Виктор Имантович Алкснис - Левая рука не знает, что делает правая?
[Recent Entries][Archive][Friends][User Info]
|
09:24 pm
[Link] |
Левая рука не знает, что делает правая?
Как я уже писал в своем блоге, 28 ноябля прошлого года мной был направлен депутатский запрос директору федеральной службы безопасности Н.П.Патрушеву, в котором, среди прочих вопросов, просил сообщить о ситуации с недокументированными возможностями программного обеспечения корпорации Microsoft.
ДОБАВЛЕНО: Сегодня ночью мой блог подвергся атаке ботов. Из-за недостатка времени не успел вычистить следы его работы в этом посте. Приношу за это извинения своим читателям.
Получил ответ на свой запрос, в котором ФСБ признала возможность наличия уязвимостей и недокументированных возможностей в этом программном обеспечении.
Казалось бы, наконец-то ведомство, отвечающее за информационную безопасность страны, признало программное обеспечение корпорации Microsoft, представляющим угрозу для этой самой информационной безопасности.
И что же?
Сегодня Федеральная служба по техническому и экспортному контролю (ФСТЭК) выдала корпорации Microsoft сертификат, который свидетельствует, что операционная система Windows Vista, функционирующая на аппаратных платформах с 32-разрядным и 64-разрядным процессорами, содержит встроенные средства защиты от несанкционированного доступа к конфиденциальной информации и имеет оценочный уровень доверия ОУД1 (усиленный) в соответствии с руководящим документом "Безопасность информационных технологий".
Как сообщает Компьюлента, ФСТЭК России дала высокую оценку средствам безопасности Windows Vista. "...ФГУП "Предприятие по поставкам продукции Управления делами Президента Российской Федерации" и корпорация Microsoft объявили о том, что операционная система Windows Vista получила сертификат, подтверждающий высокий уровень ее безопасности. Сертификат выдан Федеральной службой по техническому и экспортному контролю (ФСТЭК) по результатам комплексного тестирования, проведенного специалистами ООО "Центр безопасности информации".
В самой Microsoft платформу Windows Vista называют самой безопасной за всю историю корпорации. В операционную систему, в числе прочего, встроены средства шифрования данных, улучшенный брандмауэр и средства обнаружения шпионского ПО. На этой неделе, как сообщает ComputerWorld, через систему Windows Update должно начаться распространение первого сервис-пака для Windows Vista. В состав SP1 включены более 300 изменений и дополнений, повышающих надежность, быстродействие ОС и улучшающих работу многих компонентов платформы. Кстати, на данный момент сертификатами ФСТЭК, помимо Windows Vista, обладают ряд других продуктов Microsoft, в частности, СУБД SQL Server 2000/2005, серверная операционная система Windows Server 2003/R2, платформа Windows XP Professional, набор офисных приложений Office 2003 Professional и пр..."
По поводу того, что так называемое тестирование является чистой формальностью, и то, что при этом, по сути, всеобъемлющей проверки на безопасность и наличие недокументированных возможностей в программном обеспечении не проводится, неоднократно писали у меня в блоге люди, участвовавшие в этих "комплексных тестированиях".
Любому грамотному человеку понятно, что невозможно за несколько недель провести анализ десятков миллионов строчек программного кода и убедиться в отсутствии в нем программных закладок, недокументированных возможностей и уязвимостей.
Похоже, что действительно у нас левая рука не знает, что делает правая.
ДОБАВЛЕНО: По поводу нового пакета обновления SP1 26 февраля журнал PCWeek дал интересную информацию, указывающую на то, что в Vista SP1 возможно наличие программных закладок "...В обновление Windows Vista SP1 включён алгоритм генерации случайных числе Dual_EC-DRBG, а такие алгоритмы нередко задействуются в качестве базовых в технологиях шифрования. В частности, Dual_EC-DRBG может использоваться в популярном сетевом протоколе SSL. Реализация данного алгоритма, как полагает Брюс Шнайер, известный специалист по компьютерной безопасности, скорее всего имеет “скрытый вход”, реализованный по требованию агентства национальной безопасности США (АНБ). С его помощью якобы можно быстро взломать зашифрованные сведения, в которых используется Dual_EC-DRBG, перехватив всего 32 байта трафика. Правда, текущий алгоритм CTR_DBG, который более надежен, после установки обновления остается в Vista включенным по умолчанию..." |
|
| |
![[User Picture]](http://p-userpic.livejournal.com/64917738/1065780) | | From: | ![[info]](http://p-stat.livejournal.com/img/userinfo.gif) aceler |
|---|
| Date: | March 17th, 2008 06:39 pm (UTC) |
|---|
| | | (Link) |
|
Похоже, левую руку кто-то активно проспонсировал.
![[User Picture]](http://p-userpic.livejournal.com/34987342/8288154) | | From: | yushkin |
|---|
| Date: | March 17th, 2008 06:44 pm (UTC) |
|---|
| | | (Link) |
|
Ответ довольно грамотный. Они примут во внимание некоторые нюансы этой ОС и разработают некоторые меры предотвращения утечек. Ну не будет там "С", "СС" или "ОВ", а коммерсанты пусть сами обеспечивают грамотную защиту своих данных.
| From: | realurix |
|---|
| Date: | March 17th, 2008 06:45 pm (UTC) |
|---|
| | Это просто шизофрения. | (Link) |
|
Ситауция, когда правая рука не знает что делает левая, в психиатрии давно известна. Так же давно известна ситуация с раздвоением личности.
![[User Picture]](http://p-userpic.livejournal.com/64540025/3820063) | | From: | vdas |
|---|
| Date: | March 17th, 2008 07:31 pm (UTC) |
|---|
| | | (Link) |
|
Ей богу, вы как ребенок маленький: "Ой, а штоета, вода-то мокрая!" Приземлитесь - будет польза (имхо) Не удивляйтесь так очевидным вещам - здравые вещи вроде предлагаете... Извините если что - обидеть не хотел.
Самое удивительное, что "сертификация" национальной системы безопасности базируется на голосовловном заявлении фирмы, находящейся на территории чужого государства (насколько известно - исходных кодов нет и, соответственно, даже в принципе НЕВОЗМОЖНО проверить безопасность системы, что ясно любому специалисту).
К тому же представляется, что само понятие документирования - это вещь непонятная для "специалистов" в том числе, и ФСБ. Т.е., развал того, что называлось технической школой дошел и до "конторы"... (((
А рекомендации по использованию - это, увы, закономерное следствие, такого положения. Причем даже не оттого, кто-то "позолотил ручку", а по принципу голого короля (ведь отрицательный вывод нужно обосновывать, а самое главное - предлагать альтернативу и нести ОТВЕТСТВЕННОСТЬ за решение). А так...
Все побежали и я... побежал. У всех WIDOWS, ну и мы заключение дадим... и будем дальше спокойно сидеть. Ведь все равно нас никто не подвинет... к тому же ... таких, как мы, пока хватает...
| |
