Этика кибервзлома: США обвиняют Россию во взломе на основании данных из собственных незаконных закладок

Цитата: Magic Spirit от 14.10.2016 18:46:25Этика кибервзлома: США обвиняют Россию во взломе на основании данных из собственных незаконных закладок

14.10.16




Хакеры, взломы, похищение и публичное обнародование информации стали модным трендом. А последний год ознаменовался целым рядом громких событий, доказавших, что незаконный доступ к компьютерным системам и информации стал не только обычным коммерческим рынком со своими покупателями и продавцами (см., например, взлом Hacking Team), но и одним из распространенных инструментов, к которому активно прибегают государства.
Впрочем, конкретно эта неделя запомнилась крайне необычным и интересным заявлением, которое при должной оценке может иметь большие технические, политические и юридические последствия.



Часть 1. Государственный имплант
Неделя началась с обнародования в американской прессе факта получения доступа Агентства национальной безопасности США (АНБ) ко всем письмам почтового сервиса Yahoo! — речь о более чем 500-миллионной аудитории пользователей, большинство из которых — американцы. Массовая слежка за пользователями была организована, по словам информированных источников, через установку в почтовую систему Yahoo! специальной программы — руткита (в терминах АНБ это «имплант», т. е. скрытно установленная программа для негласного выполнения разнообразных действий). Этот механизм позволял АНБ сканировать всю почту всех пользователей с целью поиска интересующей информации. То есть речь шла не о слежке за конкретным пользователем (хорошо бы — еще и с санкции суда), а о массовом анализе всех проходящих сообщений.
Что интересно, речь идет не о программе массовой слежки PRISM, информацию о которой три года назад обнародовал Эдвард Сноуден — это другая, неизвестная ранее секретная программа.
Второе важное следствие: подтвердилось давнее подозрение относительно глобальной распространенности таких программ. По информации из прессы, в США уже достаточно давно действует секретная процедура, в рамках которой любая американская компания, работающая в сфере ИТ, может получить от спецслужб секретное предписание (разглашение которого равно разглашению государственной тайны со всеми вытекающими из этого последствиями), обязательное к исполнению: например, встроить «имплант» в свое ПО или оборудование. В теории, обжаловать такое предписание компания может в суде (называется FISA), однако речь идет о специальном секретном суде, который тесно связан с государственными структурами, ответственными за безопасность.
Можно ли считать историю с Yahoo! уникальной? Маловероятно. Во-первых, никто ради одного случая не будет разрабатывать целую программу и вводить соответствующие процедуры с судами и т. п. Во-вторых, в прессе появилась информация, что ряд вендоров якобы ищет легальные способы борьбы с этой инициативой, например предлагается заранее вывешивать на свой сайт заявление о том, что они не сотрудничают со спецслужбами, а потом, в случае получения секретного приказа — убирать его. Это одна из немногих оставшихся возможностей уведомить пользователей о том, что их данные не в безопасности. Впрочем, вряд ли им позволят даже это.
Таким образом, возникают вполне обоснованные подозрения, что любой американский вендор, включая Microsoft, Oracle, Cisco и т. д., может получить такое секретное предписание и будет обязан выполнить приказ о встраивании «импланта» так же, как и Yahoo!, заявившая на прямой вопрос прессы: «Мы законопослушная компания». Причем — это стоит отметить особо — слежка может вестись за гражданами и организациями как США, так и любой другой страны, а возможности для ее ведения могут встраиваться в оборудование, предназначенное для работы в любой части мира.
Новая информация позволяет по-новому взглянуть на многие недавние события, когда лидеры ИТ-рынка — Microsoft, Apple, Google — раз за разом рассказывали пользователям, что массовой слежки не производится, а они стоят на страже приватности пользователей. И официально клялись, что наши данные в безопасности.
Часть 2. Официальные обвинения России во взломе, построенные на доказательствах, полученных путем взлома
Но самые интересные события произошли все же в конце недели.
Прямые обвинения
Уже довольно давно в США ведется жесткая кампания по обвинению российских хакеров в различных взломах американских и международных структур с последующим обнародованием украденной информации. Постепенно СМИ дошли до обвинений в попытках влиять на работу избирательной системы (а это прямое покушение на основы государственного строя, серьезнейшее преступление — или недружественный акт со стороны другого государства). Недавно в этой кампании произошел новый поворот: стали появляться многочисленные утверждения, что речь идет не просто о «русских хакерах», а о целенаправленной деятельности, управляемой государством, т. е. Россию обвиняют фактически в акте агрессии против США.
На этой неделе обвинения стали официальными: в официальном заявлении Министерства внутренней безопасности (Department Of Homeland Security) и Управления национальной разведки по безопасности выборов (Office of the Director of National Intelligence on Election Security) Россия как государство прямо обвиняется в организации и координации атак на государственную ИТ-инфраструктуру США.
Это произошло впервые в истории: хотя до этого в разные моменты времени в совершении кибератак обвинялись хакеры Китая и Северной Кореи, но никогда дело не доходило до официальных обвинений в отношении государства.
Впрочем, гораздо интереснее не политический аспект события, а то, как именно спецслужбы выяснили, кто стоит за данной атакой.
Никаких технических доказательств
На протяжении последних месяцев произошла целая серия кибератак: на серверы демократической партии США, почтовый сервер Хилари Клинтон, антидопинговое агентство WADA, систему голосования США и т. д. Однако ни в одном случае никаких существенных фактов, доказывающих, кто именно несет ответственность, общественности предъявлено так и не было. Спецслужбы США отделывались лишь туманным «факты получены на основании секретных оперативных данных». В результате даже многие американские ИБ-эксперты серьезно сомневались в том, что атаки были инспирированы со стороны России. Это породило массу показательных шуток типа:
Заголовок в прессе: спецслужбы из РФ взломали систему голосования!
Реальность: более 10 лет CMS без обновлений и слабый пароль.
Никаких доказательств нет и сейчас. В официальном заявлении американских правительственных органов прозвучало лишь странное утверждение, что «деятельность хакеров в целом соответствует направлениям деятельности российского государства, поэтому это точно оно». Государственный департамент также отказался приводить доказательства.
Незаконные доказательства доказательствами не считаются. Или?..
Для начала давайте взглянем, что же предшествовало обнародованию данного официального обвинения.
После нескольких взломов (и до выдвинутых официальных обвинений в отношении России) произошел скандал с обнародованием в сети части архива кибероружия АНБ, где в исходных кодах были представлены те самые «импланты», в частности «имплант» для оборудования Cisco, о котором три года назад писало издание Der Spiegel применительно к истории со Сноуденом. Так широкая общественность поняла, что «импланты» АНБ — это реальность, а не «параноидальный» вымысел экспертов по информационной безопасности. «Джинн» был выпущен из бутылки.
Затем происходит история с руткитом Yahoo! и обнародованием секретного приказа для официального встраивания «имплантов», ставшая венцом целой серии аналогичных скандалов.
Через день после того, как Россию обвинили в кибератаках, в одной из статей The New York Times, посвященной вариантам действий в связи с «русской угрозой», проскочила фраза о том, что доказательства причастности России были добыты АНБ «путем использования «имплантов» в оборудовании и ПО, расположенном на территории других стран, в том числе, вероятно, и в России».
То есть если описать ситуацию простым языком: ведущее СМИ США в качестве доказательства того, что государственные органы США, политические группы и т. д. были взломаны «русскими хакерами», приводит неофициальные слова «представителей разведки» о том, что информацию они получили благодаря предварительному взлому государственных сетей в Российской Федерации, с помощью которых якобы и координировался взлом американских сетей.
В принципе, все понятно: теперь нет никакого смысла отрицать очевидное, и можно спокойно допускать проникновение в прессу через доверенные источники информации об использовании «имплантов» АНБ.
Кому-то можно?
То есть Россию обвиняют в государственном взломе, но при этом власти США сами признаются, что информация об этом добыта посредством… аналогичного государственного взлома при помощи тех самых «имплантов» АНБ! Парадокс.
Технических доказательств не предъявлено и, скорее всего, предъявлено не будет. Таким образом, в профессиональной среде вопрос ответственности России остается недоказанным, но целевой аудиторией являются не они, а простые американцы, для которых простыми средствами быстро лепят новый образ врага.
И при этом для придания веса бездоказательному заявлению авторитетные СМИ США вполне открыто пишут о том, что государственный взлом находящихся за рубежом компьютеров и компьютерных сетей является для спецслужб США обыденным делом, не нуждающимся в какой-либо отдельной оценке.

Маски сняты
Еще несколько месяцев назад вполне можно было считать, что Сноуден все придумал, никаких имплантов АНБ или секретных программ слежки не существует и в помине, а американские ИТ-гиганты стоят на страже демократических свобод граждан по всему свету. Однако стремительная череда событий последних месяцев явно доказывает, что это совершенно не так.
Вначале — обнародование в исходных текстах архива кибероружия АНБ вместе с инструкциями полевым агентам, включая детали вплоть до названий «имплантов», подтвердивших статью в Der Spiegel трехлетней давности (видимо, связанную со Сноуденом). Затем — признание уже самих американских властей, что Сноуден и правда выкрал секретные документы (а ранее они это не подтверждали).
Потом — обнародование истории с «имплантом» АНБ в Yahoo!, поставившее точку в подозрениях о секретных приказах и продемонстрировавшее, что любую ИТ-компанию США могут обязать официально (!) встроить «имплант» в ПО и оборудование, в том числе и предназначенные для зарубежного использования — причем запретив ей кого-либо уведомлять об этом.
А в заключение — полуофициальное признание спецслужбами США использования «имплантов» в оборудовании и ПО, легально поставленном в РФ, для осуществления собственной шпионской деятельности.
Все, забрало поднято и маски сняты?
Печальные итоги
Судя по всему, в распоряжении правительства США есть законный механизм секретного встраивания «имплантов» в продукты любого производителя или разработчика, подпадающего под американскую юрисдикцию. Которым оно, скорее всего, регулярно пользуется. Здесь так и напрашивается шутка про то, что, видимо, АНБ просто надоело перехватывать на почте и вскрывать маршрутизаторы Cisco для встраивания своего «импланта» — информация об этом факте была обнародована два года назад в прессе, и компания Cisco тогда была вынуждена комментировать этот факт в СМИ, обратившись к Президенту США. Теперь же достаточно выпустить соответствующую секретную директиву и обязать вендора встроить «имплант» на заводе при конкретной поставке.

А что же делать нам? А нам всем в очередной раз пора свыкнуться с новой технической и, к сожалению, политической реальностью и перестать отрицать очевидное, сняв розовые очки и распрощавшись с иллюзиями, если у кого-то они еще оставались. Теперь практически официально подтверждено, что любое поставляемое США в Россию ПО и оборудование может содержать вполне официальные американские «импланты». Другое дело — складывается впечатление, что у нас будут закупать данную продукцию даже при наличии наклейки «Содержит имплант АНБ». Но это уже совершенно другая история. Видимо, пора привыкать к новому миру. «Приучили к уязвимостям — приучим и к имплантам».
Об авторе: Илья Медведовский — эксперт, директор компании Digital Security, занимающейся информационной безопасностью.
.
Ссылка

Цитата: Magic Spirit от 14.10.2016 18:46:25

 

• +1.37 / 24

Цитата: Советчик от 15.10.2016 09:32:10А у нас всё сильно проще. У нас существует ФСБ, которая сертифицирует для "компетентных органов" использование зарубежного софта. Причем проверяет его на уровне исходников. А остальные живут и не парятся тем фактом, что их слушают все кому не лень.

Гораздо неприятнее тот факт, что в час "Ч" весь этот софт и железо могут превратиться в тыкву по команде "кого надо".

Цитата: Советчик от 15.10.2016 09:32:10

 

• +0.51 / 11

Цитата: Советчик от 15.10.2016 09:32:10А у нас всё сильно проще. У нас существует ФСБ, которая сертифицирует для "компетентных органов" использование зарубежного софта. Причем проверяет его на уровне исходников. А остальные живут и не парятся тем фактом, что их слушают все кому не лень.

Гораздо неприятнее тот факт, что в час "Ч" весь этот софт и железо могут превратиться в тыкву по команде "кого надо".

Цитата: Советчик от 15.10.2016 09:32:10

 

• +0.86 / 15

Цитата: MB от 15.10.2016 12:04:17не уверен, что даже при сертификации в ФСБ/ФСТЭК все западные вендоры предоставляют все исходники.
если бы это даже было так (во что, опять же - не верю), то следующее сомнение у меня возникает относительно физической способности обнаружить "закладки" в предоставленных исходниках, составляющих стопицот охренилиярд мегастрок кода, половина которого написана "гениальными программастами" из Индии без использования комментариев, а вторая половина - это "древние полу-забытые санкскриты" типа COBOL, ADA, DIBOL, FORTRAN и иже с ними.
если же для сертификации предоставляется код в виде процессорных команд или на каком-то этапе используется механизм дезассемблирования и т.п., то говорить о качестве результата сертификации в смысле гарантий отсутствия "закладок" - вообще странно.
однако-ж, это всё вообще фигня, так как, ИМХО, основные "бэк-доры" - в ОС и железе сетевого и коммутационного оборудования.
не говоря уже про технологии дистанционного свч сканирования и пр.

впрочем, Вы и сами подтверждаете мои мысли о сомнительной эффективности сертификации зарубежного софта, говоря про последствия часа "Х".
была бы уверенность в эффективности сертификации - никакого часа Х - не боялись бы...

Цитата: MB от 15.10.2016 12:04:17

 

• +0.19 / 9

Цитата: Советчик от 15.10.2016 19:20:39Поэтому принято решение о перелезании на линуксовую платформу в исполнении российской компании. С железом все намного грустнее.

Цитата: Советчик от 15.10.2016 19:20:39

 

• +0.68 / 14

Цитата: MB от 15.10.2016 20:12:26в конце-концов, надо "определиться с определениями": стационарный и мобильный ябло-ОС, тот же Андроид - это тоже "форки" Линуха.

Ябло-ОС ни разу не форк Линукса, это FreeBSD с микроядром Mach. Но и то, и другое -- потомки UNIX.

Есть ещё Убунта, задуманная изначально для нигга-юзверей из диких африканских племён (тоже - не плоха, кстати, на мой непрофессиональный взгляд).

Вот Убунта действительно форк Линукса

кроме того, исключительные права на основные "ветки" Линуха - принадлежат залужным дядям. далеко ходить за примерами не надо: когда ввели санкции, то та же КраснаяШапочка, ЕМНИП, объявила, что все наши "санкционные пользователи" - вне закона и без поддержки.

Речь шла только о поддержке. Я, кстати, не знаю прецедентов использования такой поддержки в госструктурах (дорого и бессмысленно).

что такое GNU, GPL и т.п. - это отдельная тема. однако, все, кто думает, что это "бесплатная халява" и в рамках действующего законодательства РФ в части защиты исключительных прав правообладателей - этой "халявой" можно пользоваться "неограниченно и по своему усмотрению" - они, как минимум, не всё "догоняют".

Это ОЧЕНЬ сложная тема. Как минимум, нужно внимательно читать сами лицензии. Ну, и еще 4 часть ГК РФ, где много интересного.

просто представьте себе, что mission-critical распределённая система сбера или втб - переведена (случилось чудо - прошла опытно-промышленный этап) на какой-нибудь локальный форк Линуха.
завтра - "хлоп", "биг-барабум".
ну и к кому Оскарович поедет с банкой вазелина? ехать-то - не к кому... можно конечно порвать растянутый свитер (ну и сфинктер, заодно) какому-нить "красноглазому". и что?

Собственно, ни к кому он особенно не поедет (не царское это дело, кроме всего прочего). Когда у Сбера несколько лет назад возникла проблема со вполне официальным Ораклом, стоявшим на вполне официальном сопровождении, им пришлось обращаться к общественности (буквально), опубликовав на своем сайте призыв помочь разобраться, что происходит. 
Качество официальной поддержки со стороны зарубежных производителей ПО не надо переоценивать. Пообщайтесь как-нибудь со службой поддержки какого-нибудь производителя производственного ПО -- это тот еще квест, когда вы будете объяснять на русском английском сотруднику колл-центра где-нибудь в Бангалоре, владеющему индийским английским, что у вас случилось и чего вы хотите.

Цитата: MB от 15.10.2016 20:12:26

 

• +0.50 / 12

Цитата: ЦитатаЯбло-ОС ни разу не форк Линукса, это FreeBSD с микроядром Mach. Но и то, и другое -- потомки UNIX.

• +0.07 / 14

Цитата: MB от 15.10.2016 20:12:26
я не в курсе, про какое именно решение и на каком уровне принятое Вы говорите, но спорить с тем, что эта мысль сама по себе весьма здравая, а направление движения верное - никаких оснований не имею.
хотелось бы только при этом, чтобы движение это - не напоминало броуновское, но было бы осмысленным и выверенным.
в конце-концов, надо "определиться с определениями": стационарный и мобильный ябло-ОС, тот же Андроид -
это тоже "форки" Линуха. Есть ещё Убунта,

Цитата: MB от 15.10.2016 20:12:26

 

Цитата: MB от 15.10.2016 20:12:26задуманная изначально для нигга-юзверей из диких африканских племён (тоже - не плоха, кстати, на мой непрофессиональный взгляд).
я не спец, но смотрел несколько "наших Линухов". дикого восторга и конвульсий пароксизЬма, признаюсь, не было. вполне утилитарные решения есть, однако "сморщенный лобик" главного РП на очередном проекте, где надо было выбрать "наш Линух" - даёт мне основания думать, что не всё так просто.
кроме того, исключительные права на основные "ветки" Линуха - принадлежат залужным дядям. далеко ходить за примерами не надо: когда ввели санкции, то та же КраснаяШапочка, ЕМНИП, объявила, что все наши "санкционные пользователи" - вне закона и без поддержки.
что такое GNU, GPL и т.п. - это отдельная тема. однако, все, кто думает, что это "бесплатная халява" и в рамках действующего законодательства РФ в части защиты исключительных прав правообладателей - этой "халявой" можно пользоваться "неограниченно и по своему усмотрению" - они, как минимум, не всё "догоняют".
можно (и нужно) делать локальные форки.
те которые видел - либо кривые, либо не поддерживают важный на сегодня функционал.
не стОит также забывать про сопровождение.
просто представьте себе, что mission-critical распределённая система сбера или втб - переведена (случилось чудо - прошла опытно-промышленный этап) на какой-нибудь локальный форк Линуха.
завтра - "хлоп", "биг-барабум".
ну и к кому Оскарович поедет с банкой вазелина? ехать-то - не к кому... можно конечно порвать растянутый свитер (ну и сфинктер, заодно) какому-нить "красноглазому". и что?
ладно, многабукаф написАл уже.
если не прав - буду весьма признателен за _конструктивную_ и _содержательную_ критику.

Цитата: MB от 15.10.2016 20:12:26

 

• +1.13 / 21

Цитата: Донецкий от 15.10.2016 20:59:12Какое упущение - до сих пор по-настоящему на ГА не было разборок "линуксоиды vs виндузятники". А ведь это золотое дно!

Цитата: Донецкий от 15.10.2016 20:59:12

 

• +0.24 / 1

Цитата: MB от 15.10.2016 20:12:26я не в курсе, про какое именно решение и на каком уровне принятое Вы говорите, но спорить с тем, что эта мысль сама по себе весьма здравая, а направление движения верное - никаких оснований не имею.
хотелось бы только при этом, чтобы движение это - не напоминало броуновское, но было бы осмысленным и выверенным.
в конце-концов, надо "определиться с определениями": стационарный и мобильный ябло-ОС, тот же Андроид - это тоже "форки" Линуха. Есть ещё Убунта, задуманная изначально для нигга-юзверей из диких африканских племён (тоже - не плоха, кстати, на мой непрофессиональный взгляд).
я не спец, но смотрел несколько "наших Линухов". дикого восторга и конвульсий пароксизЬма, признаюсь, не было. вполне утилитарные решения есть, однако "сморщенный лобик" главного РП на очередном проекте, где надо было выбрать "наш Линух" - даёт мне основания думать, что не всё так просто.
кроме того, исключительные права на основные "ветки" Линуха - принадлежат залужным дядям. далеко ходить за примерами не надо: когда ввели санкции, то та же КраснаяШапочка, ЕМНИП, объявила, что все наши "санкционные пользователи" - вне закона и без поддержки.
что такое GNU, GPL и т.п. - это отдельная тема. однако, все, кто думает, что это "бесплатная халява" и в рамках действующего законодательства РФ в части защиты исключительных прав правообладателей - этой "халявой" можно пользоваться "неограниченно и по своему усмотрению" - они, как минимум, не всё "догоняют".
можно (и нужно) делать локальные форки.
те которые видел - либо кривые, либо не поддерживают важный на сегодня функционал.
не стОит также забывать про сопровождение.
просто представьте себе, что mission-critical распределённая система сбера или втб - переведена (случилось чудо - прошла опытно-промышленный этап) на какой-нибудь локальный форк Линуха.
завтра - "хлоп", "биг-барабум".
ну и к кому Оскарович поедет с банкой вазелина? ехать-то - не к кому... можно конечно порвать растянутый свитер (ну и сфинктер, заодно) какому-нить "красноглазому". и что?
ладно, многабукаф написАл уже.
если не прав - буду весьма признателен за _конструктивную_ и _содержательную_ критику.

Цитата: MB от 15.10.2016 20:12:26

 

• +0.16 / 11

Цитата: MB от 15.10.2016 20:12:26можно (и нужно) делать локальные форки.
те которые видел - либо кривые, либо не поддерживают важный на сегодня функционал.
не стОит также забывать про сопровождение.
просто представьте себе, что mission-critical распределённая система сбера или втб - переведена (случилось чудо - прошла опытно-промышленный этап) на какой-нибудь локальный форк Линуха.
завтра - "хлоп", "биг-барабум".
ну и к кому Оскарович поедет с банкой вазелина? ехать-то - не к кому... можно конечно порвать растянутый свитер (ну и сфинктер, заодно) какому-нить "красноглазому". и что?

Цитата: MB от 15.10.2016 20:12:26

 

• +0.08 / 4

Цитата: MB от 15.10.2016 20:12:26я не в курсе, про какое именно решение и на каком уровне принятое Вы говорите, но спорить с тем, что эта мысль сама по себе весьма здравая, а направление движения верное - никаких оснований не имею.


хотелось бы только при этом, чтобы движение это - не напоминало броуновское, но было бы осмысленным и выверенным.
в конце-концов, надо "определиться с определениями": стационарный и мобильный ябло-ОС, тот же Андроид - это тоже "форки" Линуха. Есть ещё Убунта, задуманная изначально для нигга-юзверей из диких африканских племён (тоже - не плоха, кстати, на мой непрофессиональный взгляд).
я не спец, но смотрел несколько "наших Линухов". дикого восторга и конвульсий пароксизЬма, признаюсь, не было. вполне утилитарные решения есть, однако "сморщенный лобик" главного РП на очередном проекте, где надо было выбрать "наш Линух" - даёт мне основания думать, что не всё так просто.
кроме того, исключительные права на основные "ветки" Линуха - принадлежат залужным дядям. далеко ходить за примерами не надо: когда ввели санкции, то та же КраснаяШапочка, ЕМНИП, объявила, что все наши "санкционные пользователи" - вне закона и без поддержки.
что такое GNU, GPL и т.п. - это отдельная тема. однако, все, кто думает, что это "бесплатная халява" и в рамках действующего законодательства РФ в части защиты исключительных прав правообладателей - этой "халявой" можно пользоваться "неограниченно и по своему усмотрению" - они, как минимум, не всё "догоняют".
можно (и нужно) делать локальные форки.
те которые видел - либо кривые, либо не поддерживают важный на сегодня функционал.
не стОит также забывать про сопровождение.
просто представьте себе, что mission-critical распределённая система сбера или втб - переведена (случилось чудо - прошла опытно-промышленный этап) на какой-нибудь локальный форк Линуха.
завтра - "хлоп", "биг-барабум".
ну и к кому Оскарович поедет с банкой вазелина? ехать-то - не к кому... можно конечно порвать растянутый свитер (ну и сфинктер, заодно) какому-нить "красноглазому". и что?

ладно, многабукаф написАл уже.
если не прав - буду весьма признателен за _конструктивную_ и _содержательную_ критику.

Цитата: MB от 15.10.2016 20:12:26

 

• +0.72 / 16

Цитата: Советчик от 15.10.2016 22:43:17Проходила новость, что сделали сборку "Аврора" по заданию ФСБ для распространения в госучреждениях. Линукс пару раз в жизни видел поэтому ничего осмысленного по этому поводу сказать не могу. Но:

1. На все лицензионные соглашения ФСБ положит болт с пробором и ничего у них в душе не шевельнется.

2. Сборку делала российская фирма. И самое главное, что в ней гарантировано не будет закладок "так называемых партнеров". Остальное допилят постепенно.

Цитата: Советчик от 15.10.2016 22:43:17

 

• +0.60 / 6

Цитата: CCCR от 15.10.2016 22:53:27Партнеры давно делают закладки не в ПО а в железо.

Цитата: CCCR от 15.10.2016 22:53:27

 

• +0.39 / 5

Цитата: Советчик от 15.10.2016 22:43:17Проходила новость, что сделали сборку "Аврора" по заданию ФСБ для распространения в госучреждениях. Линукс пару раз в жизни видел поэтому ничего осмысленного по этому поводу сказать не могу. Но:

1. На все лицензионные соглашения ФСБ положит болт с пробором и ничего у них в душе не шевельнется.

2. Сборку делала российская фирма. И самое главное, что в ней гарантировано не будет закладок "так называемых партнеров". Остальное допилят постепенно.

Цитата: Советчик от 15.10.2016 22:43:17

 

• +0.51 / 9

Цитата: Советчик от 15.10.2016 22:43:17Проходила новость, что сделали сборку "Аврора" по заданию ФСБ для распространения в госучреждениях. Линукс пару раз в жизни видел поэтому ничего осмысленного по этому поводу сказать не могу. Но:

1. На все лицензионные соглашения ФСБ положит болт с пробором и ничего у них в душе не шевельнется.

2. Сборку делала российская фирма. И самое главное, что в ней гарантировано не будет закладок "так называемых партнеров". Остальное допилят постепенно.

Цитата: Советчик от 15.10.2016 22:43:17

 

• +0.32 / 5

Цитата: Советчик от 15.10.2016 22:43:17Проходила новость, что сделали сборку "Аврора" по заданию ФСБ для распространения в госучреждениях. Линукс пару раз в жизни видел поэтому ничего осмысленного по этому поводу сказать не могу. Но:

1. На все лицензионные соглашения ФСБ положит болт с пробором и ничего у них в душе не шевельнется.

2. Сборку делала российская фирма. И самое главное, что в ней гарантировано не будет закладок "так называемых партнеров". Остальное допилят постепенно.

Цитата: Советчик от 15.10.2016 22:43:17

 

• +0.16 / 11

Цитата: Kris от 16.10.2016 20:03:44Хрень полная. Какая разница кто делает сборку. Даже написать саму систему (ядро) не так уж и чрезмерно затратно. Основная проблема - устройства, то бишь драйвера к ним. Сами вы их не напишите, а проанализировать миллиарды строк кода на закладки нереально. Единственный выход - унификация и резкое сужение спектра используемого оборудования, но это путь к Северной Корее в сфере ИТ.

Цитата: Kris от 16.10.2016 20:03:44

 

• +0.95 / 19

Цитата: LightElf от 16.10.2016 23:17:42Ничего подобного. Это путь фирмы Apple. Узкий список поддерживаемого железа, продаваемого за очень дополнительные деньги.

Цитата: LightElf от 16.10.2016 23:17:42

 

• +0.06 / 10

Цитата: Kris от 16.10.2016 20:03:44Хрень полная. Какая разница кто делает сборку. Даже написать саму систему (ядро) не так уж и чрезмерно затратно. Основная проблема - устройства, то бишь драйвера к ним. Сами вы их не напишите, а проанализировать миллиарды строк кода на закладки нереально. Единственный выход - унификация и резкое сужение спектра используемого оборудования, но это путь к Северной Корее в сфере ИТ.

Цитата: Kris от 16.10.2016 20:03:44

 

• +0.21 / 7

Цитата: MB от 15.10.2016 12:04:17не уверен, что даже при сертификации в ФСБ/ФСТЭК все западные вендоры предоставляют все исходники.
если бы это даже было так (во что, опять же - не верю), то следующее сомнение у меня возникает относительно физической способности обнаружить "закладки" в предоставленных исходниках, составляющих стопицот охренилиярд мегастрок кода, половина которого написана "гениальными программастами" из Индии без использования комментариев, а вторая половина - это "древние полу-забытые санкскриты" типа COBOL, ADA, DIBOL, FORTRAN и иже с ними.
если же для сертификации предоставляется код в виде процессорных команд или на каком-то этапе используется механизм дезассемблирования и т.п., то говорить о качестве результата сертификации в смысле гарантий отсутствия "закладок" - вообще странно.
однако-ж, это всё вообще фигня, так как, ИМХО, основные "бэк-доры" - в ОС и железе сетевого и коммутационного оборудования.
не говоря уже про технологии дистанционного свч сканирования и пр.

впрочем, Вы и сами подтверждаете мои мысли о сомнительной эффективности сертификации зарубежного софта, говоря про последствия часа "Х".
была бы уверенность в эффективности сертификации - никакого часа Х - не боялись бы...

Цитата: MB от 15.10.2016 12:04:17

 

• +2.67 / 51

Цитата: ip74 от 15.10.2016 23:07:59Я со своей колокольни IT скажу (как админ РЖД).
Судя по всему никто не парится ПОКА на счет рабочих мест (в терминах IT). Ну сдохнет ворд и винда и хер с ней. Это мнение больших дядей в РЖД.
Только прикол в том, то те же поездные диспетчера уже разучились график движения на бумажке рисовать сами.
Я участвовал в этом процессе, что называется с 0. Тогда народ сидел и дублировал на бумаге (формат аля А0) куда и какой поезд едет. При чем на тот момент иногда бумага выигрывала у софта (ну тупо диспетчер с места раньше инфу получал, чем её вводили в базу). Теперь все повязано.
У нас теперь беда. Руководство сходило на курсы дэфиктивного мэнджмента. Теперь усиленно боремся со здравым смыслом.
Вместо того, чтобы внедрить решения аля "Эльбрус", как Пенсионный Фонд, мы покупаем 2 Main Frame у IBM и втыкаем всю ботву по Экспрессу в Москве.
Да хотя бы на х86 платформу перевели бы...Китайские товарищи, я думаю, нам бы не отказали в дополнительной поставке серверов или микросхем для того же Аквариуса.
И это при отсутствии адекватного персонала там.
А на счет сертификации. Ну это и ежу понятно, что на определенные классы защиты все делается формально.
Или вы думаете, что ФСБ (ранее ФСТЭК) реально код под маршрутизатор Cisco 26хх серии смотрел?
А между тем я их акты подписывал. Типа проверили на предмет левых излучений и всего плохого.

Цитата: ip74 от 15.10.2016 23:07:59

 

• +0.00 / 0

Цитата: MB от 15.10.2016 12:04:17вторая половина - это "древние полу-забытые санкскриты" типа COBOL, ADA, DIBOL, FORTRAN и иже с ними.

Цитата: MB от 15.10.2016 12:04:17

 

• +0.00 / 0

Цитата: adolfus от 18.10.2016 08:49:59Есть документ о переносимости и безопасности ПО для госорганизаций США, где упоминается о четырех языках. Это -- ADA, C, COBOL и FORTRAN. И нет там никакого дибола. Других языков там тоже нет. Ни ни шарпов, ни жавы, никаких руби с питонами. В конце 90-х были попытки бизнеса пропихнуть туда кресты и паскакль, но процессом рулили ЦРУшники и тогдашним гигантам говнософта показали смачную дулю. А чтобы не дергались и не жаловались в конгресс маме, разделили одного гиганта и придушили другого.
ADA и FORTRAN в настоящее время активно используются и в своем сегменте им альтернативы не видно даже на горизонте.
Практически все численные методы написаны на фортране, а все попытки разных школоло переписать их сначала на си, потом на крестах, провалились с треском. Как горится, у тех, кто может это сделать, нет в этом необходимости, а у тех, у кого есть такая необходимость, нет соответствующих знаний и умений.
Ада используется там, где одним из требований является высокая надежность кода и это должно доказываться формальными методами. Это один из тех редких языков, которые поддерживают параллелизм, при этом если и есть здесь формальные альтернативы аде, то это какие-нибудь студенческие поделки, с которыми носятся разного рода гики.
Кобол ничем не хуже остальных языков, которые используются для разработки бизнес-приложений, причем для работы с данными ему нет альтернативы опять же в отношении понятности и надежности кода.

P.S.
ИЖЕ -- который. Применяем русский язык правильно.

Цитата: adolfus от 18.10.2016 08:49:59

 

• +0.02 / 1

Цитата: MB от 18.10.2016 13:32:07Всякие FIPS и NIST-800-XX - я пролистывал в своё время. Сказать, что они более логичные, стройные и т.п. в сравнении с нашей нормативно-регламентной базой - я не могу.

Цитата: MB от 18.10.2016 13:32:07

 

• +0.00 / 0

Цитата: adolfus от 18.10.2016 08:49:59Есть документ о переносимости и безопасности ПО для госорганизаций США, где упоминается о четырех языках. Это -- ADA, C, COBOL и FORTRAN. ...

Цитата: adolfus от 18.10.2016 08:49:59

 

• +0.00 / 0

Цитата: офисный планктон от 15.10.2016 12:15:21ща уже получше
рутеры китайские в основном идут
да и випиэны и фаервулы уже свои

Цитата: офисный планктон от 15.10.2016 12:15:21

 

• +0.66 / 12

Цитата: пОМиДор от 15.10.2016 20:18:45Товарищ Советчик просто стебется

Вот не могу понять (с)
Толи ФСБ неправильно сертифицирует, то ли там одни предатели сидят.

Иначе как "весь этот софт (сертифицированый - tAMaT) и железо  (сертифицированое - tAMaT) могут превратиться в тыкву по команде "кого надо"."

Цитата: пОМиДор от 15.10.2016 20:18:45

 

• +0.25 / 2

Цитата: Алексей N от 16.10.2016 05:51:53Товарищ Советчик просто не в курсах , в серьёзных конторах на закладки проверяется все, софт и железо . Плюс режим .

Цитата: Алексей N от 16.10.2016 05:51:53

 

• +0.06 / 2

Цитата: OlegNZH_ от 16.10.2016 06:18:37.....
PS А  вообще -  успокойтесь . Не было ни одного факта закладок фффф железо  (Промышленники - да  там коммерция , и то , чисто для сопровождения )  Но Вояки - - да им нафиг такая байда нужна ..  ЭТО ВСЁ НЕНАДЁЖНО !- Соответсвенно для Военных не Нужно! . Успокойтесь.

Цитата: OlegNZH_ от 16.10.2016 06:18:37

 

• +0.98 / 9

Цитата: Pim от 16.10.2016 07:44:38Вы ошибаитесь. Закладки в железе - были. Емнип - начало 2000х. Было информ сообщение ФАПСИ.

Цитата: Pim от 16.10.2016 07:44:38

 

• +0.02 / 1

Цитата: OlegNZH_ от 16.10.2016 09:00:46Это чисто коммерция  (в ПО я и сам бэкдоры закладываю...а в железе ..). Закладки в железе ФАПСИ смогла найти !? Да не смешите мои Тапки!  Они кристалл  перебирали , что-ли ?   Давайте , сказочник -  об этом забудете , как анекдот...
PS Вообще-то  была инфа , что маски не соответствуют  изначальным , встроено что-то ...но Китайцы затейники  ...и проверить никак .

Цитата: OlegNZH_ от 16.10.2016 09:00:46

 

• +0.17 / 4

Цитата: OlegNZH_ от 16.10.2016 06:18:37Каким образом Вы предполагаете проверять маски на заводе изготовителе в Китае , допустим.  Это Реинжениринг делать - равнозначно кристалл с нуля разработать . (даже дороже  многократно )
PS А  вообще -  успокойтесь . Не было ни одного факта закладок фффф железо  (Промышленники - да  там коммерция , и то , чисто для сопровождения )  Но Вояки - - да им нафиг такая байда нужна ..  ЭТО ВСЁ НЕНАДЁЖНО !- Соответсвенно для Военных не Нужно! . Успокойтесь.

Цитата: OlegNZH_ от 16.10.2016 06:18:37

 

• +0.95 / 23

Цитата: iz_kirova от 16.10.2016 10:09:08В железе не было. А вот по утверждению некоторых товарищей с 2010 с BIOS мутят на базе автоматического обновления. 
Ссылки у меня нет, но товарищ подробно ковырялся (по работе) с системами на уровне загрузчиков. И частенько налетал на несоответствие одной и той же официальной версии прошивки самой себе. С его слов выходит, что Мother board после подключения к интернет напрямую, мимо софта высокого уровня, в течении 4х месяцев скачивает обновление своей прошивки (за тем же номером, но другой чек-суммой). Т.е. имеет место быть безусловный back door.

Цитата: iz_kirova от 16.10.2016 10:09:08

 

• +0.26 / 5