Пишут о предполагаемых "чёрных ходах" в Windows-7:

«Что касается участия АНБ в разработке операционной системы, то у людей сразу возникает мысль, что спецслужбы могут встроить в Windows какой-нибудь бэкдор... «Microsoft никогда не внедряла и не будет внедрять «бэкдоры» в Windows», — заявил вчера официальный представитель компании. Многие эксперты склонны верить этому заявлению, потому что в случае обнаружения бэкдора в Windows последствия для бизнеса Microsoft были бы катастрофическими.»

Про бэкдоры как-нибудь в другой раз, а вот насчёт веры в подобные заявления таки выскажусь.

В любой стране сведения о проведении негласных оперативно-розыскных мероприятий, об их сущности, времени, месте и участниках являются государственной тайной. Закон возлагает на причастных лиц (в том числе, гражданских) обязанность хранить эту тайну, а кроме того, у них отбирается отдельная расписка. За разглашение гостайны предусмотрена уголовная ответственность. Всех, кто участвовал во внедрении "чёрного хода", закон обязывает лгать, что никакого внедрения не было. Таким образом, лишены смысла рассуждения на тему верить или не верить в подобные заявления.

Ну и по поводу "катастрофичности" последствий. Предположим, подозрения превратятся в подтверждённую информацию. В такой-то версии ОС имеется бэкдор, ключ от которого находится у АНБ. Сколько пользователей откажутся от данной ОС? Сколько из отказавшихся купят другую ОС того же производителя? Сколько из перешедших на альтернативную ОС через месяц-другой вернутся обратно? Сколько предъявят претензии производителю, а сколько сами смогут прочесть в лицензионном договоре, что Майкрософт в этом случае им ничего не должен? Мне почему-то представляется, что крику будет много, но в деньгах компания не потеряет.

Кстати, один раз бэкдор в Винде уже нашли. Возможность несанкционированного и скрытного от пользователя обновления ОС – это самый типичный бэкдор.

Tags: НДВ, гостайна, паранойя, угрозы

Сегодня мы поднимем тему практически философскую. Но выросла она из вполне будничной задачи: исследовать информацию на машинном носителе и юридически строго доказать, какая именно информация там находится. Обычно такая задача ставится при назначении компьютерной (компьютерно-технической, программно-технической) экспертизы. А также при расследовании инцидентов ИБ. Итак, вопрос стоит: где объективная реальность, а где "Матрица"?

Что видит эксперт?

Эксперт, исследуя компьютерную информацию, ничего не делает собственными руками и ничего не воспринимает собственными глазами. Между экспертом и информацией располагаются многочисленные посредники в виде аппаратных устройств и программ. Причём, эти посредники расположены в несколько слоёв, на каждом из которых возможна случайная ошибка, или сознательно допущенная модификация информации или даже злонамеренное её искажение. Не говоря уже о многократных автоматических преобразованиях.

В некоторых случаях эксперту очевидно влияние используемых инструментов, он может оценить вероятность наличия ошибки, он знает, как проверить достоверность. Но о большинстве программных инструментов этого не скажешь. Таким образом, эксперт становится заложником ряда программ, библиотек и функций, число которых достаточно велико, чтобы один человек мог их все проверить. Или просто охватить мысленным взором.

Возьмём простой пример. Эксперту нужно определить, какие флэш-накопители подключали в прошлом к исследуемому компьютеру с ОС Windows-XP. ( Далее... )

Tags: DLP-система, НДВ, криминалистика

Из Новосибирска пишут, что

«новосибирские нотариальные конторы стали предоставлять новую услугу "по осмотру сайта" для подтверждения факта размещения компромата в Интернете... Нотариус своими глазами видит выложенный на сайте материал и выдает клиенту соответствующую бумагу с печатями. Такое доказательство... в суде будут приниматься без проволочек.»

Журналисты, как всегда, кое-что напутали. Подобная услуга существовала всегда. Но не у всех нотариусов. Многие отказывались заверять содержимое веб-сайтов из-за некоторой правовой неопределённости. Например, в Москве известны лишь три нотариуса, согласные выполнять подобное нотариальное действие. Хотите, ищите их сами, не хотите, уплатите посреднику.

Несмотря на очевидную (для нашего брата информзащитника) возможность ввести нотариуса в заблуждение и подменить ему веб-страницу, пока никто этого не проделал. А суды принимают нотариально заверенные веб-страницы "на ура". Судьи вообще очень любят бумаги с печатью нотариусов, ставя этот вид доказательств очень высоко.

Несмотря на то, что закон требует присутствия ответчика при проведении нотариального осмотра, ответчиков-то (сайтовладельцев) ни разу не приглашали. По понятной причине.

Ваш покорный слуга давно ждёт первого прецедента (или заказа на его организацию), когда подобное нотариальное удостоверение веб-страницы будет впервые оспорено и опровергнуто путём заверения у нотариуса заведомо несуществующей или заведомо невозможной веб-страницы. Даже приготовлен ответный ход – протокол нотариального осмотра с участием специалиста. До сих пор специалисты не приглашались, нотариус самостоятельно разбирался со всеми браузерами, прокси, DNS-ами и настройками.

Будем надеяться, что инициатива новосибирских нотариусов подвигнет их московских коллег более широко внедрить эту востребованную услугу.

Tags: НДВ, криминалистика

По Рунету разлетелась будоражащая новость:

«Собственный браузер намерены разработать российские государственные структуры для использования в работе чиновников. Безопасность существующих программ их не устраивает. ...Какой будет эта программа, какие протоколы защиты будут использоваться и на каких технологиях будет основываться разработка программы, никто еще не знает и даже прогнозировать не может. ...Новой программе не нужно быть популярной и поэтому разработчикам можно будет исключить привычные функции и даже сэкономить на дружественном интерфейсе.»

Про попил бабла и старых пней с извилиной от фуражки говорить не стоит. Это первое, что приходит в голову красноглазикам в каментах, но нам совсем не интересно.

...но что-то выдавало в нём государственного служащего.

Интересно другое. Предположим, этот браузер сделали. Сделали каким и планировали – неказистым, но прочным. Предположим, его внедрили. Разумеется, внедрили в приказном порядке. Что же получается? Получается, что любой вебмастер будет иметь возможность уверенно отличать чиновников от обычных посетителей. И учинить дискриминацию сей социальной группы. К примеру, не отдавая им хоть сколько-нибудь спорный контент (копипаст, мат, сиськи, хохлосрач, прочую подлитику), показывая вместо этого белых котят и розовые цветочки.

Понимаю, что идентификационную строку браузера несложно заменить. Но, как говаривал Рабинович, "а умище-то куда девать прикажете?". Мощная информационная "броня", ради которой создаётся сей продукт, вряд ли сможет остаться незаметной, вряд ли ничем не выдаст себя. Это всё-таки браузер, а не ханипот.

До сих пор, кстати, сегрегация пользователей на проблемных сайтах использовалась редко. Но чем дальше, тем бОльшие деньги готовы платить сайтовладельцы за снижение правовых рисков. Пока эти деньги получают админы и отдельные сетевые правоведы. Но с ростом стоимости рисков, думаю, на рынок выйдут производители DLP-систем. Только это будут вывернутые наизнанку DLP: они будут не предотвращать утечки из корпоративной сети наружу, а фильтровать доступ к публичным ресурсам, проводя своеобразный фейс-контроль посетителей. Специальные государственные браузеры, "отечественные" ОС и "федеральные провайдеры" этому поспособствуют.

---

Кстати, чтоб два раза не вставать. Я ещё не давал ссылку на наш полный отчёт об утечках во втором полугодии, лишь приводил некоторые выдержки. Кому интересно, вот этот отчёт. Сразу извиняюсь за шизоидный выбор цветов для раскраски диаграмм. Я их предупреждал, как следует красить. Сделали всё наоборот.

Tags: DLP-система, НДВ, анонимность, проекты, утечки

Пишут тут некоторые журналисты: «Виновником аварии на Саяно-Шушенской ГЭС может оказаться компания-поставщик автоматизированной системы управления.»

Независимо от того, правда ли это или не совсем, случай заставляет задуматься.

Принцип «as is» лежит в основе ВСЕХ без исключения лицензионных соглашений на программные продукты – и свободных, и проприетарных, и писаных на заказ. Он означает отказ автора/правообладателя от всякой ответственности за последствия функционирования ПО, за убытки и прочие неприятности, которые могут быть вызваны ошибками в программе. Отсутствие же ошибок никто, ни один сертифицирующий орган не может гарантировать. А страховщики отказываются страховать риски, связанные с ошибками/уязвимостями в ПО, поскольку не имеют возможности достоверно установить, чем был вызван сбой на самом деле.

Разумеется, подобный отказ от ответственности не имеет силы в случаях, прямо предусмотренных законом. Например, в случае создания вредоносных программ или халатности. Но в большинстве случаев закон на стороне разработчика. Например, под ФЗ "О защите прав потребителя" программные продукты не подпадают.

Преодолеть всеобщий "заговор" производителей ПО и порвать цепочку «as is» будет сложно. Для этого понадобятся несколько серьёзных катастроф, которые, как совершенно точно установлено, были вызваны ошибками в программах.

Tags: НДВ, авторское право, безопасность, оценка рисков, сертификация, угрозы, футурология

Skype, который потихоньку, путём ползучей экспансии становится альтернативой телефону обычному и телефону мобильному, как известно, шифрует весь свой трафик. Журналисты порою пишут [1, 2, 3] об этом. При этом упирают на то, что правоохранительные органы всего мира косо смотрят на Скайп, а всяческие мафиози, напротив,ставят свечки за здравие этой системы. Вашему покорному слуге уже дважды доверительно сообщали люди, "близкие к" о том, что наши органы весьма недовольны распространением Скайпа, поскольку не в состоянии расшифровать его трафик. То ли в самом деле не могут, то ли очень заинтересованы, чтобы так думали.

Технически нет ничего сложного учинить шифрование разговоров, которое не сможет вскрыть ни одна спецслужба в ближайшую сотню лет. (Кстати, приглашённый Скайпом авторитетный эксперт не нашёл в программе уязвимостей или чёрного хода. Хотя надо признать, такой анализ без доступа к исходному коду не может считаться полноценным.) Но то - технически. А организационно подобная задача решается лишь частично. Skype - не автономная программа, которую можно выпустить раз и потом делать перед спецслужбами невинные глазки: "Рад бы вам помочь, но не могу". Скайп имеет единый центр. И этот центр управляется гражданами. Тот факт, что юрлицо у Скайпа зарегистрировано где-то в Люксембурге, возможно, имеет значение для бухгалтерии, но не для безопасности.

Для подобных систем долго оставаться девственницей - весьма трудно и экономически нецелесообразно. Равно как и давать всем подряд. Так вот, актуальным является не вопрос «Можно ли прослушать пореговоры по Скайпу?», а другой вопрос: «Кто может их прослушать?»

Tags: voip, НДВ, анонимность, шифрование

И снова поднимают тему про "отечественную ОС". И снова слышны заклинания о её предполагаемой "безопасности".

Вот, сообщают в новостях, уже и Куба создала "собственную операционную систему", хотя это всего лишь очередной дистрибутив GNU/Linux (точнее, даже модификация дистрибутива Gentoo). Но у кубинцев-то своя причина. Им на пиратском софте жить не удобно, а легального у них нет и не будет, пока эмбарго. Китайцы вот тоже заточили под себя Линукс и успешно практикуют мирное сосуществование разных ОС.

Но наши патриоты, похоже, не желают ограничиться простым Линуксом. Похоже, хотят собственное ядро. А из рациональных обоснований чаще всего выдвигают безопасность.

Разработчик действительно может сделать в программе чёрный ход. А теперь поставьте себя на место спецслужбы вероятного противника и прикиньте, как его к этому склонить. Генерально видится два пути. Первый - официальный: через начальство, через законы, через лицензионные требования, через утверждение ТЗ в органах и т.п. Второй путь - по-тихому: рядовому программисту надо дать денег и кусок кода. Теперь давайте подумаем: в каком из этих двух вариантов чёрный ход имеет шансы дольше остаться неизвестным? Правильно. Так каким же из двух путей пойдёт вероятный противник? Тоже правильно.

А теперь сделаем следующий логический шаг и поставим вопрос: как зависит возможность договориться с разработчиком от его гражданства? Или, может быть, всем без исключения российским программистам сделана прививка патриотизма? И на предложение посотрудничать любой гордо ответит: "Вы этого от меня никогда не добьётесь, гражданин Гадюкин!"

Вот вам и суверенная отечественная ОС!

Впрочем, справедливости ради надо признать, что будет крупным шагом вперёд, если заменить схемы воровства на поставках зарубежного ПО схемами воровства на разработке "отечественного".

Tags: НДВ, безопасность, защита информации, оценка рисков, проекты, угрозы

И снова толкают тему про "отечественную ОС". И снова слышны заклинания о её предполагаемой "безопасности".

Вот, сообщают в новостях, уже и Куба создала "собственную операционную систему", хотя это всего лишь очередной дистрибутив GNU/Linux (точнее, даже модификация дистрибутива Gentoo). Но у кубинцев-то своя причина. Им на пиратском софте жить не удобно, а легального у них нет и не будет, пока эмбарго. Китайцы вот тоже заточили под себя Линукс и успешно практикуют мирное сосуществование разных ОС.

Но наши патриоты, похоже, не желают ограничиться простым Линуксом. Похоже, хотят собственное ядро. А из рациональных обоснований чаще всего выдвигают безопасность.

Разработчик действительно может сделать в программе чёрный ход. А теперь поставьте себя на место спецслужбы вероятного противника и прикиньте, как его к этому склонить. Генерально видится два пути. Первый - официальный: через начальство, через законы, через лицензионные требования, через утверждение ТЗ в органах и т.п. Второй путь - по-тихому: рядовому программисту надо дать денег и кусок кода. Теперь давайте подумаем, в каком из этих двух вариантов чёрный ход имеет шансы дольше остаться неизвестным? Правильно. Так каким же из двух путей пойдёт вероятный противник? Тоже правильно.

А теперь сделаем следующий логический шаг и поставим вопрос: как зависит возможность договориться с разработчиком от его гражданства? Или, может быть, всем без исключения российским программистам и проджект-менеджерам сделана прививка патриотизма? И на предложение посотрудничать любой гордо ответит: "Вы этого от меня никогда не добьётесь, гражданин Гадюкин!"

Вот вам и суверенная отечественная ОС!

Впрочем, справедливости ради надо признать, что будет крупным шагом вперёд, если заменить схемы воровства на поставках зарубежного ПО схемами воровства на разработке "отечественного".

Tags: НДВ