Виктор Имантович Алкснис (v_alksnis2) wrote,
Виктор Имантович Алкснис
v_alksnis2

Левая рука не знает, что делает правая?

Как я уже писал в своем блоге, 28 ноябля прошлого года мной был направлен депутатский запрос директору федеральной службы безопасности Н.П.Патрушеву, в котором, среди прочих вопросов, просил сообщить о ситуации с недокументированными возможностями программного обеспечения корпорации Microsoft.

ДОБАВЛЕНО: Сегодня ночью мой блог подвергся атаке ботов. Из-за недостатка времени не успел вычистить следы его работы в этом посте. Приношу за это извинения своим читателям.
Получил ответ на свой запрос, в котором ФСБ признала возможность наличия уязвимостей и недокументированных возможностей в этом программном обеспечении.



Казалось бы, наконец-то ведомство, отвечающее за информационную безопасность страны, признало программное обеспечение корпорации Microsoft, представляющим угрозу для этой самой информационной безопасности. 
И что же?

Сегодня Федеральная служба по техническому и экспортному контролю (ФСТЭК) выдала корпорации Microsoft сертификат, который свидетельствует, что операционная система Windows Vista, функционирующая на аппаратных платформах с 32-разрядным и 64-разрядным процессорами, содержит встроенные средства защиты от несанкционированного доступа к конфиденциальной информации и имеет оценочный уровень доверия ОУД1 (усиленный) в соответствии с руководящим документом "Безопасность информационных технологий".

Как сообщает Компьюлента,  ФСТЭК России дала высокую оценку средствам безопасности Windows Vista.

"...ФГУП "Предприятие по поставкам продукции Управления делами Президента Российской Федерации" и корпорация Microsoft объявили о том, что операционная система Windows Vista получила сертификат, подтверждающий высокий уровень ее безопасности.

Сертификат выдан Федеральной службой по техническому и экспортному контролю (ФСТЭК) по результатам комплексного тестирования, проведенного специалистами ООО "Центр безопасности информации".

В самой Microsoft платформу Windows Vista называют самой безопасной за всю историю корпорации. В операционную систему, в числе прочего, встроены средства шифрования данных, улучшенный брандмауэр и средства обнаружения шпионского ПО. На этой неделе, как
сообщает ComputerWorld, через систему Windows Update должно начаться распространение первого сервис-пака для Windows Vista. В состав SP1 включены более 300 изменений и дополнений, повышающих надежность, быстродействие ОС и улучшающих работу многих компонентов платформы.

Кстати, на данный момент сертификатами ФСТЭК, помимо Windows Vista, обладают ряд других продуктов Microsoft, в частности, СУБД SQL Server 2000/2005, серверная операционная система Windows Server 2003/R2, платформа Windows XP Professional, набор офисных приложений Office 2003 Professional и пр..."

И как же это понимать?

По поводу того, что так называемое тестирование является чистой формальностью, и то, что при этом, по сути, всеобъемлющей проверки на безопасность и наличие недокументированных возможностей в программном обеспечении не проводится, неоднократно писали у меня в блоге люди, участвовавшие в этих "комплексных тестированиях".

Любому грамотному человеку понятно, что невозможно за несколько недель провести анализ десятков миллионов строчек программного кода и убедиться в отсутствии в нем программных закладок, недокументированных возможностей и уязвимостей. 

Похоже, что действительно у нас левая рука не знает, что делает правая. 

ДОБАВЛЕНО:  По поводу нового пакета обновления SP1 26 февраля журнал PCWeek дал интересную информацию, указывающую на то, что в Vista SP1 возможно наличие программных закладок

"...В обновление Windows Vista SP1 включён алгоритм генерации случайных числе Dual_EC-DRBG, а такие алгоритмы нередко задействуются в качестве базовых в технологиях шифрования. В частности, Dual_EC-DRBG может использоваться в популярном сетевом протоколе SSL. Реализация данного алгоритма, как полагает Брюс Шнайер, известный специалист по компьютерной безопасности, скорее всего имеет “скрытый вход”, реализованный по требованию агентства национальной безопасности США (АНБ). С его помощью якобы можно быстро взломать зашифрованные сведения, в которых используется Dual_EC-DRBG, перехватив всего 32 байта трафика. Правда, текущий алгоритм CTR_DBG, который более надежен, после установки обновления остается в Vista включенным по умолчанию..."

Subscribe
  • Post a new comment

    Error

    Comments allowed for friends only

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 724 comments