Из опасений за безопасность своих продуктов одна компания — Symantec — прекратила сотрудничество с российскими аудиторами.
Американские чиновники говорят, что они предупреждали коммерческие компании о рисках, связанных с передачей исходных кодов российским органам. Но у правительства США нет полномочий, чтобы запретить подобную практику, если это не какие-то военные разработки, а чисто гражданский софт.
В свою очередь, сами компании говорят, что у них нет другого выбора. Если они не предоставят исходный код, их не пустят на рынок. Аудит происходит в безопасных условиях, в специально оборудованных помещениях, чтобы исключить утечку исходного кода.
Кроме Cisco, IBM и SAP, известно, что аудиту исходного кода подверглись продукты Hewlett Packard Enterprise Co и McAfee. В последние годы резко выросло количество запросов на аудит исходного кода продуктов Microsoft.
Вообще, Россия первой в мире получила исходный код Windows. Это произошло ещё в 2002 году. Microsoft согласилась показать исходники только на условии, что они будут считаться государственной тайной Российской Федерации. Сотрудничество продолжалось в последующие годы. Например, летом 2010 года Microsoft предоставила ФСБ исходные коды Windows 7, Windows Server 2008 R2, Office 2010, SQL Server 2008 R2 и Exchange Server 2010 «для повышения доверия к продукции Microsoft со стороны государственных органов».
Непосредственно экспертизу исходного кода производит в том числе Федеральная служба по техническому и экспортному контролю (ФСТЭК России). Записи ФСТЭК гласят, что с 1996 по 2013 годы она провела экспертизу исходного кода 13 технологических продуктов западных компаний, а с 2014 по 2016 годы количество экспертиз резко увеличилось и составило 28. В комментарии для Reuters представители ФСТЭК сказали, что такой аудит исходного кода соответствует мировой практике, в ФСБ отказались от комментариев.
Аудитом исходного кода занимаются ещё несколько компаний, аккредитованных в ФСБ. Что характерно, все они имеют связи с военными структурами. Например, компания «Эшелон» имеет награды «за хранение государственных тайн» от Министерства обороны.
Офисное здание компании «Эшелон» в Москве
Несмотря на все опасения, опрошенные Reuters эксперты не смогли назвать ни одного конкретного случаях взлома, кибератаки или операции по кибершпионажу, которая была бы проведена благодаря тому, что российским спецслужбам стали доступны исходные коды того или иного проприетарного продукта. Пока эти опасения носят умозрительный характер.
В самом деле, аудит исходного кода проприетарных продуктов — не уникальная для России практика. Даже американское правительство в некоторых случаях требует предоставить исходный код закрытой программы, особенно если речь идёт об оборонном заказе или другом важном контракте. Китай тоже иногда требует предоставить исходники как условие на импорт коммерческого программного обеспечения.
В 2014 году Microsoft открыла Центр прозрачности в Редмонде, а позже такой же — в Брюсселе. Представители государственных органов могут посетить это место, посмотреть на исходный код операционной системы Windows и других программ — и убедиться, что в них отсутствуют бэкдоры и шпионские закладки.
Директор компании «Эшелон» Алексей Марков рассказал, что аудит кода осуществляется в своеобразных «чистых комнатах» — специальных лабораториях, из которых нельзя передать исходный код. Интересно, что не все процедуры по аудиту происходят в Москве. Например, исходный код продуктов компании SAP российские специалисты проводили в защищённой лаборатории SAP в Германии.
Но вот для компании Symantec этих условий оказалось недостаточно, если она не доверяет экспертизе.
«Это представляет риск цельности наших продуктов, который мы не желаем принимать», — заявила представитель компании Кристен Батч (Kristen Batch). После отказа показать исходники Symantec больше не сможет продавать в России некоторые корпоративные продукты.
Комментарии (95)
lash05
23.06.2017 21:03А Китаю и Америке Симантек показал код?
lash05
24.06.2017 09:41-1А в чем негатив вопроса?
SBKarr
24.06.2017 13:58+1Неэтично напоминать, что некоторые более равны…
yarric
24.06.2017 15:02+1КНДР код для аудита тоже вряд ли предоставили.
SBKarr
24.06.2017 17:05+1Вот и я о том. Или мы даём всем государственным заказчикам любых стран равные права и говорим об открытом рынке, или мы говорим о государственной монополии и продаём только тем, кому хотим. А сейчас, выходит, говорим о свободном и открытом рынке, но кто-то имеет право проверить продукт перед использованием, а кто-то будет жрать, что дают.
yarric
24.06.2017 23:34С другой стороны никто не будет предоставлять исходные коды госорганам какой-либо страны, если есть подозрение, что эти коды могут быть использованы сомнительным способом.
shogunkub
24.06.2017 23:37Госорганы любой страны в случае необходимости используют исходный код любым выгодным им способом. Договоренности на высшем уровне существуют только до тех пор, пока их выгодней выполнять, чем нарушать.
yarric
25.06.2017 14:01Например в США ФБР так и не удалось заставить Apple взломать iPhone, Apple выиграла в суде против ФБР. А теперь представьте такую ситуацию, скажем, в РФ…
shogunkub
25.06.2017 14:04+1Второе предложение предыдущего моего комментария — ответ на ваш пример. Либо плюсы от взлома айфонов — перевешивают репутационные минусы, либо этот судебный процесс — вообще голый пиар Apple, а негласно всё давно доступно кому надо.
yarric
25.06.2017 14:39-2Просто в США ФБР и полиция тоже не могут идти против закона.
shogunkub
25.06.2017 14:43+1Блажен, кто верует, тепло ему на свете! Эдвард Сноуден, как бы, уже рассказал, что это не так.
yarric
25.06.2017 14:54-2А эти действия АНБ и не были признаны законными, насколько я знаю.
Да, кому-то трудно представить, что в других странах простой рабочий может иметь свою машину и питаться чем-то кроме риса, другим трудно представить, что в других странах можно реально защитить свои права в суде и выиграть иск хоть к президенту.
shogunkub
25.06.2017 14:59+2Вы правда не понимаете разницы между «не может идти против закона» и «действия не были признаны законными»? В первом случае «действий» не происходит. Вообще. Во втором случае — ну не признали действия законными, на словах осудили, а что там под капотом творится — а хрен его знает.
Я не спорю, возможно, ваши рассуждения и истинны, проблема в том, что они основаны на вере, а не на фактах. Вере в то, что любое правительство обязательно либо «плохое», либо «хорошее», а также в то, что есть «плохие» и «хорошие» спецслужбы. К сожалению, это не так, ни первое, ни второе.yarric
25.06.2017 15:12-1А вы правда не понимаете разницы между сбором информации "пока никто не видит" и открытым наездом с требованием информацию предоставить, с последующим использованием этого для преследования по закону же? В первом случае собранная "по-тихому" информация не может быть использована для преследования вас по закону, даже если они что-то незаконное таким способом на вас накопают.
они основаны на вере
Факты выигранных судов с ФБР, президентом и т. д. — известны. Косвенные факты инвестиционной привлекательности (люди не хотят держать бизнес и деньги там, где их легко могут отжать и закон не защитит) — тоже есть.
А какие у вас есть факты того, что это "голый пиар Apple" или того, что у них есть какие-то договоренности на высшем уровне по этому поводу?
shogunkub
25.06.2017 15:14+1Извините, я умываю руки, оставайтесь в вашей стране эльфов.
yarric
25.06.2017 15:26А ещё там нет эцилоппов и по ночам никто не бьёт ;)
shogunkub
25.06.2017 15:26Представляете, у нас тут в реальности — тоже нет.
yarric
25.06.2017 15:32у нас тут в реальности
У вас тут в реальности одно, у других там в реальности — другое. Подходить с одними и теми же мерками ко всем странам довольно бессмысленно, не находите?
Какбы уровень жизни и прочего тут и там тоже намекает на различие в реальностях.
shogunkub
25.06.2017 15:34+1Выдавать собственные фантазии за мерку — не менее бессмысленно. На этом всё, отвечать вам я больше не буду.
yarric
25.06.2017 15:38-1Выдавать собственные фантазии за мерку
Согласен — вы ведь так и ни привели ни одного факта в поддержку своих утверждений. Уровень аргументации "ну вы же понимаете, тут и так всё ясно".
SBKarr
25.06.2017 01:39Да не в этом же дело. Если не хотят давать равные права заказчикам на основе условной опасности государства — их право. Только тогда нужно заявлять: мы — часть государственной монополии США и союзников, а для остальных у нас отдельный порядок закупки. А компании, как правило, говорят: мы — международная компания, работаем на открытом рынке, преференций не делаем, и вообще за честную конкуренцию. Люди, которым лень разобраться в вопросе, верят, потом несут любопытную ересь про честную конкуренцию и открытый рынок.
yarric
25.06.2017 13:56То есть компания не вправе выбирать, каким государствам доверять свои собственные продукты, а каким — нет? И если компания доверяет США или Германии, то она автоматом должна доверять, скажем, КНДР только потому, что КНДР — это тоже государство? Государства разные бывают — одним доверяют, других обходят десятой дорогой.
SBKarr
25.06.2017 14:07Если не хотят давать равные права заказчикам на основе условной опасности государства — их право
Я всего лишь хочу, чтобы они не заявляли обратное.
redpax
25.06.2017 02:50+1Разве это не прямое проявленние капитализма? Если рынок ценный отдаешь исходники, если не очень то держишь позицию, что для тебя важнее всего конфеденциальность.
SBKarr
25.06.2017 02:59-1Это обычное проявление государственно-монополистического капитализма. А тем временем президент вслед за ВШЭ несёт бред про капитализм свободной конкуренции. Причём, верить в бред ВШЭ ухитряются даже те, кто не верит президенту.
yarric
25.06.2017 14:07Где вы тут государство-то увидели, не пойму. Частная компания, предоставляет свою собственность тем, кому считает нужным.
Stan_1
23.06.2017 21:06+1Из-за отказа сертифицировать один продукт они полностью уйдут с российского рынка? Ну-ну. Продукт, о котором речь в статье — не будет на российском рынке. Остальные — будут.
И даже больше — скорее всего будет этот продукт на рынке. И наверняка есть. Скорее всего, пошли в какой-то тендер, связанный с госкомпаниями, а там было требование открытия кода. Не более того. Максимальный риск для бизнеса Symantic в России — проиграть этот конкурс.teecat
26.06.2017 12:40+1Он будет на рынке, но не сможет поставляться в места, где требуется использование сертифицированных решений. Например в системы, подпадающие под 17й приказ ФСТЭК
А на конкурсах конкретно я лично не видел требований по раскрытию данных. Вот в то, что это демарш от безысходности — верю вполне. После начала компании импортозамещения иностранные антивирусы вычищают из госсектора и близких компаний активно
nochkin
23.06.2017 22:55+3Но ведь предоставление исходного кода не гарантирует что бинарники собраны именно из этой версии кода. «Эшелон» ведь не компилирует его.
Я бы удивился если бы тот же Symantec предоставлял код с явными бекдорами в этом случае.Alexsey
24.06.2017 01:40+12Но ведь предоставление исходного кода не гарантирует что бинарники собраны именно из этой версии кода.
Не знаю как там у остальных разработчиков, но в случае с Microsoft если куплена ФСТЭКовская версия продукта то систему надо ставить с диска, полученного от ФСТЭК, а апдейты (которые выходят крайне редко) со спец. портала ФСТЭК. Только тогда гарантируется соответствие ПО их сертификации.poznawatel
24.06.2017 07:38+3Мне не понятен минус комментарию. Человек изложил факты объективной реальности, даже без интерпретации — минусующий не согласен с реальностью?
brick_btv
24.06.2017 09:11+2Сертифицированное ПО поставляется с набором контрольных сумм исполняемых файлов.
Эти контрольные суммы, по всей видимости, как раз снимает испытательная лаборатория скомпилировав исходники. Иначе какой смысл.3al
24.06.2017 20:33+2А исходники компилятора, которые можно собрать своим компилятором, тоже дают?
arteast
25.06.2017 20:53+1Нет, не дают. Как-то доводилось краем коснуться такой сертификации — они брали «официальный» бинарный релиз; исходники этого релиза; бинарники, полученные после билда этих исходников (и они, емнип, интересовались процессом сборки); и требовали объяснение любому расхождению между бинарниками (этот пункт особенно порадовал, учитывая, что какой-то из файлов строился самописной утилитой каким-то очень недетерминированным образом — выходной файл каждый раз получался совершенно разный). В билде использовалось как минимум 2 разных проприетарных компилятора, от которых у нас самих исходников не было.
Если мы тут говорим про возможность использования Ken Thompson Hack — то да, это (на тот момент) было возможно. Билд-инфраструктура не валидировалась.teecat
26.06.2017 12:42+1Уровень сертификации бывает разный. Скажем когда проходит сертификация — приезжают определенные товарищи и под присмотром все компилят и помечают, чтобы не подменили
arteast
26.06.2017 12:48Компиляют чем? Имеющими в билд-системе компиляторами и прочими утилитами, т.е. по сути черный ящик, которому верить не надо бы. Если бы все делать правильно, то перед верификацией продукта надо таким же образом верифицировать на отсутствие закладок все компоненты билд-машины, начиная от компиляторов и заканчивая ОС (если не еще глубже — кто гарантирует, что там в SMI не выполняется код, который ищет в памяти процесс компилятора и делает закладку прямо там?)
teecat
26.06.2017 13:00+1Тут думаю проблема доверия. Если компания настроена на долговременное сотрудничество — мухлевать будет в приемлимых размерах.
webhamster
25.06.2017 18:53+1В том то и дело, что испытательная лаборатория не компилирует исходники, как минимум проприетарных систем. Вся работа строится на принципе «клянусь своей мамашей, что это исходники вот этого бинаря !». Тут есть тонкий момент: ФСТЭК не требует комплируемые исходники, ФСТЭК требует исходники. ФСТЭК не требует инструментарий для сборки, а требует именно исходники аттестуемой системы. И проверить они могут (и проверяют) соответствие и количество заявленных в исходниках сигнатур методов в исходниках и бинарях.
Так что вся эта безопасность — это фарс и получение денег из воздуха. Аттестация оборудования — та же песня. Приближенные к ФСТЭК фирмочки похоже лепят голограммы, произведя в лучшем случае визуальный осмотр. Нам как-то аттестовали сиску за час, хотя мы не просили такой спешки. При всех регламентных действиях за такое время не управишься.
В общем, тут не нужно обольщаться. Аттестация и сертификация — это традиционные элементы бумажной безопасности, не более того. Вся эта машина крутится для имитации бурной деятельности. И если действительно будет спланированная атака, вся эта аттестованная инфраструктура встанет колом. Поэтому так важно развивать свое производство ПО и оборудования. Хорошо, что у нас есть и то и то, но вот масштабы не покрывают потребность страны, плюс в реестры за каким-то хреном вписывают оборудование потенциальных противников. Точнее, за каким хреном понятно, но вот непонятно когда это прекратится.teecat
26.06.2017 12:43+1Два последних абзаца — более чем точно, а первый не всегда так как минимум. В нашем случае — компилят
imanushin
24.06.2017 17:19Тогда придётся вырезать эвристический анализ и пр., за чем охотятся конкуренты. А это уже намного легче проверить
teecat
26.06.2017 12:46Базы, а именно там эвристик — не попадают под сертификацию, ибо изменяются постоянно. Эвристик это обычные записи антивирусных баз
И бояться утечки записей можно разве что в китае. Использование кусков чужих баз вычисляется и последствия могут быть весьма серьезные. Были прецеденты
Akr0n
24.06.2017 05:37+1Вся эта сертификация какой-то бред изначально.
Ну копали они исходники Windows с черт знает какого года, а толку? Недавние события по WannaCry показывают, что это бесполезно! Все эти годы была опаснейшая уязвимость, о ней знали в ЦРУ, наверняка ей пользовались в таргетированных атаках. И где был ФСТЭК, почему при аудите кода не нашли? Или они там ищут в текстах комментарии «вот тут бэкдор» или методы с именами backdoor? Как отличить намеренно зашитую уязвимость, от ошибки программиста?CrazyRoot
24.06.2017 07:38+3А с чего вы решили что не нашли?
С того, что Викиликс публикует сотф спертый у ЦРУ, а не у ФСБ?Akr0n
24.06.2017 13:43+1С того, что у нас тот же WannaCry пачками шифрует серверы силовых структур. А заявляемая цель данных проверок — защита, а не нападение на противника.
ICEman258
24.06.2017 16:11-2ну так нужные серверы защищены. Пачками были зашифрованы серверы в местячковых отделениях полиции, где админ наверняка в патрульной машине проводит больше времени, чем в серверной.
MTyrz
24.06.2017 16:46нужные серверы защищены. Пачками были зашифрованы серверы в местячковых отделениях полиции
Так и запишем: в местных отделениях сервера не нужны.
Рабочие станции тоже, я полагаю.
nerudo
24.06.2017 16:56Так у гэбэшников все исходники были вроде как. И что помогли они в защите от WannaCry?
Serge78rus
24.06.2017 11:11+4Вся эта сертификация какой-то бред изначально.
Это вовсе не бред, а халявная кормушка для:
- контор, имеющих аккредитацию на проведение сертификации (фактически, узаконенная и принудительная торговля воздухом)
- чиновников, раздающих эту аккредитацию (продающих право продавать воздух)
cheburen
24.06.2017 14:06+1конечно бред, linux пилит огромное сообщество, код изначально открытый и то там периодически находят дыры, а тут дали группе спецов поковыряться в наборе исходников, ну не найдут они там ничего, это как пытаться слепому нарисовать план города.
DisM
24.06.2017 09:06Сертификация нужна что бы продавать госзакачикам, с учетом того что госзаказчикам они теперь все равно не имеют права продавать… то как бы логично…
Частникам, не гос структурам имеют права продавать, никакая сертификация не нужна, никуда они не уйдут.
И че то, мне кажется, у семантека продаж в гос сектор и раньше особо не было.
nikerossxp
24.06.2017 09:07-1Учитывая уровень компетенции власти, то хорошо спрятаный бэкдор они и не найдут.
roboq6
24.06.2017 11:42+2Но вот для компании Symantec этих условий оказалось недостаточно, если она не доверяет экспертизе.
«Это представляет риск цельности наших продуктов, который мы не желаем принимать»,
А может быть это потому, что они опасаются что их код потихоря сольют Касперскому (и возможно dr. Web), таким образом дав лаборатории Касперского преимущество на международном рынке за счёт чужих технологий?
phantom-code
24.06.2017 14:06+1Думается мне что весь этот аудит — не более чем показуха с целью извлечения прибыли. Это как с сертификацией opensource проектов, входящих в состав «отечественных» ОС. Каким образом в сертифицированном opensource проекте вообще может обнаружится очередная уязвимость? (риторический вопрос). Оно конечно понятно — хотя бы прочитать все эти миллионы строк кода чисто физически крайне сложно. А осмыслить их полностью и вовсе нереально. Но если уж заявляется, что какой-то продукт проверен на отсутствие закладок, значит весь код был прочитан и осмыслен. Иначе я могу предположить только три возможных ситуации и все они нелепы и печальны:
1. Проверяющая организация просто получила чемодан денег, потому что без ее одобрения применение продукта невозможно (эдакий вариант «законной» взятки).
2. Проверяющая организация абсолютно некомпетентна, т.к. пропустила серьезные уязвимости.
3. Проверяющий намерянно пропустил серьезные уязвимости (саботаж?).virrus
24.06.2017 18:00Мне кажется, вы путаете понятие "закладка" и "уязвимость". Никто не ищет все ошибки при аудите, ищут преднамеренно оставленные бекдоры. Даже бекдор вида "а тут мы не проверим размер буфера перед выполнением содержимого" может оказаться заметным при аудите. В конце концов не обязательно вчитываться в алгоритм, ну не знаю, round robin, чтобы понять, что он изолирован и не представляет опасности.
phantom-code
24.06.2017 19:18+1Согласен, это разные вещи. Тем не менее, если бы мне нужно было бы сделать закладку в открытом проекте, я бы постарался сделать это сильно неочевидным способом, что по сути своей не сильно бы отличалось от ошибки, приводящей к уязвимости. Если они ищут только очевидные закладки, грепая исходники по слову «backdoor», то смысла в таком аудите не сильно много.
arteast
25.06.2017 21:04+1Как выше заметили — тот же WannaCry, если присмотреться, вполне себе сойдет как backdoor для любого компьютера с разрешенной работой SMB. И никто не нашел. А кто нашел, те прикопали для внутреннего использования, а не потребовали исправление.
Я так подозреваю, что аудит по большей части состоит в grep -i 'NSA|backdoor|master key'. Глазами просмотреть исходный код даже критических компонентов Windows, даже не вчитываясь, малореально. Что уж говорить про глубокий анализ.
slonopotamus
24.06.2017 18:50допустят на российский рынок
А кто-нибудь может объяснить что означает эта фраза? Вот есть магазин Google Play, там сотни тыщ «западных компаний» (почему кстати правила не касаются восточных компаний, а также северных и южных). И вот я, гражданин РФ находящийся в России, покупаю в Google Play одно из этих приложений. Вопрос: кто из нас троих (я, гугл, разработчик) находится на российском рынке? Кто из нас на него допущен? Я не верю что все эти сотни тыщ компаний предоставляли в ФСБ свои исходники. Что по задумке должно происходить с недопущенными компаниями?h31
24.06.2017 19:57Мне всё-таки таки кажется, что речь в статье шла о гос. закупках. Слово "рынок" вносит слишком большую путаницу, зря его добавили в статью. И то мне кажется, что речь далеко о всех госпредприятиях. Никто ведь не будет проверять используемый в школах или университетах софт.
В случае приложений для смартфонов — ну, исходники по сути есть только у разработчиков. Другой вопрос, что государство скорее всего обратится к производителю телефонов, а тот переадресует запрос к Гуглу или разработчикам приложений.
slonopotamus
25.06.2017 00:04Ни слова про госзакупки в тексте не нашел. Ну и последняя фраза понимается вполне однозначно:
После отказа показать исходники Symantec больше не сможет продавать в России некоторые корпоративные продукты.
slonopotamus
25.06.2017 00:08Я даже не поленился сходить в оригинал:
Russian authorities are asking Western tech companies to allow them to review source code for security products such as firewalls, anti-virus applications and software containing encryption before permitting the products to be imported and sold in the country.
DandyAndy
24.06.2017 19:57+1Видимо, речь идет о закупках ПО в госструктуры, предприятия имеющие дело с гостайнами, персональными данными, обслуживающими инфраструктурные объекты и тд. Частников никто (пока, во всяком случае) не стесняет рамками в выборе ПО. Впрочем, ветер дует в сторону чебурнета
и болгеносуже давно, и с каждым годом все сильнее.
Ivan_83
25.06.2017 07:35+1Это не касается хомяков.
Это касается госов (не всех) и организаций к которым предъявляются требования, ну вот как например для всяких ПД нужно иметь сертифицированное ПО.
teecat
26.06.2017 12:49+117 приказ (гос органы), 21 приказ (ПДн) требуют использования сертифицированных. Если компания подпадает под эти и иные приказы/ПП — она должна использовать сертифицированное. Если нет — может использовать что угодно
asasasdd
24.06.2017 20:50+1Странная позиция у комментаторов — на 100% негативная.
Если бы сертификация была поголовной для всего ПО, в том числе для личного использования, то тогда бы ещё можно было понять опасения такого характера, что «товарищ майор» встраивает трояны во всё сертифицируемое ПО, чтобы потом следить за всеми гражданами страны. Но в действительности сертификации подлежит только ПО, которое будет использоваться в закрытых системах (где гостайна и прочие аспекты).
Неужели тем, кто никаким образом не соприкасается с закрытыми системами и сертификацией, имеет смысл опасаться сертифицированных сборок ПО?
И ещё. Сертификация != поиск уязвимостей и т.д.
На примере той же Windows логично предположить, что никакая сертификация и близко не соизмерима с тем бюджетом, который Microsoft ежегодно самостоятельно тратит на анализ своих продуктов (тестирование, поиск программных дефектов и т.д.).LynXzp
25.06.2017 22:09Судя по тому что апдейты выходят крайне редко https://geektimes.ru/post/290387/#comment_10149145 то сертификация это еще и прямая угроза безопасности самим защищаемым серверам.
asasasdd
25.06.2017 23:09+1Мы сейчас про какую систему сертификации говорим? Например, ФСТЭК сейчас нормативно закрепил обязательность выпуска обновлений, определил процедуру использования обновления, которые ещё не прошли инспекционный контроль и т.д. Ведомство ведёт активную работу по принуждению (термин грубый, но реальность именно такая) производителей ПО к актуализации сертифицированных версий ПО.
Апдейты выходят так часто, как это решает производитель ПО. ФСТЭК решило эту ситуацию немного переломить, чтобы производители активнее выпускали обновления.
Странно винить в качестве продукта кого угодно, но только не производителя продукта. Не так ли?
Сертификация не является процессом, в результате которого ПО становится неуязвимым. Сертификация направлена на оценку соответствия ПО требованиям того или иного Ведомства. Это, в большей степени, требования к функциональным возможностям ПО, чем к качеству его кода.
Можно привести такой пример. Есть производитель ОС, он регламентирует как под этой ОС должны функционировать те же антивирусные средства, а именно предъявляет требования по функциональным возможностям этих средств, регламентирует механизмы их встраивания в ОС и т.д. Оценка соответствия стороннего антивируса требованиям производителя ОС можно считать такой же сертификацией.
Ведомственные сертификации занимаются тем же самым. Различными производителями выпускается много различных ОС (я про отечественные), средств защиты различного назначения (как аппаратных, так и программных) и т.д. Основная суть сертификации в том, чтобы всё это потом вместе дружно заработало и выполняло заявленный функционал.
Вы же, если настраиваете, например, хостинг на одном из Linux-дистрибутивов, то наверняка же в интернете читаете различные статьи по безопасной настройке Linux, ставите дополнительное ПО для поиска руткитов (и смотрите в интернете какое ПО кто рекомендует) и т.д. Т.е. частично опираетесь на экспертное мнение тех людей, квалификация которых позволяет давать компетентные рекомендации. Однако того или иного совета можете придержаться или не придержаться, решение целиком за вами, все риски тоже целиком на вас. Потеря/искажение информации принесёт ущерб только вам или вашей компании. А в закрытых системах такой же принцип, только вместо интернета есть регулятор. Вот и вся разница.
Разговоры о том, что регулятор или лаборатория трояны встраивают — паранойя. Если из-за этого трояна произойдёт утечка гостайны, то кто за это будет нести ответственность?LynXzp
25.06.2017 23:47На сколько я понял комментарий на который ссылался то сертификация задерживает обновления. Если это не так — прошу прощения.
teecat
26.06.2017 12:54+1Апдейты выходят так часто, как это решает производитель ПО
Если бы оно было так. Только после проверки испытательной лабораторией. А это не быстрый процесс
ФСТЭК решило эту ситуацию немного переломить, чтобы производители активнее выпускали обновления
Поскольку все проходит через испытательные лаборатории — они как-то не хотят работать бесплатно. И за пять копеек тоже не хотят
Не стоит доверять сказкам ФСТЭК. Полный ИК — как был 6 примерно месяцев, так и остается.asasasdd
26.06.2017 13:18+1Если бы оно было так. Только после проверки испытательной лабораторией. А это не быстрый процесс
Это не отменяет того факта, что обновление не возникнет из ничего без инициативы производителя ПО. Позиция ФСТЭК сейчас такая, что обновление, направленное на устранение уязвимостей можно применять сразу после выпуска, до завершения процедуры инспекционного контроля. Разве не так? Или Лютиков, публично оглашающий данную позицию, вводит отрасль в заблуждение?
Поскольку все проходит через испытательные лаборатории — они как-то не хотят работать бесплатно. И за пять копеек тоже не хотят
Само собой. И так везде, не только в Ведомственных системах сертификации, и не только в РФ. Можно подумать, что RedHat после сертификации RHEL на Common Criteria не досертифицирует обновления или новые версии.teecat
26.06.2017 13:34+1Не то, чтобы вводит, но вводит. да. Формально да — мы можем обновляться как угодно часто. Но вот скажем вышли обновления продуктов Microsoft. По текущему порядку мы не можем написать, что работаем на скажем хр и выше. Нет, мы обязаны прописать конкретные ОС. А поскольку в новоизмененной производителем ОС мы можем и не работать, то для работы в новой считай ос со старым названием нам нужно менять формуляр. А формуляр — это новая сертификация, по ИК поменять формуляр нельзя
Это раз. Два. Ну выпустим мы обновления. По текущему порядку пользователь обязан получить формуляр с контрольными суммами (и наклейку в придачу). При апдейте контрольные суммы слетят, значит нужен новый формуляр. А это покупка у нас (а у кого еще?) новой коробки. Маразм. Хотят апдейты, пусть отменят наконец эти коробкиasasasdd
26.06.2017 13:52Ну вот не знаю. Те мнения, которые я слышал от различных разработчиков, пока подтверждают концепцию Лютикова. Противоположное мнение встречают впервые.
Не совсем понял что подразумевается под работать в ОС. Речь о чём, о создании автоматизированных систем или сертификации какого-то ПО?
Вопрос чисто для собственного развития: есть некая ОС версии 1 с присвоенным децимальным номером. Производитель что-то там допиливает (багфиксы, апдейты, по мелочи) и выпускает ОС версии 2 под тем же децимальным номером. Получается, что во ФСТЭКе нужно проходить сертификацию с самого начала, нельзя дотематить и провести ИК с выдачей сертификата на новую версию?
Недостатки, согласен. Нужно их доносить до регулятора. В целом это чисто специфика ФСТЭКа, не во всех системах сертификации так.teecat
26.06.2017 14:02+1Вот сейчас вышел большой апдейт Windows 10. Внутри все перепахано, антивирусы для поддержки считай новой ОС выпустили обновления. Компании, использующие десятку ее обновили (закрытие уязвимостей). А для занесения в формуляр надо пройти тестирование.
Но это еще ладно. Тут хотя бы формально название остается Windows 10 и могут закрыть глаза на формуляр. Хуже если в формуляре было прописано какой SP2, а вышел SP3 или вышла какая windows 11 за время сертификации (напомню она 8 месяцев) — это стопудово новый формуляр и новая сертификация. По ИК недьзя
Есет только как-то договорился об общих системных требованиях без указания ОС в формуляре. Но только для Линукса
asasasdd
24.06.2017 21:13-1Зачем писать безграмотные новости на тему, в которой автор не разбирается?
По российскому законодательству, западные компании обязаны подчиниться запросу ФСБ и предоставить для ознакомления исходный код своих проприетарных программ, прежде чем их допустят на российский рынок — власти хотят убедиться, что в программах нет встроенных бэкдоров. Этому требованию подчиняются все компании.
По какому именно? Не существует никаких запросов ФСБ. Ознакомьтесь с нормативно-правовой базой по сертификации перед тем, как писать такую ерунду и провоцировать страхи. Сертификация добровольная. Кто хочет продавать ПО в те организации, где строятся закрытые системы, обрабатывающие гостайну, тот идёт и сертифицируется. Кто не хочет — тот не сертифицируется. Никто никого не заставляет. Демократия.
В свою очередь, сами компании говорят, что у них нет другого выбора. Если они не предоставят исходный код, их не пустят на рынок.
Никого не удивляет, что пищевые продукты должны удовлетворять опредённым требованиям и если в них обнаруживают какую-нибудь инфекцию, то партию уничтожают и запрещают их дальнейшую продажу? Почему-то не слышно, что производители отстаивают своё право поставлять продукцию, не удовлетворяющую санитарно-эпидемиологическим требованиям.
В последние годы резко выросло количество запросов на аудит исходного кода продуктов Microsoft.
От кого эти запросы? Сертификация продуктов Microsoft происходит по инициативе заявителя. Кто являлся заявителем можно посмотреть в сертификате. Внезапно одним из заявителей указано представительство Microsoft в РФ.
Например, исходный код продуктов компании SAP российские специалисты проводили в защищённой лаборатории SAP в Германии.
npoechelon, у вас там ещё никого не посадили за это?dmitrye1
25.06.2017 18:16+1Это же Рейтер для домохозяек, Вы то что умничать стали? Не Ваша аудитория, вот Вам карму и попортили. По ссылки сходите, от видеоряда с Путиным страшно за всю цивилизацию становится. Фотография здания Эшелона по тегом Open Source изрядно позабавила.
Из полезной информации: Symantec не будет передавать ВСЕ свои продукты на сертификация на отсутствие недекларированных возможностей, остальное журналистская слизь.
IGHOR
25.06.2017 03:48+1С каки времен «показать исходный код» гарантирует отсутствие бэкдора в релизных бинарниках?
duke_saiko
У меня как раз закончилась подписка на Nortnon. Походу, стоит задуматься над тем, чтобы продлить :)
Christoph
И как эта новость влияет на продление подписки?
— мечты Касперского.Компания остаётся на рынке, а заверениям «Директор компании «Эшелон»» нет доверия из-за его связей с ФСБ.
Symantec поступают правильно. Безопасность продукта важнее.
duke_saiko
Отчасти вы уже ответили: то, что Sumantec не желает иметь никаких дел с ФСБ, к которой я не питаю симпатий. Одной шпионской конторой меньше. Касперский, в этом плане, не заслуживает моего доверия, поэтому я предпочёл не использовать его.
rasdmr
Ну нортон с момента создания был шпионским и всю жизнь пытается избавится от этой грязи. И потом, кто не пользуется касперским, за теми фсб следит еще тщательнее )))))) А тут за вами еще и анб добавляет ))))
roboq6
Не могли бы дать подробностей?
Лично мне от слежки АНБ ни жарко ни холодно. Думаю duke_saiko тоже.
azsx
В документах Сноудена, например, есть информация о том, как ломают антивирусы. Американских антивирусов там нет. Наверное, ломать их не надо, так как они заодно.
https://theintercept.com/2015/06/22/nsa-gchq-targeted-kaspersky/ (первая ссылка)
Так можно говорить только в том случае, если вы никогда и ни при каких обстоятельствах не собираетесь выезжать за пределы РФ. Если у вас есть хоть какие то намётки посещать буржуйские страны, то как раз лучше пусть ФСБ о вас знает всё, а все западные спецслужбы ничего.
roboq6
Ну или как альтернатива — я могу считать что США в разы более правовое, демократичное и гуманное государство чем РФ, и как следствие если я обычный гражданин и НЕ нарушаю законы США, то и опасаться мне особо нечего.
azsx
Я с Вами не согласен, но вам там видней.
susnake
Если я верно помню, то этот аудит нужен для того, что бы компании разрешили продавать свой продукт в гос.секторе.
Для физ и юр.лиц ничего не поменяется, если, конечно, вы не работаете в гос.секторе и не приобрели SEP.