Блог

Как совместить "сертификационную чистоту" и необходимость обновления ПО?

Андрей Колесов
25.05.2017 12:47:05

Этот вопрос обозначился в самом начале конференции OSDAY ("День ОС", по тематике разработки операционных систем в России), проведенной Институтом системного программирования РАН в Москве, во время выступления представителя ФСТЭК Виталия Лютикова.





А суть вопрос выглядит так. Вот к примеру, есть организация, которая в силу известных причин может применять только ПО, имеющее соответствующий сертификат ФСТЭК на предмет ее безопасности. Кстати, отдельным вопросом является то, что собственно гарантирует наличие такого сертификата...

Итак некий вендрор получается такой сертификат для своего продукта "МоеПО". Вы покупаете у вендора ЕгоПО, устанавливаете его и начинаете работать. И в случае необходимости демонстрируете проверяющим людям ("тем, кому надо") этот сертификат.

Вопрос 1: Где гарантия, что вы приоберили именно то ПО, которое прошло проверку в ФСТЭК? Наверное, каждый дистрибутив должен сопровождаться некой "электронной подписью" (например, в виде какой-то контрольной суммы), что-то вроде пломбы.
Интересно узнать – как это происходит на практике, я лично довольно плохо представляю себе эту процедуру, учитывая сложность и объемность ПО.

Но предположим, что вы купили именно то, проверенное, ПО. Но где гарантии, что заказчик установил у себя именно его? Контрольную сумму дистрибутива можо проверить, а как проверить контрольную сумму уже установленной системы?

Но дальше, как известно, практически любое ПО обновляется. Причем обновления идут в двух возможных направлениях
Обновления, которые делает вендор (устраняет ошибки, добавляет возможности и пр.)
2) обновления, которые делает сам пользователь (то же самое, но самостоятельно, возможно с помощью привлечения внешних исполнителей.

Понятно, что если вы вносите изменений в сертифицированное ПО (вскываете "пломбу"), то оно уже становится несертифицированным.

И как тут быть?

Поясню ситуацию на бытовом примере. Вот у меня дома есть электросчетчик (считате потребляемую мной электроэнергию). Я тут недавно выяснил, что в 2012 году правительство России провело за меня его приватизацию: раньше счетчик был собственностью Мосэнерго, а в 2012 году стал мои (но я не знал об этом).

Так вот: счетчик это мой, но доступа к нему я не имею (сделать внутри какие-то обновления, новые функции). Он опломбирован печатью Мосэнерго. То есть счетчик мой, но с ним я ничего не имею право (забавно, не правда ли?).
А если я захочу что-то сделать, что должен вызывать сотрудника Мосэнерго...

Так вот, по аналогии, получается, что и к сертифицированному ПО (например, ОС) заказчик не должен иметь доступа на предмет ее коррекции, в том числе обновления. И делать что-то может только через ФСТЭК.

А иначе, какая же это "безопасность", если через неделю после сертификации вендор присылает патч, в котором запросто может оказаться что-то очень "небезопасное"?

Собственно эти вопросы и были заданы выступающему.
Он сообщил, что все свои патчи вендор также должен отдавать в ФСТЭК на предмет проверки.
Но ведь вполне очевидно, что такая проверка может занять немало времени (дел у ФСТЭК много и без того), дело-то может быть срочным!!!

Как выяснилось, именно такая ситуация возникла с недавним вирусом WannaCry.
Знаете, оказывается, почему пораженными оказались именно государственные ИТ-системы (не только в России, но и в других странах)? Потому что госзаказчики (и кажется, не только в России) не устанавливали патчи, выпущенные в марте, ожидая их проверки "там где надо". А пока "мирные жители" ждали (почти два месяца), киберпрестуники решили не ждать...

И что в результате? В результате получилось, что именно процедура обеспечения безопасности как раз нарушила эту самую безопасность. А если бы никакой сертификации не было, что нужные заплатки были бы установлены сразу же, и никакого нарушения работоспособности ИТ-систем не было.

Вот такой парадокс, совсем не забавный...

Комментариев: 9

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

25.05.2017 22:30:56

"Парадокс" тут есть только на первый взгляд. На самом деле, есть два вопроса, второй из которых возник в связи с WannaCry.
С задержкой для сертифицированных продуктов сделать ничего нельзя. На сертифицированную систему ставят сертифицированные обновления и это реально требует немалого времени. Это объективная данность и мучительный вопрос - "что с этим делать" после понимания этой самой объективности, отпадает.
Вопрос безопасности, который естественным образом возникает в связи с этим, прост, но полон нюансов.
В корпоративной среде с несертифицируемым программным обеспечением, обновления так же не устанавливаются в момент выхода. Сначала оно/они тестируется. Причём, разные виды обновлений, с разным сроком. Обновления безопасности по известным угрозам и проблемам редко выходят оперативно. Эта касается любой операционной системы. Зловреды, в любом случае, появляются раньше обновлений безопасности. Так что, уповать на патчи, последнее дело.
Я уже третий раз пишу тут по поводу WannaCry. Я утверждаю, что проблема не только в своевременном обновлении. Так же, в очередной раз пишу, что безопасность вопрос комплексный. WannaCry использует сетевую уязвимость, а не уязвимость какого либо приложения. Первый порог защиты для таких зловредов эта безопасность, внешнего сетевого контура в лице брандмауэров, а так же точки входа в этой сетевой контур, такие как удалённый доступ, модный ныне BYOD, всякая, пардон, фигня, в лице ещё более модного IoT'а, а так же, самовольное, подключение служебных компьютеров к Интернет, посредством внешних устройств, типа личных мобильных телефонов и прибамбасов от мобильных провайдеров. Пример тому МВД. Именно это первая линия обороны. Вторая линия, это антивирусное ПО и только на третьем месте, собственно, сама уязвимость SMB-протокола.

26.05.2017 12:28:24

Подтверждаю. При нормальной практике защита действительно строится по многослойной схеме. Одна процедура обеспечения безопасности в форме задержки применения обновлений, да, нарушала безопасность - но лишь в одном-единственном слое! А как же периметр? Маленький опрос показал, что самые казалось бы уязвимые домашние пользователи не пострадали. Предположительно потому что не публиковали наружу злосчастный tcp/445 порт (не умели и не нужно было).
Общеизвестно, что применение сертифицированного ПО - лишь часть процедуры аттестации инфосистемы на класс защиты, есть ещё условия применения. Логика подсказывает, что самые нарушения именно там и были. Если система вообще была аттестована (а если нет - зачем сертификация ПО?). Тут уже проходила информация что расследование ведётся, и это правильно.
Итак, как же совместить сертификационную чистоту и необходимость обновления? Очевидно, грамотным построением всей (не только в части сертификации ПО) системы изначально, постоянной поддержкой её в актуальном состоянии и неукоснительным соблюдением условий эксплуатации в дальнейшем.

26.05.2017 12:52:33

Давайте для начала признаем простую вещь: атака WannaCry показала слабость системы безопасности ИТ-инфраструктур, причем - что характерно - именно государственных в первую очередь.

При чем проблема тут явно не техническая, а организационная. Знали об опасности, но "поспали", долго "репу чесали".

Как минимум, эту ситуация нужно анализировать и сделать выводы. Я пока анализа от ИТ-безопасников не вижу. А тут их вина является довольно очевидной.

Ссылки на то, что "у нас так устроена организационная система безопасности", - странны. Значит, ее нужно менять.

И еще. Выяснилось, что главная угроза безопасности исходит не от "зарубежных вендоров", а от нашей собственной системы безопасности.

26.05.2017 13:24:49

Цитата
проблема тут явно не техническая, а организационная

Точно.

26.05.2017 13:52:00

Суть современных реалий такова, что рамках страны ОБЪЕКТИВНО не существует никакой общей системы ИТ-безопасности.
Все организации, государственные и частные, это отдельные структурные единицы, не только в хозяйственном плане, но и с точки зрения структуры ИТ.
В каждой из них, выполнение требований безопасности происходит ровно так же, как и требования обычных законов обычными гражданами и различного рода руководителями т.е. кто как может и хочет, или... не может и не хочет.
Наиболее важные участки ИТ-структуры с точки зрения безопасности защищаются очень хорошо независимо от того, государственная эта структура или гражданская (частая). Остальные, так же по степени важности, но уже с субъективными нюансами, уровень подготовки и, самое главное, желания специалистов на местах.
Таков суровая правда ИТ-ой жизнедеятельности.
Могу сказать совершенно точно - ничего тут не изменится.

26.05.2017 13:28:49

Цитата
Маленький опрос показал, что самые казалось бы уязвимые домашние пользователи не пострадали. Предположительно потому что не публиковали наружу злосчастный tcp/445 порт (не умели и не нужно было).

Да нет - простой просмотр социальных сетей свидетельствовал о том, что пострадавшие есть - даже публиковалось куча "рецептов".
Вы забыли, что "умолчательная" установка ОС Windows светит наружу "Стандартным общим ресурсом" на все логические диски с административными правами доступа, который не мог в данном случае помочь.

26.05.2017 13:49:41

Никак нет, не забыл. Просто тут вокруг пользователи всё больше небогатые, малограмотные, за реальный IP на узел доплачивать не готовы. Вот и сидят поголовно под NAT. Такая получилась выборка.
Хорошо, уточним - "пострадали слабо".

26.05.2017 14:12:08

Цитата
постоянной поддержкой её в актуальном состоянии и неукоснительным соблюдением условий эксплуатации в дальнейшем.

Так же к слову - можно вспомнить сериал фильма "чужой" (что вспомнилось - по мотивам шутливых кратких содержаний smile:D ) - практически к месту: инструкции, построения, условия...
Когда этот фильм снимался? - первая премьера в 79 году...

Ну а сейчас мы смотрим на применительную практику этих инструкций, построений... smile:cry:

26.05.2017 13:52:59

Никак нет, не забыл. Просто тут вокруг пользователи всё больше небогатые, малограмотные, за реальный IP на узел доплачивать не готовы. Вот и сидят поголовно под NAT. У некоторых и Windows-то нет, пользуются чем придётся. Такая получилась выборка.
Хорошо, уточним - "пострадали слабо".

Только зарегистрированные и авторизованные пользователи могут добавлять комментарии

Интересно

Статьи

Сказки о безопасности: Говорящий мусор
Это утро в полицейском участке началось с того, что капитан собрал детективов и задал им вопрос …

Сказки о безопасности: Как агентов раскрыли
— Иоганн! Приезжайте скорее! Машина за вами уже вышла! Ваши ведущие специалисты тоже оповещены! Все отозваны …

Сказки о безопасности: Как госслужащие подставились
Наконец-то на улице выглянуло солнышко. Небо очистилось от вчерашних туч и ничего не напоминало …

Уязвимости в популярных языках программирования ставят под сомнение безопасность приложений
По данным исследования, который провел старший консультант по безопасности компании IOActive Фернандо …

Сказки о безопасности: От слежки не спрятаться
Когда же наконец-то на улице будет светить солнце? Снова тучи, снова темно. Вот уже скоро 9 утра …

Решения

Миграция с VMware на OpenStack с минимальным даунтаймом
Опытные ИТ-руководители понимают: если корпоративная инфраструктура или ее часть выйдет из строя, большинство …

Маленькая грязная тайна отрасли безопасности
В последние годы центральное место в обсуждении вопросов сетевой безопасности занимают постоянные угрозы повышенной …

Упрощение аварийного восстановления в сложных виртуальных средах
В данном техническом документе рассматривается Выбор правильной стратегии резервного копирования виртуальных машин для эффективного управления...

Непрерывная защита данных
Данный технический документ позволит ответить на вопрос, соответствует ли технология непрерывной защиты данных (CDP …

Скрытые издержки виртуализации
Для того чтобы проект по виртуализации позволил достичь ожидаемых результатов и предполагаемой рентабельности …

Блог

Как запретить Uber отслеживать местоположение вашего iPhone, когда вы не используете приложение
Увы, большинство приложений для iOS, требующих отслеживания вашего местоположения, дают вам выбор то ...

Вопросы информационной безопасности на примере квартального автошлагбаума
Опубликованный месяц назад пост о проблема обеспечения "защищенной" работы дворового автошлагбаума ( ...

Как защитить интернет-аккаунт от взлома?
В субботу вечером получил сообщения от Гугл о блокировке моего Gmail-аккуанта по случаю "попытки вхо ...

Насколько безопасна электронная система голосования для избрании депутатов?
Этот вопрос возник вчера во время беседы с кандидатом в муниципальные депутаты в нашем районе, котор ...

TOR — не Dark Web
Несмотря на то, что в Федеральном законе № 276-ФЗ «О внесении изменений в Федеральный закон «Об инфо ...

 

Панорама

Десятилетний юбилей APC в составе Schneider Electric: конвергенция технологий
Основанная в 1981 г. компания АРС с самого начала своей истории активно развивала направления …
“Мы не продаем системы хранения данных, мы продаем опыт”
Рынок систем хранения данных на флэш-памяти быстро растет и переживает революционные времена. Одноуровневую …
Ритейл: как повысить продажи с помощью современных ИТ-решений?
Всё начиналось с крайне простых по сегодняшним меркам вещей. Сначала интернет …
ASUS ZenFone 4 Selfie Pro (ZD552KL): снимаются все!
Селфи-снимки стали неотъемлемой частью современной культуры. И потому покупатели, задумываясь о приобретении …
Canon открывает перед партнерами новые горизонты и возможности
В начале осени компания Canon провела в Москве традиционную партнерскую конференцию. Двухдневное мероприятие было …

Интересно

 

Создание сайта - студия iMake
© 2017 АО «СК ПРЕСС».
Информация об авторских правах и порядке использования материалов сайта.
Правила поведения на сайте.

На главную PC Week/RE  |  Об издании  |  Архив номеров  |  Подписка на бумажную версию
Другие проекты «СК ПРЕСС»ITRNБестселлеры IT-рынкаByte/РоссияCRN/REIntelligent Enterprise/REPC Magazine/RE.