НовостиСобытияКонференцииФорумыIT@Work
Open Source:

Блог

Бывший руководитель по обеспечению приватности в Microsoft теперь доверяет только открытому ПО

Евгений Васильев
07.10.2013 08:54:44

Некоторое время назад читал статью о качестве "приватности" в продуктах MS.

А качество "приватности" в продуктах MS такое, что бывший глава подразделения по обеспечению приватности компании Майкрософт, Каспар Боуден, работавший в Microsoft с 2002 по 2011 год сам перешел на СПО и других призывает со знанием дела. Скорее всего под словом "приватность" компания MS подразумевает "приватно копаться в чужом белье".

В начале этого периода я и сам пользовался Windows, и у меня возникло чувство что пациент сидящей в очереди к проктологу в проходном коридоре, более приватен, чем я с ноутбуком в своей квартире, хуже может быть только Web-камера общего пользования в моей ванне, но это я уже постараюсь избежать.

Кроме всего прочего есть же еще госорганы, где есть какая-то секретность.

Вообще я все больше и схожу к мысли, что Россия - очередная колония США, очередной штат после Грузии, а Windows - это рядовое око "большого брата", или точнее сказать "господина". Упорство с которым защищается Windows на объектах с секретностью больше напоминает измену Родине, нежели заботу о ее экономическом благополучии, особенно с российским уровнем коррупции при закупках, в том числе ПО.

Комментариев: 32

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

07.10.2013 12:34:20

Эта публикация уже обсужадалась в соцсетях - типичный PR-ход со стороны бывшего сотрудника по рекламе самого себя.

07.10.2013 12:51:27

Цитата
Эта публикация уже обсужадалась в соцсетях - типичный PR-ход со стороны бывшего сотрудника по рекламе самого себя.

Много что обсуждается. Куча косяков с приватностью у всех компаний и Google и Apple, и что АНБ они все сдают, потому за свою родину радеют. И про информационные войны, как раскрутить нужную информацию и скрутить, затролить ненужную. И то что на тролинг бабла идет не меньше чем на любые вооруженные силы. Это все всем известно и дыма без огня тоже не бывает...

Давайте воспринимать критично, вне зависимости от объема информации. Вспомним хотя бы, как в свое время Мамонтов про "английские камни" по Москве разбросанные рассказывал и как его все дружно тролили, а потом англичани сами рассказали про камни.

Мне ли вам рассказывать как информацией крутить можно?

Собственно вам никто не мешает верить в "доброго большого брата" - MS, который и обновления поставляет на ПК постоянно и устанавливает все и не врет никогда, и безопасность отличная, и дырки 0-day тоже никто не сливает спецслужбам, и не сольет, и сам будет свят и другим не позволит подглядывать...

07.10.2013 13:15:16

Евгений, да никто уже давно не верит ни в каких "добрых братьев". Вопрос в другом — как слезать с иглы и за чей счёт? Помните школьный проект? Учитель говорит, что у него куча материалов под MS, которые он делал совершенно открыто и ни у кого это никаких вопросов не вызывало. А теперь всё переделывать? Причём за "спасибо".

07.10.2013 14:00:44

Цитата
А теперь всё переделывать? Причём за "спасибо".

Берем сносим MS Office и ставим Libreoffice. А также заменяем WinRAR на 7zip, и т.д. Но Windows не трогаем. Матов будет не больше, чем поставить MS Office 2013.
ПО за редким исключением можно переписать под Web и облака, а далее обвыкшихся пользователей перекидывать на Linux.
Русских клонов RedHat только на моей памяти 2 шт сертифицированных, делаем клон Ubuntu и вперед.

Причем начать со школ. Ставить не глючный Alt, а Ubuntu c удалением магазинов и других лишних сервисов.
За федеральный контракт по поддержки(ИТ-аусорсингу) можно потом и клонировать заставить со временем и переделать все что хотите. Не нравиться Ubuntu? Роса? Да собственно не важно, главное требование - популярный пользовательский дистрибутив. А под последние требование подходит только Ubuntu. От сюда и внедрения на Ubuntu. Игла? Да копирни исходники "иглы", сделай ребрендинг и толкай в госы с полной совместимостью по репозиториям.
РАСПО или Alt? Да там каждый свою "иглу" подкинуть хочет. Они даже пакеты сделали "под себя". Заходишь на сайт, например, Brother там драйвера под Ubuntu/Debian и под RedHat с клонами. А где Роса, Alt?
Могут конечно РАСПО предложить нормальный LSB с универсальными пакетами, но это лучше пусть за свой счет делают.

07.10.2013 14:16:48

Допустим. А за чей счёт будет банкет?

07.10.2013 14:22:20

Цитата
Допустим. А за чей счёт будет банкет?

За чей счет банкет делает Марк? Наверное клянчит у своего правительства?

07.10.2013 15:05:53

А нету у нас Марка. Физически отсутствует.

07.10.2013 18:13:13

Цитата
А нету у нас Марка. Физически отсутствует.

Тогда Марк пусть делает, а нам клонировать и внедрять с поддержкой. А Марк пусть довольствуется корп сектором, он и этому будет несказанно рад, так что будет еще сам инвестировать в образовательный проект.

07.10.2013 18:17:42

А тогда получается британская колония. Куда ни кинь…

07.10.2013 18:38:02

Цитата
А тогда получается британская колония. Куда ни кинь…

Британцы сами америкосам прислуживают так же, как шотландцы англичанам.

07.10.2013 18:46:10

Они там пусть кому хотят, тому и прислуживают. Нам-то что от этого? Меня, если честно, больше волнуют наши возможности.

08.10.2013 08:15:09

Цитата
Они там пусть кому хотят, тому и прислуживают. Нам-то что от этого? Меня, если честно, больше волнуют наши возможности.

Разговор уже оффтоп, конечно, но пока мы просто не начнем работать, причем именно дела делать, а не оплачиваемые "телодвижения". Пока не начнем думать своей головой, а главное вкладываться в свое же будущее сами, ничего не будет.
Вот посмотри сколько говориться о том, что MS платит чиновникам продвигая MS в школы и ВУЗы, далее за госсчет выпускаются специалисты "Windows only", а далее всех заставляют купить Windows под предлогом "не придется переучивать". Что нельзя начать выпускать "Linux only" с направленностью на Роса или Alt? Глава AltLinux насколько помню сам преподаватель и сам готовит специалистов к близким ему компаниям. Те студенты искренне верят, что лучше AltLinux ничего не сделать.
Марк продвигает SteamOS, Ubuntu направленную на потребителей, если люди влияющие на ИТ в компании начнут пользоваться Ubuntu, то Ubuntu появиться и в компании. А далее уговорить начальника купить поддержку или платные продукты, чтоб самому меньше работать.
А далее у Марка окупаются все издержки. Просто бизнес платит за всех - это нормально, особенно при том, что создание дистрибутива дешевле, чем создание аналогичной ППО системы.
Если бы Google не "тормозила" и не зацикливалась на облаках собственного производства, а продавала "облачные решения" с подключением ChromeOS, Android к корпоративным облакам(серверу в случае малого бизнеса), то и Apple ушел в осадок и Windows. Оторвать такими решения 30-40% у MS и довести долю до 80-90% в мобильных решениях вообще не проблема.

07.10.2013 18:22:03

Цитата
. А теперь всё переделывать?
А за чей счет они переделывают сейчас? Такие-же страдания...
Только если раньше было кого ругать, то сейчас втихую друг друга уговаривают...

Donat Lipkovsky
07.10.2013 18:20:34

Интересно, от чего именно страдала ваша приватность, потому как то, что вы описали с точки зрения ощущений больше, похоже на фобию т.е. это область психотерапии. Для технического рассмотрения вопроса - отсутствуют конкретные данные именно ваших проблем - откуда дуло и кто или что заглядывал(о) в ваше заднепроходное отверстие. Бывший дядя из Microsoft что-то сказал, у вас всплыли давнии ощущения и вы уже в панике.
Для госорганов, и не только, есть общий порядок сертификации программных продуктов, вот ссылка http://www.microsoft.com/rus/government/certificate/ - там достаточно подробно о сертификации, какие именно продукты сертифицированы, в том числе, что именно сертифицировала ФСБ, кто и за что отвечает, а так же правила о предоставлении исходных кодов программных продуктов. Можно также обратиться в конкретные организации, которым разрешено заниматься сертификацией, дабы узнать детали.


07.10.2013 18:29:58

Мне думается, что весь этот ажиотаж вокруг приватности только мешает понять главную проблему — деградацию отрасли. Вместо того, чтобы делать своё, по-прежнему обсуждаем достоинства и недостатки чужого.

Donat Lipkovsky
07.10.2013 18:33:58

А вот тут, Сергей, говоря словами Гоблина (тот, который Опер) вы - САМУЮ СУТЬ УХВАТИЛИ.

08.10.2013 15:33:46

Цитата
что заглядывал(о) в ваше заднепроходное отверстие


из раннего творчества комментатора (27.09.13):

Цитата
Если Вы потрудитесь напрячь свой жаргонообразный мозг, то заметите...

Цитата
Делаю последнюю попытку и беру отдых, как минимум на неделю.


жаль что неделя пролетела так быстро.
ну раз товарисч отважился писнуть, ударим по нему цитаткой
Цитата
Сэр, если честно я маненько притомился разжёвывать.

уважаемый, автор данным постом и хотел подчеркнуть тот разрыв, который существует в нормативно-правовой базе
нашего Отечества, заключающийся в том, что отечественные компании, занимающиеся разработкой средств защиты
должны получать лицензии, выполнять строгие ограничения вплоть до запрета выезда за рубеж, а всякие микрософты
просто находят ООО, имеющие лицензии на производство средств защиты, выступающие в роли заявителей.
таким-то образом, отечественные компании уже на стадии организационной находятся в ущербном положении
т.к. им для разработки средств защиты нужна лицензия, а американским - нет.

Donat Lipkovsky
08.10.2013 15:44:21

Вы вообще о чём? smile8) smile:D

Donat Lipkovsky
08.10.2013 16:23:00

Ремарка...

Ходили слухи, что неандертальцы вымерли достаточно давно. На самом деле это не совсем так. Часть из них эволюционировала в пингвинов. Именно поэтому, навскидку трудно понять пингвин это рыба или птица.

Организации, занимающиеся сертификацией это не ООО, а ЗАО. И право заниматься этой самой сертификацией они получают от ФСТЭК.
Организаций этих по пальцам перечесть. Кроме всего прочего в России и Линукс дистрибутивы, которые планируют серьёзно работать с конфиденциальной информацией, как на государственном уровне, так и вне его, скажем в банках - проходят точно такую же сертификацию, по тем же самым критериям безопасности, защищённости, не декларированным возможностям, криптографии и т.п., что и Microsoft, а равно и любая другая компания.

И мне уже обрыдло отвечать дремучим ребятам, которые постоянно находятся в состоянии "в гуще событий, но не в курсе дела "

08.10.2013 18:08:10

Судя по всему вы в теме, так что сразу несколько вопросов:
1. Как системы проверяются на наличие закладок?
2. Что делать когда MS лично сливает АНБ 0-day дырки?
3. Как тестируются обновления скаченные с MS?

И как собственно понимать фразу: о том, что в системе должны быть установлены все обновления.
Выходит значит обновление "Закладка для АНБ" или "Гори оно синим пламенем" все ее скачивают и умиляются?

Donat Lipkovsky
08.10.2013 19:30:19

http://fstec.ru/kontakty

PS Вопрос "Что делать когда MS лично сливает АНБ 0-day дырки?" особенно порадует ребят.

09.10.2013 13:33:18

Цитата
http://fstec.ru/kontakty

PS Вопрос "Что делать когда MS лично сливает АНБ 0-day дырки?" особенно порадует ребят.

Можно было и без намека сказать что сами не знаете, и послать прямо в лицо, а не через ФСТЭК...

Собственно, верить слепо проще... Страус прячущий голову в песок тоже верит в свою безопасность, и тех которых не скушали утверждаю что все нормально, потому как скушанные не говорят и думать о них никто не хочет.

Donat Lipkovsky
09.10.2013 15:14:31

Я разве представился специалистом по сертификации или безопасности?
Вы задаёте вопросы не по окладу.

Вы банально не понимаете суть проблемы.
Для того чтобы сливать куда-либо или кому-либо данные, не нужны никакие недокументированные возможности и дыры в безопасности операционной системы - неважно какой. Это уже вообще не уровень безопасности самой операционной системы. И хватит уже носиться с этой 0 безопасностью, как курица с яйцом. Google ли, используя Линукс и СПО или любая другая компания имеет полный доступ ко всем данным, которые обеспечиваются её инфраструктурой.
И любая компания предоставляла и будет предоставлять любые данные по официальному запросу или без него соответствующим органам. В противном случае она не будет функционировать.

Мне ваши дремучие познания ни справа, ни слева не упали и послать "прямо в лицо" правила этого ресурса не позволяют.
Я дал вам адреса для компетентного ответа на ваши вопросы.
Дерзайте.

09.10.2013 17:04:28

Цитата
Я разве представился специалистом по сертификации или безопасности?
Вы задаёте вопросы не по окладу.

Тогда я вам отвечу, поскольку немного понимаю в безопасности, жизнь заставила.
Бакдор собственно не проблема "слива инфы", а проблема полного контроля над ПК со стороны пользователя. Про вирус для Бушера помните? Там не нужна была информация, там тупо гробили центрифуги для обогащения ядерного топлива.
"Закладка для АНБ" - сие значит возможность влиять, управлять, получить не декларированный доступ.
"Гори оно синим пламенем" - Это просто троянец который старается максимально все убить.
Ваши данные? Их итак все знают кому нужно знать. Если у вас есть банк-клиент, то не составляет проблем оформить на вас лимит в 500000р, а потом его отправить куда-то... То как стригли Кипр с русскими деньгами забыли? Когда страна перейдет на безнал, а к этому все идет, будут стричь всех нас просто со счета. Сейчас там химию наводят с пенсионными накоплениями, в том числе с моими и вашими, урезают медицину и т.д.
Добавим к этому возможность просто всю страну отправить в каменный век. Отправляешь обновление "угробь все где выбрана страна Россия" и пипец, если пиратки еще выживут, то радивые админы все обновят и кердык.
Парализуй банки, все денежные операции и вся экономика встала. Безнал - это только цифра в чьей-то Windows. Нет Windows - нет цифры. Откаты? Резервные копии? А куда восстанавливать в Windows? Даже если восстановить только 60-70% данных, то ущерб будет огромен! Замеси это с оранжевой революцией, а точнее "белыми ленточками" в российском варианте, и у нас будут ужастики такие, что Сирия, Ливия, Египет нам всем райским садом покажутся, а 90-е безоблачным прошлым...
Почему вы считаете что Югославию бомбить можно, Сирию можно, Ливию можно, а Россию нельзя? Я понимаю что человек не хочет верить в то, что не хочется, но веря отсутствие проблемы - это "голова страуса в песке"... Вы считаете что "ядерный зонтик" спасет? А вам не странно что с байконура 12 раз не улетают военные спутники, а гражданские летают без проблем...

Donat Lipkovsky
09.10.2013 18:43:01

- каким образом лично вы пострадали от закладок в продуктах Microsoft?
- какую, когда и как АНБ слило у вас информацию через уязвимость 0-дня?

Проще говоря — что из перечисленных вами имеет отношение непосредственно к вам.

При этом прошу описать инцидент примерно в таком ракурсе:

- действующие на тот момент организационные меры безопасности (документы по политике безопасности, правила использования технических средств пользователями, закреплённые в том числе юридически и т. д.,и т. п. Вы как человек, всё таки, «немного понимающий в безопасности» должны знать документы, регламентирующие вопросы безопасности в корпоративной среде.
- лицензионность программного обеспечения и конкретное наименование программных продуктов — мы ведь о продуктах Microsoft говорим, не так ли?
- какие технические и программные средства обеспечения безопасности использовались, лицензионные и сертифицированные ли они, как средства безопасности.
- как обеспечивалась политика аудита
- ну и так далее и тому подобное

Нам надо выяснить - виновато конкретное программное обеспечение и ваше «немного понимаю в безопасности» т. е. - кто крайний.

Без конкретики я вообще не буду обсуждать эту тему.
А всю беллетристику ниже первого предложения оставьте для сценаристов.

Я в компьютерной сфере с 1993 года — это вычислительный центр Тыла ВВС, затем одно из подразделений МВД. С 2000 года после увольнения в запас в гражданской сфере занимаюсь корпоративными средами на базе программных продуктов Microsoft – 14 лет. Об этом я уже говорил. Проблемы были и есть, но не потому, что это Microsoft, а потому, что это люди и техника. И без комплекса организационно-технических (именно двух составляющих) мероприятий не существует никакой безопасной ОС самой по себе.

На этом для себя лично дискуссию закончил — надоело.

10.10.2013 08:19:52

Цитата
- каким образом лично вы пострадали от закладок в продуктах Microsoft?
- какую, когда и как АНБ слило у вас информацию через уязвимость 0-дня?

Читайте внимательнее...
Цитата
Бакдор собственно не проблема "слива инфы", а проблема полного контроля над ПК со стороны пользователя. Про вирус для Бушера помните? Там не нужна была информация, там тупо гробили центрифуги для обогащения ядерного топлива.
"Закладка для АНБ" - сие значит возможность влиять, управлять, получить не декларированный доступ.
"Гори оно синим пламенем" - Это просто троянец который старается максимально все убить.
Ваши данные? Их итак все знают кому нужно знать.

Я не говорил тут про "слив инфы"!
Цитата
Проще говоря — что из перечисленных вами имеет отношение непосредственно к вам.

Я не на луне живу, а в России и мало верю в то, что если что-то касается моего соседа, то меня это не коснется. Почему-то большинство в России предпочитают думать, что снаряд попадет в кого угодно, только не в него.
Цитата
- действующие на тот момент организационные меры безопасности (документы по политике безопасности, правила использования технических средств пользователями, закреплённые в том числе юридически и т. д.,и т. п. Вы как человек, всё таки, «немного понимающий в безопасности» должны знать документы, регламентирующие вопросы безопасности в корпоративной среде.

Юристы что-то делали, но не уверен что исполняется. Причина? Нужно повышать з/п в 1,5 раза чтоб персонал был не на столько глуп и ценил свою работу.
Цитата
- лицензионность программного обеспечения и конкретное наименование программных продуктов — мы ведь о продуктах Microsoft говорим, не так ли?

Ubuntu 12.04 и 10.04 с собственным репозиторием. Обновляю репозиторий, потом группу машан, потом все машины. Windows куплена, для бухгалтерии. Данные там не хранятся.
Цитата
- какие технические и программные средства обеспечения безопасности использовались, лицензионные и сертифицированные ли они, как средства безопасности.
- как обеспечивалась политика аудита
- ну и так далее и тому подобное

http://ru.wikipedia.org/wiki/Inotify , далее ком. тайна.
Цитата
Без конкретики я вообще не буду обсуждать эту тему.
А всю беллетристику ниже первого предложения оставьте для сценаристов.

Только прошу читайте о чем пишу...
Цитата
Я в компьютерной сфере с 1993 года — это вычислительный центр Тыла ВВС, затем одно из подразделений МВД. С 2000 года после увольнения в запас в гражданской сфере занимаюсь корпоративными средами на базе программных продуктов Microsoft – 14 лет. Об этом я уже говорил. Проблемы были и есть, но не потому, что это Microsoft, а потому, что это люди и техника. И без комплекса организационно-технических (именно двух составляющих) мероприятий не существует никакой безопасной ОС самой по себе.

На технологиях MS сильно обжегся, по причине того что любое отступление от Next-Next чаще всего приводит к косякам. И причина тут в большинстве случаев не в MS, а в ПО под MS. Попадалось ПО, которое ставилось только под пользователем "Администратор", не под Administrator, ни под другим с его правами не ставилось. Куча софта не умеет работать с прокси, даже если заявлено. То что антивирусы ищут до 99% от известных вирусов трубят всем, а то что это не более 15-20% от общего объема молчат.
То что когда на хваленом банк-клиенте Сбербанка у нас в области бабла на воровали и никого не нашли тоже молчат. Банк-клиент был на область, так что о супер-хакерах тут вряд ли можно говорить, а вот о инсайде запросто.
Про MS я уже рассказывал как после перенаправления каталогов пользователя, у народа в терминале калькулятор исчез, я уже писал. Калькулятор не проблема, но когда выставлении очередной галочки в Windows что-то отваливается - уже надоело.
Упиваетесь "технологиями" MS? Посмотрите в сторону Linux и поймете, что MS - дутая рекламой поделка. Как маркетологи народ разводят - это отдельная песня, там целая наука по разводу лохов есть. Расширяйте кругозор...

Donat Lipkovsky
10.10.2013 13:13:00

Женя, а зачем мне Линукс?!
У меня Групповые политики работают, по галочкам smile:D ничего не отваливается, с безопасностью в соответствии с решаемыми задачами и с руководящими документами и инструкциями всё ОК. Возникающие Проблемы решаются в штатном порядке.
У меня с администрированием Windows нет проблем - проблемы то у вас.

10.10.2013 14:10:59

Цитата
У меня Групповые политики работают, по галочкам ничего не отваливается, с безопасностью в соответствии с решаемыми задачами и с руководящими документами и инструкциями всё ОК. Возникающие Проблемы решаются в штатном порядке.
У меня с администрированием Windows нет проблем - проблемы то у вас.

А да, вспомнил вы - волшебник с 2500 галочками.... Ну что же, тогда повторятся про убогость Windows не стоит. Да и бесполезность текущей беседы налицо...

Donat Lipkovsky
10.10.2013 14:29:31

Нет, женя, я не волшебник. Я матчасть знаю, в отличие от вас. А Windows "убогая" у таких, как вы, которые её не знают и валют с больной головы на здоровую. И говорить нам действительно не о чем, ибо не возможно беседовать с человеком о предмете, в котором он профан.

Donat Lipkovsky
08.10.2013 20:04:12

Это вам вам вдогону, учитывая религиозный запрет на самостоятельный поиск информации по словосочетанию "сертификация продуктов Microsoft":

http://www.npo-echelon.ru/services/certification/
http://www.altx-soft.ru/articles/show-2.htm
http://www.altx-soft.ru/articles/show-3.htm
http://www.lancksys.ru/about/news/produkty_microsoft_sertificirovany_v_fstek/
http://www.altx-soft.ru/certificates.htm
http://docsystem.ru/ru/node/100

Там же контактные данные, где вас удовлетворят...
В общем, Женя, идите... по ссылкам.

10.10.2013 10:36:13

А теперь пару слов о цене сертификации, которой некоторые господа _пытаются_ прикрывать свою пятую точку:
http://ibash.org.ru/quote.php?id=11320
Наводящий вопрос: та система тоже не была сертифицирована?…

Donat Lipkovsky
10.10.2013 12:28:34

А вы, маэстро, с вирусами, видимо, сертификацией собрались бороться. smile:{}

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии