НовостиСобытияКонференцииФорумыIT@Work
Open Source:

Блог

Снова про сравнительную безопасность

Сергей Голубев
10.12.2013 12:07:25

Я понимаю, что дело это прошлое. Да и всерьёз подобные ток-шоу вряд ли можно воспринимать. Повеселились люди — и ладно.

Тем не менее, вопрос важный и разобраться с ним хочется. Поэтому я нашёл в "Фейсбуке" соответствующую тему, выбрал там значимые, на мой взгляд, утверждения противников СПО и попробовал их прокомментировать. Разумеется, мои комментарии — ни в коем случае не истина в последней инстанции, а приглашение к обсуждению.

Цитата
Microsoft не скрывает исходного кода своих программ. В 2002 году Россия стала первой страной, с которой корпорация подписала соглашение Government Security Program о доступе к исходным кодам. А в 2003 году на базе НТЦ «Атлас» организована специальная лаборатория по исследованию исходных кодов продукции Microsoft.


В 2003 году начали, а в августе 2007 года внезапно обнаружилось, что исследователи почему-то не заметили, что Windows может обновляться без ведома пользователей. Или не сочли эту особенность опасностью, что уж совершенно невероятно.
А теперь давайте посмотрим на Government Security Program с позиции практики. Поскольку НТЦ «Атлас» – предприятие государственное, то получается, что за счёт бюджета производится по сути тестирование продукции компании США. Причём, особого смысла в нём нет по нескольким причинам.
Во-первых, обновления системы российские пользователи получают практически одновременно со всеми остальными. И совершенно непонятно, когда специалисты «Атласа» успевают их проверить.
Во-вторых, поскольку обновления производятся не с серверов самого «Атласа», то где гарантия, что проверенный пакет не будет впоследствии заменён другим. А поскольку система Windows, как нам уже известно, может быть обновлена без ведома пользователя, то никакая безопасность тут и рядом не лежала.
В-третьих, тщательный анализ кода требует примерно столько же ресурсов, сколько и его написание. Получается, что на реализацию даже условно работающей схемы России потребуется создавать огромную организацию, результат работы которой может быть сведён к нулю достаточно простыми действиями корпорации. Также необходимо заметить, что даже при сравнимых расходах никаких прав на код Windows Россия не получит.

Цитата
Гарантия безопасности – вовсе не открытый код, а методики раннего предупреждение дефектов кода. Например, SDL (Security Development Lifecycle) методика разработки безопасных программ, применяемая на Microsoft уже восемь лет.


Строго говоря, Security Development Lifecycle к безопасности вообще не имеет прямого отношения. Это обычная система контроля качества, функции которой вполне вписываются в регламенты ОТК.
Причём, внутреннего ОТК, что особенно важно. То есть, о безопасности продукции Microsoft мы знаем со слов представителей самой Microsoft. Дальше можно уже ничего не обсуждать – все сказанные слова будут пустым звуком.
Разве что можно потеоретизировать о значении системы контроля качества в системе безопасности. Разумеется, оно значительно выше нуля, но переоценивать её тоже не стоит. Даже неисправность в оружии может быть вызвана не диверсией, а элементарным техническим браком из-за чьей-то невнимательности. Оргвыводы, конечно, сделать надо, но раздувать из мухи слона не следует.

Цитата
Сторонники СПО почему-то забывают о том, что в ядре Linux примерно столько же уязвимостей, как во всей Windows XP, включая интегрированные в неё приложения и сервисы. Как ни крути, но СПО – лидер по уязвимостям.


Уязвимости сами по себе мало о чём говорят. Допустим, есть две дороги. На одной – десять открытых и заметных ям. На другой — всего одна, но замаскированная. Какая дорога безопасней?
К тому же, следует учитывать, что безопасность всей системы, безусловно, определяется безопасностью её составляющих, но значительно сложнее, чем арифметическим сложением. Практика показывает, что при всех своих уязвимостях, Linux-система всё таки не обновляется без согласия пользователя. А практика, как известно, критерий истины.

Цитата
Сторонники СПО постоянно говорят о том, что хоть уязвимостей в СПО больше, зато исправляются они быстрее. Забывая при этом, что большинство людей всё-таки выберут тот автомобиль, который не ломается, а не тот, который быстро чинится.


Возможно, но выбор большинства определяется не безопасностью, а удобством. Обратите внимание, что и на этот раз имеет место банальная подмена понятий – с тем же успехом синие джинсы можно считать безопасней оранжевых только потому, что их охотней покупают.
Кстати, а выберут ли пользователи автомобиль, если им честно рассказать, что в любую минуту кто-то может управлять ей дистанционно? Например, повернуть руль или нажать на газ.

Цитата
Спросите сторонников СПО о ресурсах, которые требуются для адекватного анализа чужого кода. И вы сразу поймёте, что ничего российские спошники не контролируют. Максимум – 10-15%. С точки зрения безопасности это практически не отличается от нуля, поскольку если вы не контролируете хотя бы 1%, то именно там будет опасный объект.


Это правда. И эту правду сторонники СПО уже давно пытаются донести до людей, отвечающих за безопасность.
Правда заключается в том, что контроль над западным проприетарным ПО мы не получим никогда. Поэтому никаких вариантов, кроме СПО, у нас попросту нет.
Конечно, разработка полностью отечественной системы на базе свободного кода потребует серьёзных затрат. Но всё равно они будут значительно меньше, чем расходы на приобретение Microsoft или Apple и переноса центров разработки в Россию.

Цитата
Главный критерий – практика. Уже сколько лет говориться о том, что вот этот год уже точно будет годом Linux, но пользователи «голосуют ногами» и явно не за СПО. Наверное, в том числе и потому, что понимают какой именно продукт безопасней.


Вряд ли. Вот только один пример «свободного выбора».
Аналогичных фактов очень много. И говорить о свободном выборе никаких оснований нет.

Цитата
Так почему же фактически западное СПО безопасней фактически западного ППО? Ведь по сути два сапога пара – мы не контролируем ни того, ни другого.


СПО безопасней тем, что при наличии политической воли государства через некоторое время оно может перестать быть фактически западным. Практика, кстати, это подтверждает. Практически без всякой поддержки со стороны государства наши компании уже контролируют некоторую (разумеется, небольшую) часть кода Linux.

Цитата
Ну всё-таки ИБ – это не такие глобальные вещи, а обычная защита системы от всяких хакеров и прочих злоумышленников. Может быть всё-таки вернёмся с небес на землю и поговорим о более прозаических и практически важных вещах.


В чём заключается деятельность хакеров и прочих злоумышленников? В том, чтобы управлять системой независимо от воли её владельца. По сути – отнять у пользователя часть прав.
А какие права отнимать у пользователя западного ППО, если он даже не может контролировать обновление собственной системы? Управление ей уже давно перехвачено, причём не какой-то шпаной, а крупнейшей в мире софтверной корпорацией.

Комментариев: 62

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

Donat Lipkovsky
10.12.2013 13:11:37

Цитата
...я нашёл в "Фейсбуке"...

Во-первых
Это как-то несерьёзно.

Во-вторых
Почему-бы прежде, чем вбрасывать, материал, который без сомнения вызовет на 99% холивара, не обратиться за разъяснениями к тому же НТЦ «Атлас» за разъяснениями???!!!

Во-третьих
Не обновляется система сама. Если вы не включили именно автоматическое обновление.
В корпоративной среде за обновление отвечает отдельный сервер или, если нет необходимости в отдельном сервере, то запущенная служба Windows Server Update Services на одном из серверов.
И сервера и компьютеры сети получают обновления с этого сервера, а не с сайта Microsoft.
Прежде чем устанавливать обновления в компьютеры и сервера организации они тестируются на специально выделенных для этого машинах.
Это для обычных организаций без специальных требований к безопасности обрабатываемой им информации.

В-чётвертых
Надо различать обычных домашних пользователей, обычные организации и организации с повышенными требованиями к безопасности.
Для организаций с повышенными требованиями к безопасности (обращаю внимание на последний пункт):

  • каждый экземпляр сертифицированного продукта, находящегося у заказчика, должен пройти процедуру проверки соответствия этого экземпляра тому экземпляру, который прошел сертификацию

  • каждый экземпляр сертифицированного продукта, находящегося у заказчика, в случае положительной проверки его соответствия экземпляру, прошедшему сертификацию, получает пакет сертификационных документов государственного образца, включая голографический знак соответствия ФСТЭК с уникальным номером на каждую копию (если у заказчика 1000 компьютеров с сертифицированным продуктом, то ему выдается 1000 голограмм), который идентифицирует данный экземпляр в системе государственного учета сертифицированных продуктов;

  • каждая организация, купившая сертифицированный продукт, получает защищенный доступ к персональной странице для получения сертифицированных обновлений.


Ну и в-пятых
Когда, уже ставший притчей во языцех, ПриватБанк (БАНК, а не обычная организация) хранит свою информацию на сервисах Гугла все как-то воспринимают это спокойно. Ну как же - там же Убунта установлена. А тут такая страшная озабоченность безопасностью.
Насколько мне известно Убунту по безопасности не сертифицирована и на Украине.
Не хотите прояснить вопрос по Убунту у ПриватБанка. Не вопрос документов по лицензионности продукта, а документов по сертификации безопасности?

У нас Ебунта ФСТЕКом так же не сертифицирована, а её пихают везде, где ни попадя. И никого это не беспокоит. Ну как же - всё сообщество бороздит её исходный код в режиме 25/8.

10.12.2013 13:21:42

Цитата
Это как-то несерьёзно.


Абсолютно серьёзно. Именно эти аргументы и звучали на ЗероНайте.

Donat Lipkovsky
10.12.2013 13:35:58

На ЗероНайте могло звучать всё что-угодно - даже послание Всевышнего, только пророков там не было.
Первоисточника в лице организаций непосредственно занимающихся сертификацией я там тоже не наблюдал.

10.12.2013 13:40:59

Ну это уже вопрос к организаторам ЗероНайта smile:).

10.12.2013 16:04:01

Цитата
На ЗероНайте могло звучать всё что-угодно - даже послание Всевышнего, только пророков там не было.

Да - звучать может все что угодно, но "сотрясение воздуха" все одно остается - в детских головах остается

10.12.2013 16:37:13

Обратите внимание на эти золотые слова, когда снова появится соблазн обвинить СПОшников в холиварах и разжиганиях. Ведь и этот разговор не мы первыми начали smile:).

Donat Lipkovsky
10.12.2013 13:23:58

Забыл добавить, что кроме сертификации самой системы на предприятиях с повышенными требованиями к безопасности используются в ОБЯЗАТЕЛЬНОМ порядке специальные сертифицированные технические средства безопасности.
И это касается, в том числе, сертифицированных продуктов на базе Линукс, как например - Альт Линукс СПТ 6.0 http://www.altlinux.ru/products/altlinux-spt-fstec/. То же самое есть у RedHat и SUSE Linux.

10.12.2013 13:37:53

Кстати, о сертификации. Я довольно много работал в сфере безопасности, но смысла сертификации так и не смог понять (правда, с сертификацией с ИТ не сталкивался, возможно, там всё иначе). Поэтому предлагаю пока вопрос сертификации оставить в покое.

Donat Lipkovsky
10.12.2013 14:28:58

Если учитывать, что государственная сертификация удостоверяет параметры технического соответствия самого продукта требованиям безопасности, а так же определяет технические параметры и организационные правила использования дополнительных средств безопасности т.е. параметры комплексного обеспечения безопасности, то серьёзно рассматривать безопасность можно только с религиозной точки зрения.

10.12.2013 14:43:43

И тем не менее, как "сертификаторы" просмотрели функция обновления без согласия пользователя?

10.12.2013 15:21:05

Я думаю, что ее не "просмотрели". Это декларативная часть - например, как авторизация - присутствует - значит проходит. То, что, к примеру, авторизацию можно настроить без набора пароля уже не имеет значения для пункта "наличие авторизации", но будет иметь значение для пункта "обязательный ввод пароля или ..." что-то там еще...
А на счет обновлений - это есть - есть часть обновлений, которые садились совсем не гласно и в этом Microsoft сознавалась.
Виноваты ли в этом "сертификаторы"? - Нет - не виноваты. Поскольку для таких целей данный продукт не проходил сертификацию, т.е. фирмы подающие на сертификацию не заявляли такие требования.

10.12.2013 15:26:32

Иными словами, к безопасности эти сертификаты имеют весьма отдалённое отношение?

10.12.2013 15:46:30

smile:D Сам сертификат - это просто бумажка на соответствие неким требованиям.
Самое интересное - это каким требованиям.... smile:)

10.12.2013 15:50:04

P.S. Причем критерии требования устанавливают не "сертификаторы", а те, кто подает. И тесты для проверки то же подающие готовят. "Сертификаторы" просто тупо смотрят - тест прошел или не прошел: есть авторизация (есть куда пароль набить) - значит соответствует требованиям по авторизации... smile:D

10.12.2013 22:00:56

Сертификат гарантирует, что если вы построили систему из сертифицированных компонентов и сертифицировали весь ваш комплекс спецсредств (как ПО, так и железо, так и, в ряде случаев, физическую защиту серверов решётками, сигнализацией и собаками), то вы, по крайней мере, не наделаете глупых ошибок.

А дальше сами. Так что сертификат имеет отношение к безопасности.

Другое дело, что ОС в отрыве от всего комплекса программных и аппаратных средств, будь она хоть 20 раз сертифицированной, сама по себе никакую безопасность не обеспечивает, поскольку является только одним компонентом внутри периметра безопасности.

11.12.2013 11:59:12

Цитата
Сертификат гарантирует, что если вы построили систему из сертифицированных компонентов и сертифицировали весь ваш комплекс спецсредств, то вы, по крайней мере, не наделаете глупых ошибок.

smile:D
Скорее вернее будет так: ".. - обеспечено требованиям нормативки, спущенной сверху, законодательству и пр. (каким там требованиям надо было следовать)". В итоге, если что-то и случится, то ответственность снята.
Остается открытым вопрос - а на сколько коррелируется требование (нормативка, законодательство и пр.) с безопасностью?
Цитата
Другое дело, что ОС в отрыве от всего комплекса программных и аппаратных средств, будь она хоть 20 раз сертифицированной, сама по себе никакую безопасность не обеспечивает, поскольку является только одним компонентом внутри периметра безопасности.

Почему не обеспечивает? Вполне может обеспечить: например, AstraLinux сертифицирована на гостайну. Можно, конечно, же навесить к ней и дублирование в виде добавочных сторонних аппаратных и прочая средств, но, как видно, одной сертифицированной ОС в разных ситуациях вполне может хватить.
Опять же весь вопрос - это по каким требованиям сертификат есть.

11.12.2013 12:15:21

Цитата
Вполне может обеспечить: например, AstraLinux сертифицирована на гостайну.


Ну конечно же. При этом гарантируется не безопасность самого объекта (есть там бомба или нет), а какой-то его функции. Это чисто ИБшная заморочка, от которой у "безопасников" иногда волосы дыбом встают smile:).

11.12.2013 12:29:17

Ну да, что бы обеспечить некую безопасность еще нужен регламент - а здесь ИБ-шников заслушаться можно... smile:D

11.12.2013 12:36:39

У меня в дипломе написано "инженер-физик по специальности химия…". В разговоре с химиком ты ссылаешься на то, что физик, а в разговоре в физиком — на то, что твоя специальность химия.
Вот так и в ИБ smile:).

Donat Lipkovsky
10.12.2013 17:45:56

А откуда у вас информация, что "сертификаторы", что-то просмотрели?

10.12.2013 18:20:23

Мне найти ссылку на сообщения об обновлении Windows без согласия пользователя? smile:).

Donat Lipkovsky
10.12.2013 18:27:03

Не нужна мне ссылка, я же задал простой вопрос - даже два - где написано, что это касалось именно сертифицированных обновлений?
Я задаю этот вопрос потому как обычные обновления и сертифицированные это разные вещи, и процессы проверки, получения и установки разные.

10.12.2013 18:34:19

Вы намекаете на то, что можете поделиться сенсацией о какой-то особенной сертифицированной Windows, которая полностью контролируется нашими специалистами? Готов купить smile:).

Donat Lipkovsky
10.12.2013 19:52:28

Я вам "намекаю" на то, что вы не отвечаете на мои два вопроса уже дважды заданные.
Вместо этого вы продолжаете голословно утверждать то, в чём не разбираетесь.

10.12.2013 19:58:18

А я хоть раз утверждал, что разбираюсь в сертификациях? Просто Вы (так и хочется добавить — как все сторонники Microsoft smile:)) постоянно уводят разговор о безопасности то к контролю качества, то к сертификации.
Давайте уже говорить о безопасности.

Donat Lipkovsky
10.12.2013 20:24:00

Свяжитесь с ФСТЕК, так же, как вы связывались с ПриватБанком и задайте им свои вопросы. Не забудьте опубликоввоать результаты беседы, так же, опубликовали беседу с ПриватБанком. После того, как там вам разъяснят, что такое безопасность и как всё это связано с сертификацией и вы подтянете свой уровень в вопросе безопасности вопросе хотя бы к начальному, вот тогда мы и продолжим эту беседу.

10.12.2013 21:30:55

Видят небеса, как я не люблю переходить на личности. Вынудили smile:).
Устройтесь на работу в более-менее серьёзную СБ более-менее серьёзной конторы и проработайте там хотя бы годик. И Вы подтянете свой уровень в вопросе безопасности.

Donat Lipkovsky
10.12.2013 22:43:57

Вынудили www.escort-center.ru вас устроит?

10.12.2013 22:55:16

Вполне. Если разговор вернулся в конструктивное русло, продолжим.
Итак, чтобы гарантировать отсутствие угроз в ПО, код этого ПО следует знать. Чтобы знать код ПО, требуется затратить примерно столько же ресурсов, сколько требует его написание. Таким образом, если "Атлас" гарантирует отсутствие угроз в системе Windows, то это предприятие потенциально способно разработать систему, аналогичную Windows. Отсюда два варианта:
— наше родное государство содержит Microsoft-2, не извлекая из этого никакой пользы (вредительство, измена?);
— никакой безопасности этот "Атлас" не гарантирует.

Donat Lipkovsky
10.12.2013 23:05:46

Цитата
Чтобы знать код ПО, требуется затратить примерно столько же ресурсов, сколько требует его написание"

Нет

Цитата
Таким образом, если "Атлас" гарантирует отсутствие угроз в системе Windows, то это предприятие потенциально способно разработать систему, аналогичную Windows
Нет

Но для того, что бы понять, как именно проводится сертификация и какие цели оно преследует, я и предложил вам обратиться к первоисточнику, дабы из первых рук развеять и утвердиться в сомнениях.

10.12.2013 23:10:59

Цитата
Нет (первое нет)


Отлично. Предлагаю пока остановиться на этом тезисе и обратиться к экспертам. Поскольку всё остальное основано именно на нём, то сразу станет понятно, кто из нас прав.

Donat Lipkovsky
10.12.2013 23:29:41

Совершенно верно, об обращении к первоисточникам я и толкую всё время.
Добавлю лишь, что после того, как продукт сертифицирован и, вы получили, с одной стороны, гарантии по продукту от экспертов, с другой право применять его для тех задач и в той области для которых он сертифицирован - работа экспертов заканчивается и начинается ежедневная работа ИТ-персонала по обслуживанию сертифицированного продукта. И если у вас нет достаточно знаний или желания или и того и другого, то сама по себе сертификация вам не поможет.

Donat Lipkovsky
10.12.2013 23:21:52

Я могу дать вам в личку свой скайп, где мы можем спокойно обсудить вопросы, ибо уже пальца все погнул писать.

10.12.2013 23:25:17

С удовольствием. Только обсуждать не прямо сейчас, а завтра.

Donat Lipkovsky
10.12.2013 18:03:53

И откуда у вас информация, что это касалось именно или в том числе сертифицированных обновлений?

10.12.2013 21:57:53

У меня традиционный вопрос, когда речь заходит о безопасности — а о безопасности кого идёт речь? Исходя из какой модели угроз?

А то вон там товарищ выше легко смешивает в одну кучу простых пользователей, госсектор, военку и коммерческую тайну.

10.12.2013 22:38:00

Поскольку объект изначально оторван от субъекта (да, это не совсем правильно), то мы говорим о безопасности эксплуатации объекта вообще. То есть, о некой совокупности потенциальных угроз, которые могут быть заключены в этом объекте.

10.12.2013 22:41:32

Цитата
То есть, о некой совокупности потенциальных угроз, которые могут быть заключены в этом объекте.


Т.е. мы не говорим о безопасности вообще smile:-)

Проблема инфобезопасности в мире заключается в том, что много людей продают безопасность и средства безопасности, но несравнимо больше людей продают ощущение безопасности.

10.12.2013 22:56:20

Цитата
Т.е. мы не говорим о безопасности вообще


Я по крайней мере пытаюсь. Но меня постоянно троллят то системами контроля качества, то вообще какими-то сертификатами smile:).

11.12.2013 09:21:02

Цитата
Я по крайней мере пытаюсь.


Вы так и не определились, о безопасности чего идёт речь. Донат там на верху сразу определился, что речь идёт о корпоративной безопасности, поэтому ушёл в сертификаты, анализ кода и тому подобные вещи, но вы всё время съезжаете на абстрактную безопасность непонятно кого.

Определите уже хотя бы защищаемый объект или класс объектов. Граждане РФ? Тогда сертификация не причём. Государственные органы РФ? Тут причём.

И, кстати, по поводу сертификации — фраза Microsoft «А в 2003 году на базе НТЦ «Атлас» организована специальная лаборатория по исследованию исходных кодов продукции Microsoft.» — крайне лукавая, раз в Атласе исследовали коды только тех продуктов, которые получили сертификат, а коды тех продуктов, которые продаются в магазинах, так никто и не видел.

11.12.2013 09:41:13

Цитата
Вы так и не определились, о безопасности чего идёт речь. Донат там на верху сразу определился, что речь идёт о корпоративной безопасности, поэтому ушёл в сертификаты, анализ кода и тому подобные вещи, но вы всё время съезжаете на абстрактную безопасность непонятно кого.


Да нет никакой "корпоративной безопасности". Если производитель заложил в машину бомбу с дистанционным взрывателем, то она взорвётся под каким угодно "пользователем" — от частного до государственного. В этом смысле между ними нет разницы.

Цитата
Определите уже хотя бы защищаемый объект или класс объектов. Граждане РФ? Тогда сертификация не причём. Государственные органы РФ? Тут причём.


Сама по себе сертификация ничего не значит. Сертификат — это только документ, который что-то подтверждает. Если что-то исследовалось, то надо знать что именно и как. Ну и, разумеется, учитывать возможность банального очковтирательства, когда коллектив из ста, например, человек утверждает, что теоретически может исследовать сложную ОС на предмет отсутствия там "бомбы".

11.12.2013 12:13:11

Цитата
Если что-то исследовалось, то надо знать что именно и как. Ну и, разумеется, учитывать возможность банального очковтирательства, когда коллектив из ста, например, человек утверждает, что теоретически может исследовать сложную ОС на предмет отсутствия там "бомбы".

Сейчас любая сертификация производится по внешним признакам. Что бы "бомба" отсутствовала - код должен быть контролируемым

11.12.2013 12:17:26

Ну да. Представьте, что в аэропортах убрали контроль пассажира и багажа. Понятно, что после этого остальные меры безопасности уже не будут иметь никакого смысла. Зачем надо придумывать какие-то способы внедрения бомбы на борт, если её можно просто взять и пронести?

11.12.2013 12:23:02

Ну если, например, изобрели некий чудесный прибор, который голосит на любую мыслимую бомбу, то контроль пассажиров и багажа то можно и убрать. smile:D

11.12.2013 12:31:19

Ключевые слова "если, например" smile:).

11.12.2013 12:38:07

Да! да! да!

11.12.2013 12:29:01

Безопасность это всегда компромисс между используемой функциональностью и требованиями к ограничению доступа. Единственную 100% гарантию отсутствия подключения извне может дать только обесточенный компьютер, упакованный в сейф и сетку Фарадея.

Поэтому, если наличие в кодах ОС бомбы считается приемлемым риском, такая ОС будет использоваться и считаться безопасной для данного вида применения. Например, в корпоративной среде ОС Windows считается приемлемой. Потому что риск срабатывания бомбы низкий, а барыш высокий, и прибыль компенсирует риски.

В госсекторе и особенно в местах с гостайной, выигрыш от использования виндов ниже, а риски на порядки выше. Поэтому Windows сертификацию на гостайну, например, не прошла.

Так что ещё раз - определяйтесь, с безопасностью чего вы хотите иметь дело.

11.12.2013 12:34:54

Вообще-то, безопасники редко определяются. Они, как правило, информируют. И решения принимают совсем другие. Возможность наличия бомбы — это серьёзная угроза в принципе. Но в ряде случаев на это можно не обращать внимания.
Это опять же разные вещи smile:).

11.12.2013 17:56:23

Цитата
Вообще-то, безопасники редко определяются. Они, как правило, информируют. И решения принимают совсем другие.


Это где такие безопасники живут? smile:)

Цитата
Возможность наличия бомбы — это серьёзная угроза в принципе. Но в ряде случаев на это можно не обращать внимания.


Ну так а я о чём. Безопасность зависит от того, какой у нас случай — нужно ли рассматривать эту бомбу как угрозу, или нет. А пока у нас нет ни объекта, ни модели угроз, у нас нет безопасности как таковой, потому что абстрактной безопасности не бывает.

11.12.2013 18:05:48

Не совсем. Применительно к объекту понятия угрозы и безопасности абстрактны практически всегда. Гололёд — это опасность? Да. А применительно ко мне — нет, поскольку я дома сижу. Но от этого дорога безопасной не становится.
Если мы говорим о безопасности СПО и ППО вообще, то мы должны абстрагироваться от субъекта, иначе никак. А вот уже потом перечень угроз может рассматриваться применительно к субъекту, но это уже другая задача.

11.12.2013 18:46:23

Цитата
Применительно к объекту понятия угрозы и безопасности абстрактны практически всегда.


Тогда у нас простая терминологическая нестыковка — вы говорите об уязвимости, а не о безопасности. Безопасность не есть отсутствие уязвимостей, безопасность есть компромисс между вероятностью уязвимости и стоимостью средств защиты и защищаемой информации.

Система без уязвимостей — это сломанный обесточенный компьютер в сейфе на Луне.

В этом разрезе — да, никакая сертификация от уязвимостей не спасает. Да, Windows уязвима. Да, СПО уязвимо. В чём вопрос? Кто больше уязвимей? smile:-)

11.12.2013 19:24:50

Ну тогда уж не у меня, а у первоисточника smile:).
Тем не менее, никаких нестыковок нет, поскольку я говорю не о уязвимостях, а о внутренних свойствах объекта. Не об устойчивости к неким внешним угрозам (защищённость), а именно о безопасности объекта, как такового.

11.12.2013 12:26:33

Цитата
фраза Microsoft «А в 2003 году на базе НТЦ «Атлас» организована специальная лаборатория...

О да она лукава вдвойне, поскольку из фразы "организована специальная лаборатория по исследованию исходных кодов" никак не следует, что их смогли исследовать. smile:D
Цитата
раз в Атласе исследовали коды только тех продуктов, которые получили сертификат
А разве ФСБ дала сертификат?

11.12.2013 17:58:07

Цитата
А разве ФСБ дала сертификат?


Фраза про Атлас была от микрософтовцев, я не знаю. ФСТЭК давала: http://www.altx-soft.ru/groups/page-246.htm

Кстати, обратите внимание на фразу «*В стоимость пакетов не включена стоимость ключа для получения сертифицированных обновлений».

Меня она почему-то веселит.

12.12.2013 10:25:19

На XP ФСБ как бы дала сертификат, и в то же время как бы не дала: http://www.osp.ru/cw/2005/48/373807/

На 7 и 2008, как я уже говорил, без гостайны: http://citforum.ru/news/28024/

Что само по себе характерно: гостайну микрософту не доверяют. А альту доверяют.

На этом спор о безопасности с точки зрения госзаказчика можно считать закрытым )))

12.12.2013 11:46:42

Цитата
На этом спор о безопасности с точки зрения госзаказчика можно считать закрытым )))


С точки зрения свалить вину на ФСБ, да smile:).

12.12.2013 13:03:23

ФСБ альту не доверяет http://clsz.fsb.ru/certification.htm

12.12.2013 23:49:22

А, ALT Linux только ФСТЭК. Ну МСВСФера, значит, я наизусть все сертификаты не помню, мы с гостайной не работаем.

11.12.2013 06:22:48

Как много людей ведут здоровый образ жизни? Наверное никто из курильщиков не знает о вреде курения?
Давайте скажем честно, всем плевать на безопасность! Вспомним кучу программ типа TeamViewer и т.д. Там схема работы простая висит демон(служба) всегда подключенная к серверу производителя ПО. Как часто его выключают? Как часто вообще отключается на ПК то, что не используется?
Так что можно на разговоры про безопасность тупо забить, с точки зрения "личной безопасности", большинству на нее плевать. Тут конечно будут много возражающих, но как много люди делают что-то реально кроме декларации о безопасности?
Государственная безопасность:
Тут все гораздо интереснее... Начнем с того, что в России стратегические объекты "государственные" или госучастием, но в США, ФРС, налоговая служба и много чего еще - частные лавочки и там это не проблема, потому как и президент США - только символ демократии.
Так что где нужна безопасность хоть какая-то, то там давно уже стоит МСВС, а там где ее только нужно декларировать - стоит Windows.
Причем у сторонников ППО явная проблема толи с логикой, толи с математикой, но чаще всего с понимаем написанного...
Устройство мира в большей части обусловлено не мы против всего мира, а каждое государство мира за себя и против всех, причем Россия уже давно не главный "соперник" в данном споре.
Среди тех кто смотрит код СПО, много людей, очень много, в том числе пацифиста, альтруисты и много кто еще, кому плевать на Россию и ее граждан, а вот сказать что он умный и отписаться что есть ошибка и ее нужно править, или "раскрыта очередная закладка АНБ", тут желающих гораздо больше. И не для кого не секрет, глаз смотрящий в код СПО, гораздо больше, значит вероятность выявления всякого "вредного" кода выше. Причем в СПО можно отследить не только кто внес этот кусок, но и когда, и все это тоже в открытом режиме для большинства проектов. Понятно, что 100% гарантии никто дать не может, у нас нет 100% гарантии что на землю не прилетит метеор и завтра не настанет конец света. Какая гарантия, что автомобиль не переедет человека на пешеходном переходе? Но мы сами стараемся ходить на "зебре" и детей учим, потому что там сравнительно безопаснее.
Как следствие, СПО сравнительно безопаснее с ППО от специальных закладок.
Вспомним историю с вирусом для Бушера... Кто сказал что Бушерскую историю невозможно провернуть в России? Или в Иране одни идиоты живут, а России только крутые спецы, которых не взломать?
Ну а если не безопасность, то что? Тут было сказано про удобство, и с этим я согласен.
Что всегда двигало человеком? Удобство! Какое главное удобство предоставляет Windows и ППО?
Главное удобство ППО - отсутствие выбора. Нет выбора и не нужен он им. Работает что - хорошо, не работает - я не виноват. "Глючная винда", "перегрузите", "переустановить и все работает" - лучшие способы не думать и переложить всю вину на Билла.
Подводя итог:
Сколько людей знают о здоровом образе жизни, а сколько его ведут? Патологическая лень и любовь к "удобству", в ущерб безопасности - главные союзники MS, и не только их. "Лучше не знать, чем знать", "лучше не думать, чем думать" - вот их девиз.
Смотря доводы ППОшников типа "Я не встречал саперов, который бы не обезвредил всех бомб, значит сапер - самая простая и безопасная профессия", а подумать о том, что "неудачливых" уже не встретишь среди живых они просто не хотят, потому как "удобно" - гораздо важнее, чем безопасно, только признаться в этом неудобно...

11.12.2013 08:06:22

СтоПятьсот раз согласен.

11.12.2013 13:31:58

Все исследования кода ОС Windows - полный блеф:
1. компания Microsoft по программе GSP предоставляла Атласу (система сертификации ФСБ) только определенный объем исходных текстов операционной системы, при этом сама определяла какой и каких программных компонент.
2. исследования, проводимые лабораториями ФСТЭК, подтверждают только 5 класс защищенности; проверки по отсутствию НДВ не проводились (см. реестр ССЗИ), профиль защиты по ОУДам - вещь весьма абстрактная и пишется за деньги заявителя как надо заявителю по ГОСТам, которые так и не стали частью нормативной базы;
3. все эти исследования - полная ерунда, т.к. процесс обфускации, который проводит компания Microsoft перед фиксацией образа, нивелирует любые исследования исходных текстов.
Обсуждать вопросы безопасности ППО и СПО лучше на примере какой-нибудь другой компании и ее продукции.
А Эскорт-центр не тот ли что АРМ для погранпостов делает? хе smile8) У нас даже граница на винде работает

27.12.2013 23:45:10

Ошыбка в версии ядра 3.8.х ведет к нарушению безопасности а именно при серфинги по вайфай это ведет к очень серьезным последствиям, во первых сбрасуеться протокол безопасности а когда вы все таки настроили этот протокол через терминал он создает дополнительную не видимую сеть с недапротоколом это очень существенная ошыбка.[img]http://file:///home/sirees/Загрузки/снимок8.png[/img]

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии