1
                                                  Видимо, речь идет о закупках ПО в госструктуры, предприятия имеющие дело с гостайнами, персональными данными, обслуживающими инфраструктурные объекты и тд. Частников никто (пока, во всяком случае) не стесняет рамками в выборе ПО. Впрочем, ветер дует в сторону чебурнета и болгенос уже давно, и с каждым годом все сильнее.
                                                  • НЛО прилетело и опубликовало эту надпись здесь
                                                      +1
                                                      17 приказ (гос органы), 21 приказ (ПДн) требуют использования сертифицированных. Если компания подпадает под эти и иные приказы/ПП — она должна использовать сертифицированное. Если нет — может использовать что угодно
                                                      +1
                                                      Странная позиция у комментаторов — на 100% негативная.
                                                      Если бы сертификация была поголовной для всего ПО, в том числе для личного использования, то тогда бы ещё можно было понять опасения такого характера, что «товарищ майор» встраивает трояны во всё сертифицируемое ПО, чтобы потом следить за всеми гражданами страны. Но в действительности сертификации подлежит только ПО, которое будет использоваться в закрытых системах (где гостайна и прочие аспекты).
                                                      Неужели тем, кто никаким образом не соприкасается с закрытыми системами и сертификацией, имеет смысл опасаться сертифицированных сборок ПО?
                                                      И ещё. Сертификация != поиск уязвимостей и т.д.
                                                      На примере той же Windows логично предположить, что никакая сертификация и близко не соизмерима с тем бюджетом, который Microsoft ежегодно самостоятельно тратит на анализ своих продуктов (тестирование, поиск программных дефектов и т.д.).
                                                        0
                                                        Судя по тому что апдейты выходят крайне редко https://geektimes.ru/post/290387/#comment_10149145 то сертификация это еще и прямая угроза безопасности самим защищаемым серверам.
                                                          +1
                                                          Мы сейчас про какую систему сертификации говорим? Например, ФСТЭК сейчас нормативно закрепил обязательность выпуска обновлений, определил процедуру использования обновления, которые ещё не прошли инспекционный контроль и т.д. Ведомство ведёт активную работу по принуждению (термин грубый, но реальность именно такая) производителей ПО к актуализации сертифицированных версий ПО.
                                                          Апдейты выходят так часто, как это решает производитель ПО. ФСТЭК решило эту ситуацию немного переломить, чтобы производители активнее выпускали обновления.
                                                          Странно винить в качестве продукта кого угодно, но только не производителя продукта. Не так ли?

                                                          Сертификация не является процессом, в результате которого ПО становится неуязвимым. Сертификация направлена на оценку соответствия ПО требованиям того или иного Ведомства. Это, в большей степени, требования к функциональным возможностям ПО, чем к качеству его кода.
                                                          Можно привести такой пример. Есть производитель ОС, он регламентирует как под этой ОС должны функционировать те же антивирусные средства, а именно предъявляет требования по функциональным возможностям этих средств, регламентирует механизмы их встраивания в ОС и т.д. Оценка соответствия стороннего антивируса требованиям производителя ОС можно считать такой же сертификацией.
                                                          Ведомственные сертификации занимаются тем же самым. Различными производителями выпускается много различных ОС (я про отечественные), средств защиты различного назначения (как аппаратных, так и программных) и т.д. Основная суть сертификации в том, чтобы всё это потом вместе дружно заработало и выполняло заявленный функционал.

                                                          Вы же, если настраиваете, например, хостинг на одном из Linux-дистрибутивов, то наверняка же в интернете читаете различные статьи по безопасной настройке Linux, ставите дополнительное ПО для поиска руткитов (и смотрите в интернете какое ПО кто рекомендует) и т.д. Т.е. частично опираетесь на экспертное мнение тех людей, квалификация которых позволяет давать компетентные рекомендации. Однако того или иного совета можете придержаться или не придержаться, решение целиком за вами, все риски тоже целиком на вас. Потеря/искажение информации принесёт ущерб только вам или вашей компании. А в закрытых системах такой же принцип, только вместо интернета есть регулятор. Вот и вся разница.
                                                          Разговоры о том, что регулятор или лаборатория трояны встраивают — паранойя. Если из-за этого трояна произойдёт утечка гостайны, то кто за это будет нести ответственность?
                                                            0
                                                            На сколько я понял комментарий на который ссылался то сертификация задерживает обновления. Если это не так — прошу прощения.
                                                              +1
                                                              Апдейты выходят так часто, как это решает производитель ПО

                                                              Если бы оно было так. Только после проверки испытательной лабораторией. А это не быстрый процесс

                                                              ФСТЭК решило эту ситуацию немного переломить, чтобы производители активнее выпускали обновления

                                                              Поскольку все проходит через испытательные лаборатории — они как-то не хотят работать бесплатно. И за пять копеек тоже не хотят

                                                              Не стоит доверять сказкам ФСТЭК. Полный ИК — как был 6 примерно месяцев, так и остается.
                                                                +1
                                                                Если бы оно было так. Только после проверки испытательной лабораторией. А это не быстрый процесс

                                                                Это не отменяет того факта, что обновление не возникнет из ничего без инициативы производителя ПО. Позиция ФСТЭК сейчас такая, что обновление, направленное на устранение уязвимостей можно применять сразу после выпуска, до завершения процедуры инспекционного контроля. Разве не так? Или Лютиков, публично оглашающий данную позицию, вводит отрасль в заблуждение?

                                                                Поскольку все проходит через испытательные лаборатории — они как-то не хотят работать бесплатно. И за пять копеек тоже не хотят

                                                                Само собой. И так везде, не только в Ведомственных системах сертификации, и не только в РФ. Можно подумать, что RedHat после сертификации RHEL на Common Criteria не досертифицирует обновления или новые версии.
                                                                  +1
                                                                  Не то, чтобы вводит, но вводит. да. Формально да — мы можем обновляться как угодно часто. Но вот скажем вышли обновления продуктов Microsoft. По текущему порядку мы не можем написать, что работаем на скажем хр и выше. Нет, мы обязаны прописать конкретные ОС. А поскольку в новоизмененной производителем ОС мы можем и не работать, то для работы в новой считай ос со старым названием нам нужно менять формуляр. А формуляр — это новая сертификация, по ИК поменять формуляр нельзя
                                                                  Это раз. Два. Ну выпустим мы обновления. По текущему порядку пользователь обязан получить формуляр с контрольными суммами (и наклейку в придачу). При апдейте контрольные суммы слетят, значит нужен новый формуляр. А это покупка у нас (а у кого еще?) новой коробки. Маразм. Хотят апдейты, пусть отменят наконец эти коробки
                                                                    0
                                                                    Ну вот не знаю. Те мнения, которые я слышал от различных разработчиков, пока подтверждают концепцию Лютикова. Противоположное мнение встречают впервые.

                                                                    Не совсем понял что подразумевается под работать в ОС. Речь о чём, о создании автоматизированных систем или сертификации какого-то ПО?
                                                                    Вопрос чисто для собственного развития: есть некая ОС версии 1 с присвоенным децимальным номером. Производитель что-то там допиливает (багфиксы, апдейты, по мелочи) и выпускает ОС версии 2 под тем же децимальным номером. Получается, что во ФСТЭКе нужно проходить сертификацию с самого начала, нельзя дотематить и провести ИК с выдачей сертификата на новую версию?

                                                                    Недостатки, согласен. Нужно их доносить до регулятора. В целом это чисто специфика ФСТЭКа, не во всех системах сертификации так.
                                                                      +1
                                                                      Вот сейчас вышел большой апдейт Windows 10. Внутри все перепахано, антивирусы для поддержки считай новой ОС выпустили обновления. Компании, использующие десятку ее обновили (закрытие уязвимостей). А для занесения в формуляр надо пройти тестирование.
                                                                      Но это еще ладно. Тут хотя бы формально название остается Windows 10 и могут закрыть глаза на формуляр. Хуже если в формуляре было прописано какой SP2, а вышел SP3 или вышла какая windows 11 за время сертификации (напомню она 8 месяцев) — это стопудово новый формуляр и новая сертификация. По ИК недьзя
                                                                      Есет только как-то договорился об общих системных требованиях без указания ОС в формуляре. Но только для Линукса
                                                          –1
                                                          Зачем писать безграмотные новости на тему, в которой автор не разбирается?

                                                          По российскому законодательству, западные компании обязаны подчиниться запросу ФСБ и предоставить для ознакомления исходный код своих проприетарных программ, прежде чем их допустят на российский рынок — власти хотят убедиться, что в программах нет встроенных бэкдоров. Этому требованию подчиняются все компании.

                                                          По какому именно? Не существует никаких запросов ФСБ. Ознакомьтесь с нормативно-правовой базой по сертификации перед тем, как писать такую ерунду и провоцировать страхи. Сертификация добровольная. Кто хочет продавать ПО в те организации, где строятся закрытые системы, обрабатывающие гостайну, тот идёт и сертифицируется. Кто не хочет — тот не сертифицируется. Никто никого не заставляет. Демократия.

                                                          В свою очередь, сами компании говорят, что у них нет другого выбора. Если они не предоставят исходный код, их не пустят на рынок.

                                                          Никого не удивляет, что пищевые продукты должны удовлетворять опредённым требованиям и если в них обнаруживают какую-нибудь инфекцию, то партию уничтожают и запрещают их дальнейшую продажу? Почему-то не слышно, что производители отстаивают своё право поставлять продукцию, не удовлетворяющую санитарно-эпидемиологическим требованиям.

                                                          В последние годы резко выросло количество запросов на аудит исходного кода продуктов Microsoft.

                                                          От кого эти запросы? Сертификация продуктов Microsoft происходит по инициативе заявителя. Кто являлся заявителем можно посмотреть в сертификате. Внезапно одним из заявителей указано представительство Microsoft в РФ.

                                                          Например, исходный код продуктов компании SAP российские специалисты проводили в защищённой лаборатории SAP в Германии.

                                                          npoechelon, у вас там ещё никого не посадили за это?
                                                            +1
                                                            Это же Рейтер для домохозяек, Вы то что умничать стали? Не Ваша аудитория, вот Вам карму и попортили. По ссылки сходите, от видеоряда с Путиным страшно за всю цивилизацию становится. Фотография здания Эшелона по тегом Open Source изрядно позабавила.

                                                            Из полезной информации: Symantec не будет передавать ВСЕ свои продукты на сертификация на отсутствие недекларированных возможностей, остальное журналистская слизь.
                                                            +1
                                                            С каки времен «показать исходный код» гарантирует отсутствие бэкдора в релизных бинарниках?

                                                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                                            Самое читаемое