По российскому законодательству, западные компании обязаны подчиниться запросу ФСБ и предоставить для ознакомления исходный код своих проприетарных программ, прежде чем их допустят на российский рынок — власти хотят убедиться, что в программах нет встроенных бэкдоров. Этому требованию подчиняются все компании. Microsoft показывает исходный код Windows, а Cisco, IBM, SAP и другие компании делятся с Российской Федерацией исходным кодом своих файрводов, антивирусов, программ с криптографическими модулями. Но в последнее время у компаний такая практика вызывает озабоченность, потому что вместе с тем российские спецслужбы получают возможность найти уязвимости в проприетарных программах западных компаний, пишет Reuters. Эти уязвимости впоследствии могут быть использованы во время кибератак и для шпионажа.

Из опасений за безопасность своих продуктов одна компания — Symantec — прекратила сотрудничество с российскими аудиторами.

Американские чиновники говорят, что они предупреждали коммерческие компании о рисках, связанных с передачей исходных кодов российским органам. Но у правительства США нет полномочий, чтобы запретить подобную практику, если это не какие-то военные разработки, а чисто гражданский софт.

В свою очередь, сами компании говорят, что у них нет другого выбора. Если они не предоставят исходный код, их не пустят на рынок. Аудит происходит в безопасных условиях, в специально оборудованных помещениях, чтобы исключить утечку исходного кода.

Кроме Cisco, IBM и SAP, известно, что аудиту исходного кода подверглись продукты Hewlett Packard Enterprise Co и McAfee. В последние годы резко выросло количество запросов на аудит исходного кода продуктов Microsoft.

Вообще, Россия первой в мире получила исходный код Windows. Это произошло ещё в 2002 году. Microsoft согласилась показать исходники только на условии, что они будут считаться государственной тайной Российской Федерации. Сотрудничество продолжалось в последующие годы. Например, летом 2010 года Microsoft предоставила ФСБ исходные коды Windows 7, Windows Server 2008 R2, Office 2010, SQL Server 2008 R2 и Exchange Server 2010 «для повышения доверия к продукции Microsoft со стороны государственных органов».

Непосредственно экспертизу исходного кода производит в том числе Федеральная служба по техническому и экспортному контролю (ФСТЭК России). Записи ФСТЭК гласят, что с 1996 по 2013 годы она провела экспертизу исходного кода 13 технологических продуктов западных компаний, а с 2014 по 2016 годы количество экспертиз резко увеличилось и составило 28. В комментарии для Reuters представители ФСТЭК сказали, что такой аудит исходного кода соответствует мировой практике, в ФСБ отказались от комментариев.

Аудитом исходного кода занимаются ещё несколько компаний, аккредитованных в ФСБ. Что характерно, все они имеют связи с военными структурами. Например, компания «Эшелон» имеет награды «за хранение государственных тайн» от Министерства обороны.


Офисное здание компании «Эшелон» в Москве

Несмотря на все опасения, опрошенные Reuters эксперты не смогли назвать ни одного конкретного случаях взлома, кибератаки или операции по кибершпионажу, которая была бы проведена благодаря тому, что российским спецслужбам стали доступны исходные коды того или иного проприетарного продукта. Пока эти опасения носят умозрительный характер.

В самом деле, аудит исходного кода проприетарных продуктов — не уникальная для России практика. Даже американское правительство в некоторых случаях требует предоставить исходный код закрытой программы, особенно если речь идёт об оборонном заказе или другом важном контракте. Китай тоже иногда требует предоставить исходники как условие на импорт коммерческого программного обеспечения.

В 2014 году Microsoft открыла Центр прозрачности в Редмонде, а позже такой же — в Брюсселе. Представители государственных органов могут посетить это место, посмотреть на исходный код операционной системы Windows и других программ — и убедиться, что в них отсутствуют бэкдоры и шпионские закладки.

Директор компании «Эшелон» Алексей Марков рассказал, что аудит кода осуществляется в своеобразных «чистых комнатах» — специальных лабораториях, из которых нельзя передать исходный код. Интересно, что не все процедуры по аудиту происходят в Москве. Например, исходный код продуктов компании SAP российские специалисты проводили в защищённой лаборатории SAP в Германии.

Но вот для компании Symantec этих условий оказалось недостаточно, если она не доверяет экспертизе.

«Это представляет риск цельности наших продуктов, который мы не желаем принимать», — заявила представитель компании Кристен Батч (Kristen Batch). После отказа показать исходники Symantec больше не сможет продавать в России некоторые корпоративные продукты.
Поделиться с друзьями
-->

Комментарии (95)


  1. duke_saiko
    23.06.2017 21:01

    У меня как раз закончилась подписка на Nortnon. Походу, стоит задуматься над тем, чтобы продлить :)


    1. Christoph
      23.06.2017 23:34
      +2

      И как эта новость влияет на продление подписки?

      То есть компания фактически уходит с российского рынка.
      — мечты Касперского.

      Компания остаётся на рынке, а заверениям «Директор компании «Эшелон»» нет доверия из-за его связей с ФСБ.

      Symantec поступают правильно. Безопасность продукта важнее.


      1. duke_saiko
        23.06.2017 23:38

        Отчасти вы уже ответили: то, что Sumantec не желает иметь никаких дел с ФСБ, к которой я не питаю симпатий. Одной шпионской конторой меньше. Касперский, в этом плане, не заслуживает моего доверия, поэтому я предпочёл не использовать его.


        1. rasdmr
          24.06.2017 09:13
          +3

          Ну нортон с момента создания был шпионским и всю жизнь пытается избавится от этой грязи. И потом, кто не пользуется касперским, за теми фсб следит еще тщательнее )))))) А тут за вами еще и анб добавляет ))))


          1. roboq6
            24.06.2017 11:39
            +2

            Ну нортон с момента создания был шпионским

            Не могли бы дать подробностей?

            А тут за вами еще и анб добавляет

            Лично мне от слежки АНБ ни жарко ни холодно. Думаю duke_saiko тоже.


            1. azsx
              25.06.2017 19:07

              Не могли бы дать подробностей?

              В документах Сноудена, например, есть информация о том, как ломают антивирусы. Американских антивирусов там нет. Наверное, ломать их не надо, так как они заодно.
              https://theintercept.com/2015/06/22/nsa-gchq-targeted-kaspersky/ (первая ссылка)
              Лично мне от слежки АНБ ни жарко ни холодно.

              Так можно говорить только в том случае, если вы никогда и ни при каких обстоятельствах не собираетесь выезжать за пределы РФ. Если у вас есть хоть какие то намётки посещать буржуйские страны, то как раз лучше пусть ФСБ о вас знает всё, а все западные спецслужбы ничего.


              1. roboq6
                25.06.2017 19:48

                Так можно говорить только в том случае, если вы никогда и ни при каких обстоятельствах не собираетесь выезжать за пределы РФ.

                Ну или как альтернатива — я могу считать что США в разы более правовое, демократичное и гуманное государство чем РФ, и как следствие если я обычный гражданин и НЕ нарушаю законы США, то и опасаться мне особо нечего.


                1. azsx
                  26.06.2017 10:34
                  +1

                  Ну или как альтернатива — я могу считать что США в разы более правовое, демократичное и гуманное государство чем РФ

                  Я с Вами не согласен, но вам там видней.


    1. susnake
      24.06.2017 00:00
      +3

      Если я верно помню, то этот аудит нужен для того, что бы компании разрешили продавать свой продукт в гос.секторе.
      Для физ и юр.лиц ничего не поменяется, если, конечно, вы не работаете в гос.секторе и не приобрели SEP.


  1. lash05
    23.06.2017 21:03

    А Китаю и Америке Симантек показал код?


    1. lash05
      24.06.2017 09:41
      -1

      А в чем негатив вопроса?


      1. SBKarr
        24.06.2017 13:58
        +1

        Неэтично напоминать, что некоторые более равны…


        1. yarric
          24.06.2017 15:02
          +1

          КНДР код для аудита тоже вряд ли предоставили.


          1. SBKarr
            24.06.2017 17:05
            +1

            Вот и я о том. Или мы даём всем государственным заказчикам любых стран равные права и говорим об открытом рынке, или мы говорим о государственной монополии и продаём только тем, кому хотим. А сейчас, выходит, говорим о свободном и открытом рынке, но кто-то имеет право проверить продукт перед использованием, а кто-то будет жрать, что дают.


            1. yarric
              24.06.2017 23:34

              С другой стороны никто не будет предоставлять исходные коды госорганам какой-либо страны, если есть подозрение, что эти коды могут быть использованы сомнительным способом.


              1. shogunkub
                24.06.2017 23:37

                Госорганы любой страны в случае необходимости используют исходный код любым выгодным им способом. Договоренности на высшем уровне существуют только до тех пор, пока их выгодней выполнять, чем нарушать.


                1. yarric
                  25.06.2017 14:01

                  Например в США ФБР так и не удалось заставить Apple взломать iPhone, Apple выиграла в суде против ФБР. А теперь представьте такую ситуацию, скажем, в РФ…


                  1. shogunkub
                    25.06.2017 14:04
                    +1

                    Второе предложение предыдущего моего комментария — ответ на ваш пример. Либо плюсы от взлома айфонов — перевешивают репутационные минусы, либо этот судебный процесс — вообще голый пиар Apple, а негласно всё давно доступно кому надо.


                    1. yarric
                      25.06.2017 14:39
                      -2

                      Просто в США ФБР и полиция тоже не могут идти против закона.


                      1. shogunkub
                        25.06.2017 14:43
                        +1

                        Блажен, кто верует, тепло ему на свете! Эдвард Сноуден, как бы, уже рассказал, что это не так.


                        1. yarric
                          25.06.2017 14:54
                          -2

                          А эти действия АНБ и не были признаны законными, насколько я знаю.


                          Да, кому-то трудно представить, что в других странах простой рабочий может иметь свою машину и питаться чем-то кроме риса, другим трудно представить, что в других странах можно реально защитить свои права в суде и выиграть иск хоть к президенту.


                          1. shogunkub
                            25.06.2017 14:59
                            +2

                            Вы правда не понимаете разницы между «не может идти против закона» и «действия не были признаны законными»? В первом случае «действий» не происходит. Вообще. Во втором случае — ну не признали действия законными, на словах осудили, а что там под капотом творится — а хрен его знает.
                            Я не спорю, возможно, ваши рассуждения и истинны, проблема в том, что они основаны на вере, а не на фактах. Вере в то, что любое правительство обязательно либо «плохое», либо «хорошее», а также в то, что есть «плохие» и «хорошие» спецслужбы. К сожалению, это не так, ни первое, ни второе.


                            1. yarric
                              25.06.2017 15:12
                              -1

                              А вы правда не понимаете разницы между сбором информации "пока никто не видит" и открытым наездом с требованием информацию предоставить, с последующим использованием этого для преследования по закону же? В первом случае собранная "по-тихому" информация не может быть использована для преследования вас по закону, даже если они что-то незаконное таким способом на вас накопают.


                              они основаны на вере

                              Факты выигранных судов с ФБР, президентом и т. д. — известны. Косвенные факты инвестиционной привлекательности (люди не хотят держать бизнес и деньги там, где их легко могут отжать и закон не защитит) — тоже есть.


                              А какие у вас есть факты того, что это "голый пиар Apple" или того, что у них есть какие-то договоренности на высшем уровне по этому поводу?


                              1. shogunkub
                                25.06.2017 15:14
                                +1

                                Извините, я умываю руки, оставайтесь в вашей стране эльфов.


                                1. yarric
                                  25.06.2017 15:26

                                  А ещё там нет эцилоппов и по ночам никто не бьёт ;)


                                  1. shogunkub
                                    25.06.2017 15:26

                                    Представляете, у нас тут в реальности — тоже нет.


                                    1. yarric
                                      25.06.2017 15:32

                                      у нас тут в реальности

                                      У вас тут в реальности одно, у других там в реальности — другое. Подходить с одними и теми же мерками ко всем странам довольно бессмысленно, не находите?


                                      Какбы уровень жизни и прочего тут и там тоже намекает на различие в реальностях.


                                      1. shogunkub
                                        25.06.2017 15:34
                                        +1

                                        Выдавать собственные фантазии за мерку — не менее бессмысленно. На этом всё, отвечать вам я больше не буду.


                                        1. yarric
                                          25.06.2017 15:38
                                          -1

                                          Выдавать собственные фантазии за мерку

                                          Согласен — вы ведь так и ни привели ни одного факта в поддержку своих утверждений. Уровень аргументации "ну вы же понимаете, тут и так всё ясно".


              1. SBKarr
                25.06.2017 01:39

                Да не в этом же дело. Если не хотят давать равные права заказчикам на основе условной опасности государства — их право. Только тогда нужно заявлять: мы — часть государственной монополии США и союзников, а для остальных у нас отдельный порядок закупки. А компании, как правило, говорят: мы — международная компания, работаем на открытом рынке, преференций не делаем, и вообще за честную конкуренцию. Люди, которым лень разобраться в вопросе, верят, потом несут любопытную ересь про честную конкуренцию и открытый рынок.


                1. yarric
                  25.06.2017 13:56

                  То есть компания не вправе выбирать, каким государствам доверять свои собственные продукты, а каким — нет? И если компания доверяет США или Германии, то она автоматом должна доверять, скажем, КНДР только потому, что КНДР — это тоже государство? Государства разные бывают — одним доверяют, других обходят десятой дорогой.


                  1. SBKarr
                    25.06.2017 14:07

                    Если не хотят давать равные права заказчикам на основе условной опасности государства — их право
                    Я всего лишь хочу, чтобы они не заявляли обратное.


                    1. yarric
                      25.06.2017 14:27

                      Обратное чему?


                      1. SBKarr
                        25.06.2017 14:28

                        Обратным избирательному отношению к заказчикам является равное отношение к заказчикам.


                        1. yarric
                          25.06.2017 14:59

                          Очевидно не все заказчики этого хотят.


                          1. SBKarr
                            25.06.2017 16:05
                            +1

                            Конечно, не все хотят. Как и в народе некоторые не хотят покупать товары в одном магазине с «быдлом». Но тогда и говорят — мы работаем только с определённой категорией граждан.


            1. redpax
              25.06.2017 02:50
              +1

              Разве это не прямое проявленние капитализма? Если рынок ценный отдаешь исходники, если не очень то держишь позицию, что для тебя важнее всего конфеденциальность.


              1. SBKarr
                25.06.2017 02:59
                -1

                Это обычное проявление государственно-монополистического капитализма. А тем временем президент вслед за ВШЭ несёт бред про капитализм свободной конкуренции. Причём, верить в бред ВШЭ ухитряются даже те, кто не верит президенту.


                1. yarric
                  25.06.2017 14:07

                  Где вы тут государство-то увидели, не пойму. Частная компания, предоставляет свою собственность тем, кому считает нужным.


                  1. SBKarr
                    25.06.2017 14:21
                    -1

                    А исходя из чего определяется, в сём конкретном случае, нужность?


                    1. yarric
                      25.06.2017 14:32

                      Я уже выше писал:


                      … никто не будет предоставлять исходные коды госорганам какой-либо страны, если есть подозрение, что эти коды могут быть использованы сомнительным способом.


                      1. SBKarr
                        25.06.2017 16:00

                        То есть, вы сами прекрасно видите, где здесь государство, верно?


                        1. yarric
                          25.06.2017 22:27
                          -1

                          Нет.


  1. Stan_1
    23.06.2017 21:06
    +1

    Из-за отказа сертифицировать один продукт они полностью уйдут с российского рынка? Ну-ну. Продукт, о котором речь в статье — не будет на российском рынке. Остальные — будут.

    И даже больше — скорее всего будет этот продукт на рынке. И наверняка есть. Скорее всего, пошли в какой-то тендер, связанный с госкомпаниями, а там было требование открытия кода. Не более того. Максимальный риск для бизнеса Symantic в России — проиграть этот конкурс.


    1. teecat
      26.06.2017 12:40
      +1

      Он будет на рынке, но не сможет поставляться в места, где требуется использование сертифицированных решений. Например в системы, подпадающие под 17й приказ ФСТЭК

      А на конкурсах конкретно я лично не видел требований по раскрытию данных. Вот в то, что это демарш от безысходности — верю вполне. После начала компании импортозамещения иностранные антивирусы вычищают из госсектора и близких компаний активно


  1. nochkin
    23.06.2017 22:55
    +3

    Но ведь предоставление исходного кода не гарантирует что бинарники собраны именно из этой версии кода. «Эшелон» ведь не компилирует его.
    Я бы удивился если бы тот же Symantec предоставлял код с явными бекдорами в этом случае.


    1. Alexsey
      24.06.2017 01:40
      +12

      Но ведь предоставление исходного кода не гарантирует что бинарники собраны именно из этой версии кода.


      Не знаю как там у остальных разработчиков, но в случае с Microsoft если куплена ФСТЭКовская версия продукта то систему надо ставить с диска, полученного от ФСТЭК, а апдейты (которые выходят крайне редко) со спец. портала ФСТЭК. Только тогда гарантируется соответствие ПО их сертификации.


      1. poznawatel
        24.06.2017 07:38
        +3

        Мне не понятен минус комментарию. Человек изложил факты объективной реальности, даже без интерпретации — минусующий не согласен с реальностью?


    1. brick_btv
      24.06.2017 09:11
      +2

      Сертифицированное ПО поставляется с набором контрольных сумм исполняемых файлов.
      Эти контрольные суммы, по всей видимости, как раз снимает испытательная лаборатория скомпилировав исходники. Иначе какой смысл.


      1. 3al
        24.06.2017 20:33
        +2

        А исходники компилятора, которые можно собрать своим компилятором, тоже дают?


        1. arteast
          25.06.2017 20:53
          +1

          Нет, не дают. Как-то доводилось краем коснуться такой сертификации — они брали «официальный» бинарный релиз; исходники этого релиза; бинарники, полученные после билда этих исходников (и они, емнип, интересовались процессом сборки); и требовали объяснение любому расхождению между бинарниками (этот пункт особенно порадовал, учитывая, что какой-то из файлов строился самописной утилитой каким-то очень недетерминированным образом — выходной файл каждый раз получался совершенно разный). В билде использовалось как минимум 2 разных проприетарных компилятора, от которых у нас самих исходников не было.
          Если мы тут говорим про возможность использования Ken Thompson Hack — то да, это (на тот момент) было возможно. Билд-инфраструктура не валидировалась.


          1. teecat
            26.06.2017 12:42
            +1

            Уровень сертификации бывает разный. Скажем когда проходит сертификация — приезжают определенные товарищи и под присмотром все компилят и помечают, чтобы не подменили


            1. arteast
              26.06.2017 12:48

              Компиляют чем? Имеющими в билд-системе компиляторами и прочими утилитами, т.е. по сути черный ящик, которому верить не надо бы. Если бы все делать правильно, то перед верификацией продукта надо таким же образом верифицировать на отсутствие закладок все компоненты билд-машины, начиная от компиляторов и заканчивая ОС (если не еще глубже — кто гарантирует, что там в SMI не выполняется код, который ищет в памяти процесс компилятора и делает закладку прямо там?)


              1. teecat
                26.06.2017 13:00
                +1

                Тут думаю проблема доверия. Если компания настроена на долговременное сотрудничество — мухлевать будет в приемлимых размерах.


      1. webhamster
        25.06.2017 18:53
        +1

        В том то и дело, что испытательная лаборатория не компилирует исходники, как минимум проприетарных систем. Вся работа строится на принципе «клянусь своей мамашей, что это исходники вот этого бинаря !». Тут есть тонкий момент: ФСТЭК не требует комплируемые исходники, ФСТЭК требует исходники. ФСТЭК не требует инструментарий для сборки, а требует именно исходники аттестуемой системы. И проверить они могут (и проверяют) соответствие и количество заявленных в исходниках сигнатур методов в исходниках и бинарях.

        Так что вся эта безопасность — это фарс и получение денег из воздуха. Аттестация оборудования — та же песня. Приближенные к ФСТЭК фирмочки похоже лепят голограммы, произведя в лучшем случае визуальный осмотр. Нам как-то аттестовали сиску за час, хотя мы не просили такой спешки. При всех регламентных действиях за такое время не управишься.

        В общем, тут не нужно обольщаться. Аттестация и сертификация — это традиционные элементы бумажной безопасности, не более того. Вся эта машина крутится для имитации бурной деятельности. И если действительно будет спланированная атака, вся эта аттестованная инфраструктура встанет колом. Поэтому так важно развивать свое производство ПО и оборудования. Хорошо, что у нас есть и то и то, но вот масштабы не покрывают потребность страны, плюс в реестры за каким-то хреном вписывают оборудование потенциальных противников. Точнее, за каким хреном понятно, но вот непонятно когда это прекратится.


        1. teecat
          26.06.2017 12:43
          +1

          Два последних абзаца — более чем точно, а первый не всегда так как минимум. В нашем случае — компилят


    1. imanushin
      24.06.2017 17:19

      Тогда придётся вырезать эвристический анализ и пр., за чем охотятся конкуренты. А это уже намного легче проверить


      1. teecat
        26.06.2017 12:46

        Базы, а именно там эвристик — не попадают под сертификацию, ибо изменяются постоянно. Эвристик это обычные записи антивирусных баз

        И бояться утечки записей можно разве что в китае. Использование кусков чужих баз вычисляется и последствия могут быть весьма серьезные. Были прецеденты


  1. Akr0n
    24.06.2017 05:37
    +1

    Вся эта сертификация какой-то бред изначально.
    Ну копали они исходники Windows с черт знает какого года, а толку? Недавние события по WannaCry показывают, что это бесполезно! Все эти годы была опаснейшая уязвимость, о ней знали в ЦРУ, наверняка ей пользовались в таргетированных атаках. И где был ФСТЭК, почему при аудите кода не нашли? Или они там ищут в текстах комментарии «вот тут бэкдор» или методы с именами backdoor? Как отличить намеренно зашитую уязвимость, от ошибки программиста?


    1. CrazyRoot
      24.06.2017 07:38
      +3

      А с чего вы решили что не нашли?
      С того, что Викиликс публикует сотф спертый у ЦРУ, а не у ФСБ?


      1. Akr0n
        24.06.2017 13:43
        +1

        С того, что у нас тот же WannaCry пачками шифрует серверы силовых структур. А заявляемая цель данных проверок — защита, а не нападение на противника.


        1. ICEman258
          24.06.2017 16:11
          -2

          ну так нужные серверы защищены. Пачками были зашифрованы серверы в местячковых отделениях полиции, где админ наверняка в патрульной машине проводит больше времени, чем в серверной.


          1. MTyrz
            24.06.2017 16:46

            нужные серверы защищены. Пачками были зашифрованы серверы в местячковых отделениях полиции
            Так и запишем: в местных отделениях сервера не нужны.
            Рабочие станции тоже, я полагаю.


        1. nerudo
          24.06.2017 16:56

          Так у гэбэшников все исходники были вроде как. И что помогли они в защите от WannaCry?


    1. Serge78rus
      24.06.2017 11:11
      +4

      Вся эта сертификация какой-то бред изначально.

      Это вовсе не бред, а халявная кормушка для:
      • контор, имеющих аккредитацию на проведение сертификации (фактически, узаконенная и принудительная торговля воздухом)
      • чиновников, раздающих эту аккредитацию (продающих право продавать воздух)


    1. cheburen
      24.06.2017 14:06
      +1

      конечно бред, linux пилит огромное сообщество, код изначально открытый и то там периодически находят дыры, а тут дали группе спецов поковыряться в наборе исходников, ну не найдут они там ничего, это как пытаться слепому нарисовать план города.


      1. LynXzp
        25.06.2017 22:06
        -1

        И аудит проводят люди уровня технических специалистов роскомнадзора.


  1. DisM
    24.06.2017 09:06

    Сертификация нужна что бы продавать госзакачикам, с учетом того что госзаказчикам они теперь все равно не имеют права продавать… то как бы логично…
    Частникам, не гос структурам имеют права продавать, никакая сертификация не нужна, никуда они не уйдут.

    И че то, мне кажется, у семантека продаж в гос сектор и раньше особо не было.


  1. nikerossxp
    24.06.2017 09:07
    -1

    Учитывая уровень компетенции власти, то хорошо спрятаный бэкдор они и не найдут.


  1. roboq6
    24.06.2017 11:42
    +2

    Но вот для компании Symantec этих условий оказалось недостаточно, если она не доверяет экспертизе.

    «Это представляет риск цельности наших продуктов, который мы не желаем принимать»,

    А может быть это потому, что они опасаются что их код потихоря сольют Касперскому (и возможно dr. Web), таким образом дав лаборатории Касперского преимущество на международном рынке за счёт чужих технологий?


    1. KoToSveen
      26.06.2017 11:13
      -1

      А может Symantec боится за то, что обнаружатся куча бэкдоров?


  1. phantom-code
    24.06.2017 14:06
    +1

    Думается мне что весь этот аудит — не более чем показуха с целью извлечения прибыли. Это как с сертификацией opensource проектов, входящих в состав «отечественных» ОС. Каким образом в сертифицированном opensource проекте вообще может обнаружится очередная уязвимость? (риторический вопрос). Оно конечно понятно — хотя бы прочитать все эти миллионы строк кода чисто физически крайне сложно. А осмыслить их полностью и вовсе нереально. Но если уж заявляется, что какой-то продукт проверен на отсутствие закладок, значит весь код был прочитан и осмыслен. Иначе я могу предположить только три возможных ситуации и все они нелепы и печальны:

    1. Проверяющая организация просто получила чемодан денег, потому что без ее одобрения применение продукта невозможно (эдакий вариант «законной» взятки).
    2. Проверяющая организация абсолютно некомпетентна, т.к. пропустила серьезные уязвимости.
    3. Проверяющий намерянно пропустил серьезные уязвимости (саботаж?).


    1. virrus
      24.06.2017 18:00

      Мне кажется, вы путаете понятие "закладка" и "уязвимость". Никто не ищет все ошибки при аудите, ищут преднамеренно оставленные бекдоры. Даже бекдор вида "а тут мы не проверим размер буфера перед выполнением содержимого" может оказаться заметным при аудите. В конце концов не обязательно вчитываться в алгоритм, ну не знаю, round robin, чтобы понять, что он изолирован и не представляет опасности.


      1. phantom-code
        24.06.2017 19:18
        +1

        Согласен, это разные вещи. Тем не менее, если бы мне нужно было бы сделать закладку в открытом проекте, я бы постарался сделать это сильно неочевидным способом, что по сути своей не сильно бы отличалось от ошибки, приводящей к уязвимости. Если они ищут только очевидные закладки, грепая исходники по слову «backdoor», то смысла в таком аудите не сильно много.


      1. arteast
        25.06.2017 21:04
        +1

        Как выше заметили — тот же WannaCry, если присмотреться, вполне себе сойдет как backdoor для любого компьютера с разрешенной работой SMB. И никто не нашел. А кто нашел, те прикопали для внутреннего использования, а не потребовали исправление.
        Я так подозреваю, что аудит по большей части состоит в grep -i 'NSA|backdoor|master key'. Глазами просмотреть исходный код даже критических компонентов Windows, даже не вчитываясь, малореально. Что уж говорить про глубокий анализ.


  1. slonopotamus
    24.06.2017 18:50

    допустят на российский рынок


    А кто-нибудь может объяснить что означает эта фраза? Вот есть магазин Google Play, там сотни тыщ «западных компаний» (почему кстати правила не касаются восточных компаний, а также северных и южных). И вот я, гражданин РФ находящийся в России, покупаю в Google Play одно из этих приложений. Вопрос: кто из нас троих (я, гугл, разработчик) находится на российском рынке? Кто из нас на него допущен? Я не верю что все эти сотни тыщ компаний предоставляли в ФСБ свои исходники. Что по задумке должно происходить с недопущенными компаниями?


    1. h31
      24.06.2017 19:57

      Мне всё-таки таки кажется, что речь в статье шла о гос. закупках. Слово "рынок" вносит слишком большую путаницу, зря его добавили в статью. И то мне кажется, что речь далеко о всех госпредприятиях. Никто ведь не будет проверять используемый в школах или университетах софт.


      В случае приложений для смартфонов — ну, исходники по сути есть только у разработчиков. Другой вопрос, что государство скорее всего обратится к производителю телефонов, а тот переадресует запрос к Гуглу или разработчикам приложений.


      1. slonopotamus
        25.06.2017 00:04

        Ни слова про госзакупки в тексте не нашел. Ну и последняя фраза понимается вполне однозначно:


        После отказа показать исходники Symantec больше не сможет продавать в России некоторые корпоративные продукты.


        1. h31
          25.06.2017 00:08

          Ни слова про госзакупки в тексте не нашел. Ну и последняя фраза понимается вполне однозначно:

          Автор, похоже, просто не разобрался в вопросе. Тут и тут пишут, что сертификация нужна только для систем с гостайной и подобных вещей.


      1. slonopotamus
        25.06.2017 00:08

        Я даже не поленился сходить в оригинал:

        Russian authorities are asking Western tech companies to allow them to review source code for security products such as firewalls, anti-virus applications and software containing encryption before permitting the products to be imported and sold in the country.


    1. DandyAndy
      24.06.2017 19:57
      +1

      Видимо, речь идет о закупках ПО в госструктуры, предприятия имеющие дело с гостайнами, персональными данными, обслуживающими инфраструктурные объекты и тд. Частников никто (пока, во всяком случае) не стесняет рамками в выборе ПО. Впрочем, ветер дует в сторону чебурнета и болгенос уже давно, и с каждым годом все сильнее.


    1. Ivan_83
      25.06.2017 07:35
      +1

      Это не касается хомяков.

      Это касается госов (не всех) и организаций к которым предъявляются требования, ну вот как например для всяких ПД нужно иметь сертифицированное ПО.


    1. teecat
      26.06.2017 12:49
      +1

      17 приказ (гос органы), 21 приказ (ПДн) требуют использования сертифицированных. Если компания подпадает под эти и иные приказы/ПП — она должна использовать сертифицированное. Если нет — может использовать что угодно


  1. asasasdd
    24.06.2017 20:50
    +1

    Странная позиция у комментаторов — на 100% негативная.
    Если бы сертификация была поголовной для всего ПО, в том числе для личного использования, то тогда бы ещё можно было понять опасения такого характера, что «товарищ майор» встраивает трояны во всё сертифицируемое ПО, чтобы потом следить за всеми гражданами страны. Но в действительности сертификации подлежит только ПО, которое будет использоваться в закрытых системах (где гостайна и прочие аспекты).
    Неужели тем, кто никаким образом не соприкасается с закрытыми системами и сертификацией, имеет смысл опасаться сертифицированных сборок ПО?
    И ещё. Сертификация != поиск уязвимостей и т.д.
    На примере той же Windows логично предположить, что никакая сертификация и близко не соизмерима с тем бюджетом, который Microsoft ежегодно самостоятельно тратит на анализ своих продуктов (тестирование, поиск программных дефектов и т.д.).


    1. LynXzp
      25.06.2017 22:09

      Судя по тому что апдейты выходят крайне редко https://geektimes.ru/post/290387/#comment_10149145 то сертификация это еще и прямая угроза безопасности самим защищаемым серверам.


      1. asasasdd
        25.06.2017 23:09
        +1

        Мы сейчас про какую систему сертификации говорим? Например, ФСТЭК сейчас нормативно закрепил обязательность выпуска обновлений, определил процедуру использования обновления, которые ещё не прошли инспекционный контроль и т.д. Ведомство ведёт активную работу по принуждению (термин грубый, но реальность именно такая) производителей ПО к актуализации сертифицированных версий ПО.
        Апдейты выходят так часто, как это решает производитель ПО. ФСТЭК решило эту ситуацию немного переломить, чтобы производители активнее выпускали обновления.
        Странно винить в качестве продукта кого угодно, но только не производителя продукта. Не так ли?

        Сертификация не является процессом, в результате которого ПО становится неуязвимым. Сертификация направлена на оценку соответствия ПО требованиям того или иного Ведомства. Это, в большей степени, требования к функциональным возможностям ПО, чем к качеству его кода.
        Можно привести такой пример. Есть производитель ОС, он регламентирует как под этой ОС должны функционировать те же антивирусные средства, а именно предъявляет требования по функциональным возможностям этих средств, регламентирует механизмы их встраивания в ОС и т.д. Оценка соответствия стороннего антивируса требованиям производителя ОС можно считать такой же сертификацией.
        Ведомственные сертификации занимаются тем же самым. Различными производителями выпускается много различных ОС (я про отечественные), средств защиты различного назначения (как аппаратных, так и программных) и т.д. Основная суть сертификации в том, чтобы всё это потом вместе дружно заработало и выполняло заявленный функционал.

        Вы же, если настраиваете, например, хостинг на одном из Linux-дистрибутивов, то наверняка же в интернете читаете различные статьи по безопасной настройке Linux, ставите дополнительное ПО для поиска руткитов (и смотрите в интернете какое ПО кто рекомендует) и т.д. Т.е. частично опираетесь на экспертное мнение тех людей, квалификация которых позволяет давать компетентные рекомендации. Однако того или иного совета можете придержаться или не придержаться, решение целиком за вами, все риски тоже целиком на вас. Потеря/искажение информации принесёт ущерб только вам или вашей компании. А в закрытых системах такой же принцип, только вместо интернета есть регулятор. Вот и вся разница.
        Разговоры о том, что регулятор или лаборатория трояны встраивают — паранойя. Если из-за этого трояна произойдёт утечка гостайны, то кто за это будет нести ответственность?


        1. LynXzp
          25.06.2017 23:47

          На сколько я понял комментарий на который ссылался то сертификация задерживает обновления. Если это не так — прошу прощения.


        1. teecat
          26.06.2017 12:54
          +1

          Апдейты выходят так часто, как это решает производитель ПО

          Если бы оно было так. Только после проверки испытательной лабораторией. А это не быстрый процесс

          ФСТЭК решило эту ситуацию немного переломить, чтобы производители активнее выпускали обновления

          Поскольку все проходит через испытательные лаборатории — они как-то не хотят работать бесплатно. И за пять копеек тоже не хотят

          Не стоит доверять сказкам ФСТЭК. Полный ИК — как был 6 примерно месяцев, так и остается.


          1. asasasdd
            26.06.2017 13:18
            +1

            Если бы оно было так. Только после проверки испытательной лабораторией. А это не быстрый процесс

            Это не отменяет того факта, что обновление не возникнет из ничего без инициативы производителя ПО. Позиция ФСТЭК сейчас такая, что обновление, направленное на устранение уязвимостей можно применять сразу после выпуска, до завершения процедуры инспекционного контроля. Разве не так? Или Лютиков, публично оглашающий данную позицию, вводит отрасль в заблуждение?

            Поскольку все проходит через испытательные лаборатории — они как-то не хотят работать бесплатно. И за пять копеек тоже не хотят

            Само собой. И так везде, не только в Ведомственных системах сертификации, и не только в РФ. Можно подумать, что RedHat после сертификации RHEL на Common Criteria не досертифицирует обновления или новые версии.


            1. teecat
              26.06.2017 13:34
              +1

              Не то, чтобы вводит, но вводит. да. Формально да — мы можем обновляться как угодно часто. Но вот скажем вышли обновления продуктов Microsoft. По текущему порядку мы не можем написать, что работаем на скажем хр и выше. Нет, мы обязаны прописать конкретные ОС. А поскольку в новоизмененной производителем ОС мы можем и не работать, то для работы в новой считай ос со старым названием нам нужно менять формуляр. А формуляр — это новая сертификация, по ИК поменять формуляр нельзя
              Это раз. Два. Ну выпустим мы обновления. По текущему порядку пользователь обязан получить формуляр с контрольными суммами (и наклейку в придачу). При апдейте контрольные суммы слетят, значит нужен новый формуляр. А это покупка у нас (а у кого еще?) новой коробки. Маразм. Хотят апдейты, пусть отменят наконец эти коробки


              1. asasasdd
                26.06.2017 13:52

                Ну вот не знаю. Те мнения, которые я слышал от различных разработчиков, пока подтверждают концепцию Лютикова. Противоположное мнение встречают впервые.

                Не совсем понял что подразумевается под работать в ОС. Речь о чём, о создании автоматизированных систем или сертификации какого-то ПО?
                Вопрос чисто для собственного развития: есть некая ОС версии 1 с присвоенным децимальным номером. Производитель что-то там допиливает (багфиксы, апдейты, по мелочи) и выпускает ОС версии 2 под тем же децимальным номером. Получается, что во ФСТЭКе нужно проходить сертификацию с самого начала, нельзя дотематить и провести ИК с выдачей сертификата на новую версию?

                Недостатки, согласен. Нужно их доносить до регулятора. В целом это чисто специфика ФСТЭКа, не во всех системах сертификации так.


                1. teecat
                  26.06.2017 14:02
                  +1

                  Вот сейчас вышел большой апдейт Windows 10. Внутри все перепахано, антивирусы для поддержки считай новой ОС выпустили обновления. Компании, использующие десятку ее обновили (закрытие уязвимостей). А для занесения в формуляр надо пройти тестирование.
                  Но это еще ладно. Тут хотя бы формально название остается Windows 10 и могут закрыть глаза на формуляр. Хуже если в формуляре было прописано какой SP2, а вышел SP3 или вышла какая windows 11 за время сертификации (напомню она 8 месяцев) — это стопудово новый формуляр и новая сертификация. По ИК недьзя
                  Есет только как-то договорился об общих системных требованиях без указания ОС в формуляре. Но только для Линукса


  1. asasasdd
    24.06.2017 21:13
    -1

    Зачем писать безграмотные новости на тему, в которой автор не разбирается?

    По российскому законодательству, западные компании обязаны подчиниться запросу ФСБ и предоставить для ознакомления исходный код своих проприетарных программ, прежде чем их допустят на российский рынок — власти хотят убедиться, что в программах нет встроенных бэкдоров. Этому требованию подчиняются все компании.

    По какому именно? Не существует никаких запросов ФСБ. Ознакомьтесь с нормативно-правовой базой по сертификации перед тем, как писать такую ерунду и провоцировать страхи. Сертификация добровольная. Кто хочет продавать ПО в те организации, где строятся закрытые системы, обрабатывающие гостайну, тот идёт и сертифицируется. Кто не хочет — тот не сертифицируется. Никто никого не заставляет. Демократия.

    В свою очередь, сами компании говорят, что у них нет другого выбора. Если они не предоставят исходный код, их не пустят на рынок.

    Никого не удивляет, что пищевые продукты должны удовлетворять опредённым требованиям и если в них обнаруживают какую-нибудь инфекцию, то партию уничтожают и запрещают их дальнейшую продажу? Почему-то не слышно, что производители отстаивают своё право поставлять продукцию, не удовлетворяющую санитарно-эпидемиологическим требованиям.

    В последние годы резко выросло количество запросов на аудит исходного кода продуктов Microsoft.

    От кого эти запросы? Сертификация продуктов Microsoft происходит по инициативе заявителя. Кто являлся заявителем можно посмотреть в сертификате. Внезапно одним из заявителей указано представительство Microsoft в РФ.

    Например, исходный код продуктов компании SAP российские специалисты проводили в защищённой лаборатории SAP в Германии.

    npoechelon, у вас там ещё никого не посадили за это?


    1. dmitrye1
      25.06.2017 18:16
      +1

      Это же Рейтер для домохозяек, Вы то что умничать стали? Не Ваша аудитория, вот Вам карму и попортили. По ссылки сходите, от видеоряда с Путиным страшно за всю цивилизацию становится. Фотография здания Эшелона по тегом Open Source изрядно позабавила.

      Из полезной информации: Symantec не будет передавать ВСЕ свои продукты на сертификация на отсутствие недекларированных возможностей, остальное журналистская слизь.


  1. IGHOR
    25.06.2017 03:48
    +1

    С каки времен «показать исходный код» гарантирует отсутствие бэкдора в релизных бинарниках?