НовостиОбзорыСобытияIT@WorkРеклама
Open Source:

Блог

Снова про сравнительную безопасность

Я понимаю, что дело это прошлое. Да и всерьёз подобные ток-шоу вряд ли можно воспринимать. Повеселились люди — и ладно.

Тем не менее, вопрос важный и разобраться с ним хочется. Поэтому я нашёл в "Фейсбуке" соответствующую тему, выбрал там значимые, на мой взгляд, утверждения противников СПО и попробовал их прокомментировать. Разумеется, мои комментарии — ни в коем случае не истина в последней инстанции, а приглашение к обсуждению.

Microsoft не скрывает исходного кода своих программ. В 2002 году Россия стала первой страной, с которой корпорация подписала соглашение Government Security Program о доступе к исходным кодам. А в 2003 году на базе НТЦ «Атлас» организована специальная лаборатория по исследованию исходных кодов продукции Microsoft.

В 2003 году начали, а в августе 2007 года внезапно обнаружилось, что исследователи почему-то не заметили, что Windows может обновляться без ведома пользователей. Или не сочли эту особенность опасностью, что уж совершенно невероятно.
А теперь давайте посмотрим на Government Security Program с позиции практики. Поскольку НТЦ «Атлас» – предприятие государственное, то получается, что за счёт бюджета производится по сути тестирование продукции компании США. Причём, особого смысла в нём нет по нескольким причинам.
Во-первых, обновления системы российские пользователи получают практически одновременно со всеми остальными. И совершенно непонятно, когда специалисты «Атласа» успевают их проверить.
Во-вторых, поскольку обновления производятся не с серверов самого «Атласа», то где гарантия, что проверенный пакет не будет впоследствии заменён другим. А поскольку система Windows, как нам уже известно, может быть обновлена без ведома пользователя, то никакая безопасность тут и рядом не лежала.
В-третьих, тщательный анализ кода требует примерно столько же ресурсов, сколько и его написание. Получается, что на реализацию даже условно работающей схемы России потребуется создавать огромную организацию, результат работы которой может быть сведён к нулю достаточно простыми действиями корпорации. Также необходимо заметить, что даже при сравнимых расходах никаких прав на код Windows Россия не получит.

Гарантия безопасности – вовсе не открытый код, а методики раннего предупреждение дефектов кода. Например, SDL (Security Development Lifecycle) методика разработки безопасных программ, применяемая на Microsoft уже восемь лет.

Строго говоря, Security Development Lifecycle к безопасности вообще не имеет прямого отношения. Это обычная система контроля качества, функции которой вполне вписываются в регламенты ОТК.
Причём, внутреннего ОТК, что особенно важно. То есть, о безопасности продукции Microsoft мы знаем со слов представителей самой Microsoft. Дальше можно уже ничего не обсуждать – все сказанные слова будут пустым звуком.
Разве что можно потеоретизировать о значении системы контроля качества в системе безопасности. Разумеется, оно значительно выше нуля, но переоценивать её тоже не стоит. Даже неисправность в оружии может быть вызвана не диверсией, а элементарным техническим браком из-за чьей-то невнимательности. Оргвыводы, конечно, сделать надо, но раздувать из мухи слона не следует.

Сторонники СПО почему-то забывают о том, что в ядре Linux примерно столько же уязвимостей, как во всей Windows XP, включая интегрированные в неё приложения и сервисы. Как ни крути, но СПО – лидер по уязвимостям.

Уязвимости сами по себе мало о чём говорят. Допустим, есть две дороги. На одной – десять открытых и заметных ям. На другой — всего одна, но замаскированная. Какая дорога безопасней?
К тому же, следует учитывать, что безопасность всей системы, безусловно, определяется безопасностью её составляющих, но значительно сложнее, чем арифметическим сложением. Практика показывает, что при всех своих уязвимостях, Linux-система всё таки не обновляется без согласия пользователя. А практика, как известно, критерий истины.

Сторонники СПО постоянно говорят о том, что хоть уязвимостей в СПО больше, зато исправляются они быстрее. Забывая при этом, что большинство людей всё-таки выберут тот автомобиль, который не ломается, а не тот, который быстро чинится.

Возможно, но выбор большинства определяется не безопасностью, а удобством. Обратите внимание, что и на этот раз имеет место банальная подмена понятий – с тем же успехом синие джинсы можно считать безопасней оранжевых только потому, что их охотней покупают.
Кстати, а выберут ли пользователи автомобиль, если им честно рассказать, что в любую минуту кто-то может управлять ей дистанционно? Например, повернуть руль или нажать на газ.

Спросите сторонников СПО о ресурсах, которые требуются для адекватного анализа чужого кода. И вы сразу поймёте, что ничего российские спошники не контролируют. Максимум – 10-15%. С точки зрения безопасности это практически не отличается от нуля, поскольку если вы не контролируете хотя бы 1%, то именно там будет опасный объект.

Это правда. И эту правду сторонники СПО уже давно пытаются донести до людей, отвечающих за безопасность.
Правда заключается в том, что контроль над западным проприетарным ПО мы не получим никогда. Поэтому никаких вариантов, кроме СПО, у нас попросту нет.
Конечно, разработка полностью отечественной системы на базе свободного кода потребует серьёзных затрат. Но всё равно они будут значительно меньше, чем расходы на приобретение Microsoft или Apple и переноса центров разработки в Россию.

Главный критерий – практика. Уже сколько лет говориться о том, что вот этот год уже точно будет годом Linux, но пользователи «голосуют ногами» и явно не за СПО. Наверное, в том числе и потому, что понимают какой именно продукт безопасней.

Вряд ли. Вот только один пример «свободного выбора».
Аналогичных фактов очень много. И говорить о свободном выборе никаких оснований нет.

Так почему же фактически западное СПО безопасней фактически западного ППО? Ведь по сути два сапога пара – мы не контролируем ни того, ни другого.

СПО безопасней тем, что при наличии политической воли государства через некоторое время оно может перестать быть фактически западным. Практика, кстати, это подтверждает. Практически без всякой поддержки со стороны государства наши компании уже контролируют некоторую (разумеется, небольшую) часть кода Linux.

Ну всё-таки ИБ – это не такие глобальные вещи, а обычная защита системы от всяких хакеров и прочих злоумышленников. Может быть всё-таки вернёмся с небес на землю и поговорим о более прозаических и практически важных вещах.

В чём заключается деятельность хакеров и прочих злоумышленников? В том, чтобы управлять системой независимо от воли её владельца. По сути – отнять у пользователя часть прав.
А какие права отнимать у пользователя западного ППО, если он даже не может контролировать обновление собственной системы? Управление ей уже давно перехвачено, причём не какой-то шпаной, а крупнейшей в мире софтверной корпорацией.
Бессонов Сергей
Я по крайней мере пытаюсь.

Вы так и не определились, о безопасности чего идёт речь. Донат там на верху сразу определился, что речь идёт о корпоративной безопасности, поэтому ушёл в сертификаты, анализ кода и тому подобные вещи, но вы всё время съезжаете на абстрактную безопасность непонятно кого.

Определите уже хотя бы защищаемый объект или класс объектов. Граждане РФ? Тогда сертификация не причём. Государственные органы РФ? Тут причём.

И, кстати, по поводу сертификации — фраза Microsoft «А в 2003 году на базе НТЦ «Атлас» организована специальная лаборатория по исследованию исходных кодов продукции Microsoft.» — крайне лукавая, раз в Атласе исследовали коды только тех продуктов, которые получили сертификат, а коды тех продуктов, которые продаются в магазинах, так никто и не видел.
Голубев Сергей
Вы так и не определились, о безопасности чего идёт речь. Донат там на верху сразу определился, что речь идёт о корпоративной безопасности, поэтому ушёл в сертификаты, анализ кода и тому подобные вещи, но вы всё время съезжаете на абстрактную безопасность непонятно кого.

Да нет никакой "корпоративной безопасности". Если производитель заложил в машину бомбу с дистанционным взрывателем, то она взорвётся под каким угодно "пользователем" — от частного до государственного. В этом смысле между ними нет разницы.

Определите уже хотя бы защищаемый объект или класс объектов. Граждане РФ? Тогда сертификация не причём. Государственные органы РФ? Тут причём.

Сама по себе сертификация ничего не значит. Сертификат — это только документ, который что-то подтверждает. Если что-то исследовалось, то надо знать что именно и как. Ну и, разумеется, учитывать возможность банального очковтирательства, когда коллектив из ста, например, человек утверждает, что теоретически может исследовать сложную ОС на предмет отсутствия там "бомбы".
Вадим (Usvad) Усманов
Сертификат гарантирует, что если вы построили систему из сертифицированных компонентов и сертифицировали весь ваш комплекс спецсредств, то вы, по крайней мере, не наделаете глупых ошибок.
:D
Скорее вернее будет так: ".. - обеспечено требованиям нормативки, спущенной сверху, законодательству и пр. (каким  там требованиям надо было следовать)". В итоге, если что-то и случится, то ответственность снята.
Остается открытым вопрос - а на сколько коррелируется требование (нормативка, законодательство и пр.) с безопасностью?
Другое дело, что ОС в отрыве от всего комплекса программных и аппаратных средств, будь она хоть 20 раз сертифицированной, сама по себе никакую безопасность не обеспечивает, поскольку является только одним компонентом внутри периметра безопасности.
Почему не обеспечивает? Вполне может обеспечить: например, AstraLinux сертифицирована на гостайну. Можно, конечно, же навесить к ней и дублирование в виде добавочных сторонних аппаратных и прочая средств, но, как видно, одной сертифицированной ОС в разных ситуациях вполне может хватить.
Опять же весь вопрос - это по каким требованиям сертификат есть.
Вадим (Usvad) Усманов
Если что-то исследовалось, то надо знать что именно и как. Ну и, разумеется, учитывать возможность банального очковтирательства, когда коллектив из ста, например, человек утверждает, что теоретически может исследовать сложную ОС на предмет отсутствия там "бомбы".
Сейчас любая сертификация производится по внешним признакам. Что бы "бомба" отсутствовала - код должен быть контролируемым
Голубев Сергей
Вполне может обеспечить: например, AstraLinux сертифицирована на гостайну.

Ну конечно же. При этом гарантируется не безопасность самого объекта (есть там бомба или нет), а какой-то его функции. Это чисто ИБшная заморочка, от которой у "безопасников" иногда волосы дыбом встают :).  
Голубев Сергей
Ну да. Представьте, что в аэропортах убрали контроль пассажира и багажа. Понятно, что после этого остальные меры безопасности уже не будут иметь никакого смысла. Зачем надо придумывать какие-то способы внедрения бомбы на борт, если её можно просто взять и пронести?
Вадим (Usvad) Усманов
Ну если, например, изобрели некий чудесный прибор, который голосит на любую мыслимую бомбу, то контроль пассажиров и багажа то можно и убрать.  :D  
Вадим (Usvad) Усманов
фраза Microsoft «А в 2003 году на базе НТЦ «Атлас» организована специальная лаборатория...
О да она лукава вдвойне, поскольку из фразы "организована специальная лаборатория по исследованию исходных кодов" никак не следует, что их смогли исследовать.  :D
раз в Атласе исследовали коды только тех продуктов, которые получили сертификат
А разве ФСБ дала сертификат?
Бессонов Сергей
Безопасность это всегда компромисс между используемой функциональностью и требованиями к ограничению доступа. Единственную 100% гарантию отсутствия подключения извне может дать только обесточенный компьютер, упакованный в сейф и сетку Фарадея.

Поэтому, если наличие в кодах ОС бомбы считается приемлемым риском, такая ОС будет использоваться и считаться безопасной для данного вида применения. Например, в корпоративной среде ОС Windows считается приемлемой. Потому что риск срабатывания бомбы низкий, а барыш высокий, и прибыль компенсирует риски.

В госсекторе и особенно в местах с гостайной, выигрыш от использования виндов ниже, а риски на порядки выше. Поэтому Windows сертификацию на гостайну, например, не прошла.

Так что ещё раз - определяйтесь, с безопасностью чего вы хотите иметь дело.  
Вадим (Usvad) Усманов
Ну да, что бы обеспечить некую безопасность еще нужен регламент - а здесь ИБ-шников заслушаться можно... :D  
Голубев Сергей
Ключевые слова "если, например" :).
Голубев Сергей
Вообще-то, безопасники редко определяются. Они, как правило, информируют. И решения принимают совсем другие. Возможность наличия бомбы — это серьёзная угроза в принципе. Но в ряде случаев на это можно не обращать внимания.
Это опять же разные вещи :).  
Голубев Сергей
У меня в дипломе написано "инженер-физик по специальности химия…". В разговоре с химиком ты ссылаешься на то, что физик, а в разговоре в физиком — на то, что твоя специальность химия.
Вот так и в ИБ :).  
Вадим (Usvad) Усманов
Да! да! да!
Кутахов Евгений
Все исследования кода ОС Windows - полный блеф:
1. компания Microsoft по программе  GSP предоставляла Атласу (система сертификации ФСБ) только определенный объем исходных текстов операционной системы, при этом сама определяла какой и каких программных компонент.
2. исследования, проводимые лабораториями ФСТЭК, подтверждают только 5 класс защищенности; проверки по отсутствию НДВ не проводились (см. реестр ССЗИ), профиль защиты по ОУДам - вещь весьма абстрактная и пишется за деньги заявителя как надо заявителю по ГОСТам, которые так и не стали частью нормативной базы;
3. все эти исследования - полная ерунда, т.к. процесс обфускации, который проводит компания Microsoft перед фиксацией образа, нивелирует любые исследования исходных текстов.
Обсуждать вопросы безопасности ППО и СПО лучше на примере какой-нибудь другой компании и ее продукции.
А Эскорт-центр не тот ли что АРМ для погранпостов делает? хе 8)  У нас даже граница на винде работает
Бессонов Сергей
Вообще-то, безопасники редко определяются. Они, как правило, информируют. И решения принимают совсем другие.

Это где такие безопасники живут? :)

Возможность наличия бомбы — это серьёзная угроза в принципе. Но в ряде случаев на это можно не обращать внимания.

Ну так а я о чём. Безопасность зависит от того, какой у нас случай — нужно ли рассматривать эту бомбу как угрозу, или нет. А пока у нас нет ни объекта, ни модели угроз, у нас нет безопасности как таковой, потому что абстрактной безопасности не бывает.
Бессонов Сергей
А разве ФСБ дала сертификат?

Фраза про Атлас была от микрософтовцев, я не знаю. ФСТЭК давала: http://www.altx-soft.ru/groups/page-246.htm

Кстати, обратите внимание на фразу «*В стоимость пакетов не включена стоимость ключа для получения сертифицированных обновлений».

Меня она почему-то веселит.
Голубев Сергей
Не совсем. Применительно к объекту понятия угрозы и безопасности абстрактны практически всегда. Гололёд — это опасность? Да. А применительно ко мне — нет, поскольку я дома сижу. Но от этого дорога безопасной не становится.
Если мы говорим о безопасности СПО и ППО вообще, то мы должны абстрагироваться от субъекта, иначе никак. А вот уже потом перечень угроз может рассматриваться применительно к субъекту, но это уже другая задача.
Бессонов Сергей
Применительно к объекту понятия угрозы и безопасности абстрактны практически всегда.

Тогда у нас простая терминологическая нестыковка — вы говорите об уязвимости, а не о безопасности. Безопасность не есть отсутствие уязвимостей, безопасность есть компромисс между вероятностью уязвимости и стоимостью средств защиты и защищаемой информации.

Система без уязвимостей — это сломанный обесточенный компьютер в сейфе на Луне.

В этом разрезе — да, никакая сертификация от уязвимостей не спасает. Да, Windows уязвима. Да, СПО уязвимо. В чём вопрос? Кто больше уязвимей? :-)
Голубев Сергей
Ну тогда уж не у меня, а у первоисточника :).
Тем не менее, никаких нестыковок нет, поскольку я говорю не о уязвимостях, а о внутренних свойствах объекта. Не об устойчивости к неким внешним угрозам (защищённость), а именно о безопасности объекта, как такового.  
Бессонов Сергей
На XP  ФСБ как бы дала сертификат, и в то же время как бы не дала: http://www.osp.ru/cw/2005/48/373807/

На 7 и 2008, как я уже говорил, без гостайны: http://citforum.ru/news/28024/

Что само по себе характерно: гостайну микрософту не доверяют. А альту доверяют.

На этом спор о безопасности с точки зрения госзаказчика можно считать закрытым )))
Голубев Сергей
На этом спор о безопасности с точки зрения госзаказчика можно считать закрытым )))

С точки зрения свалить вину на ФСБ, да :).
Кутахов Евгений
ФСБ альту не доверяет http://clsz.fsb.ru/certification.htm
Бессонов Сергей
А, ALT Linux только ФСТЭК. Ну МСВСФера, значит, я наизусть все сертификаты не помню, мы с гостайной не работаем.
Миронов Владимир
Ошыбка в версии ядра 3.8.х ведет к нарушению безопасности а именно при серфинги по вайфай это ведет к очень серьезным последствиям, во первых сбрасуеться протокол безопасности а когда вы все таки настроили этот протокол через терминал он создает дополнительную не видимую сеть с недапротоколом это очень существенная ошыбка.