id: Гость   вход   регистрация
текущее время 15:54 28/03/2024
Автор темы: ressa, тема открыта 09/01/2014 15:05 Печать
Категории: инфобезопасность, операционные системы
https://www.pgpru.com/Форум/ПрактическаяБезопасность/ОперационнаяСистемаНаКомпьютереПравовыеИКоммерческиеРиски
создать
просмотр
ссылки

Операционная система на компьютере: правовые и коммерческие риски

Собрал в одном документе всю доступную информацию о сертификации операционных систем, использующихся как обычными пользователями, так и государственными органами и предприятиями.


В результате получилась очень интересная информация: оказывается операционные системы Microsoft Windows не могут использоваться для обработки сколько-нибудь важной конфиденциальной информации.


Несмотря на это, во многих госорганах закрывают на это глаза, предпочитая не задумываться о последствиях. В результате мы получаем множественные утечки информации и практически нулевую сохранность персональных данных.


С другой стороны, рядом российских компаний проведена колоссальная работа по созданию на базе операционных систем GNU/Linux действительно надежных российских операционных систем.


К сожалению, информация об этом зачастую оказывается неизвестна не только специалистам, которые интересуются данной проблематикой, но и руководителям государственных органов и госпредприятий, которые несут ответственность за сохранность конфиденциальной информации.


Более того, коммерческие организации, которые всегда обгоняли в применении новых технологий и не меньшим образом берегли свои секреты — в России почему-то существенно отстали даже от консервативных военных.


Собранный мною материал не является истиной в последней инстанции и я с удовольствием приму замечания и предложения по уточнению изложенной информации. Тема сертификации программных продуктов чрезвычайно запутанна и очень мало освещена.


Предлагаю обсудить приложенный материал и, по возможности, дать рекомендации по его уточнению.


Следующим шагом будет написание статьи об ответственности за использование несертифицированных программных продуктов, а также за иные допущенные нарушения порядка сертификации.


Источник
Сама публикация (PDF)
P.S. Прошу перенести в раздел Новости, т.к. у меня закрыт доступ туда.


 
На страницу: 1, 2 След.
Комментарии
— unknown (09/01/2014 16:21)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
А проблемы с сертификацией и прочие замороки с российским законодательством разве имеют какое-то отношение к реальной инфобезопасности?
— ressa (09/01/2014 16:57)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59
Ну мне кажется, что нужно исходить из того, что хотя бы как-то, но лоббируется использование Linux, как более безопасной и экономически выгодной системы для гос.органов и структур. Конечно автор включает режим КО подобными фразами:
В результате получена весьма любопытная информация: операционные системы Microsoft Windows не могут использоваться для обработки сколько-нибудь важной конфиденциальной информации

А по поводу винды, я бы хотел заметить, что винда, "сертифицированная" ФСТЕКом не продается простым смертным, т.ч. ее роль в данном "отчете" более, чем формальна. Хотя как по-мне – она везде формальна.
UPD: Хотя вру, можно купить винду Microsoft Windows 7 Профессиональная (сертифицированная ФСТЭК версия) но только смысла я вообще не вижу, уверен, что МС никому исходники не покажет..
А по поводу ФСТЭК – так у нас еще и ALT сертифицирован: Альт Линукс СПТ 6.0 сертифицированный ФСТЭК
Плюс ко всему в "докладе" также упоминается, что винда не проходит сертификацию на предмет отсутствия недекларированных возможностей. Т.ч. в целом док годный, и винда скоро вообще на задний план отойдет.
— unknown (09/01/2014 17:28)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Эта сертификация что для Windows, что для Linux — сплошной бюрократический маразм. Там даже апдейты безопасности на систему нельзя ставить после её прохождения.
— Гость (09/01/2014 17:41)   <#>
А проблемы с сертификацией и прочие замороки с российским законодательством разве имеют какое-то отношение к реальной инфобезопасности?

Поддерживаю вопрос unknown'а.
— ressa (09/01/2014 17:51)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59
Гость (09/01/2014 17:43) Каюсь, не видел. И понимаю, что здешним гуру это точно неинтересно, я же, в свою очередь добавляю и делюсь лишь тем, что счел для себя новым или интересным. Ну может еще кому-то понадобится и тд.
— unknown (09/01/2014 17:54, исправлен 09/01/2014 17:55)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Почему, есть на сайте и такой раздел. Не особо актуальный и популярный, но если что-то важное, то туда можно добавить.

— unknown (10/01/2014 10:05)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
В документе встречаются как минимум два феерических момента:

  1. Автор путает закладку в стандарте Dual_EC_DRBG с якобы закладкой в стандарте AES, про что на данный момент ни в каких известных документах никакой информации не было. Или автору попали какие-то особые документы Сноудена, пусть он поделится сенсанцией.
  2. Автор приводит слова сотрудника Microsoft, что, якобы для того, чтобы пройти требования сертификации ФСБ, Microsoft встроило в Windows модуль стороннего разработчика. Сам этот разработчик совместно с ФСБ знает предназначение модуля, а Microsoft не знает. И MS не жалко в российской версии добавить нечто, что ФСБ попросит (даже не интересуясь что это, или дав соглашение о неразглашении). Или автор не так понял сотрудника MS. Или слова представителя MS выдернуты из контекста. Или в ходе сертификации зарубежные закладки и бэкдоры заменяются/дополняются отечественными. И касаться это может не только MS, но и Linux, несмотря на весь открытый код, т.к. свободного, многочисленного, квалифицированного, заинтересованного, независимого коммунити вокруг этих узконишевых, подконтрольных госорганам дистрибутивов — нет.

Если попыткам американского ГБ испоганить безопасность информационной инфраструктуры могут противостоять хоть какие-то независимые специалисты, то на противодействие аналогичным попыткам спецслужб России такие шансы исчезающе малы.

Независимым пользователям проще бойкотировать их продукт — благо для этого просто ничего не надо делать, он просто так и не продаётся. А официальным организациям от сертификаторов нужны только бумажки для прикрытия задницы перед бюрократическими проверками, а не реальная безопасность. Пусть там хоть все персональные данные утекут, главное снять с себя юридическую отвественность.

И все довольны: спецслужбы, сертификаторы, бизнес-организации. Кроме рядовых пользователей, чьи данные якобы кто-то пытается защищать.
— ressa (10/01/2014 10:51)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59
unknown
Я с тобой полностью согласен. Но вот конкретно о:
Кроме рядовых пользователей, чьи данные якобы кто-то пытается защищать.

Ну вот здесь да, и пользователей никто не заставляет сливать о себе инфу в соц.сети и никто не запрещает прокачивать навыки в ИТ. Соответственно есть свобода выбора у человека, пока что есть.
В Англии по-моему, если ты не выдаешь пароль – то это считаться попыткой сокрытия улик и человек де-факто становится преступником. Ведь ничего не мешает это сделать и у нас, но пока вроде тишина (и слава Богу). Так вот, меня лично смущает не личности, задротствующие в соц.сетях или те, кто не может обеспечить себе хотя бы примитивную безопасность, а тот факт, что развитие криптографии как-то подвисло в аморфном состоянии. К примеру то же отрицаемое шифрование. Понятное дело – свой сервак в кошерной юрисдикции, своя почта и тд и тп, но это больше похоже на залатывание дыр, нежели на прогресс в сфере криптографии. Потому, как государство и прочие АНБ не медлят, квантовые компы разрабатывают, а вот обратная сторона "баррикад" висит в подвешенном состоянии.
— unknown (10/01/2014 11:04, исправлен 10/01/2014 11:05)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Есть исследования, которые ставят целью разработку систем хранения данных, не подвергающих приватность граждан риску. Для этого, в первую очередь, приватные данные должны быть защищены от владельцев и операторов таких систем. Например, можно записывать данные о гражданах в базы данных, но извлечь данные на гражданина без его согласия технически (криптографически) невозможно. Или можно делать только обезличенные статистические выборки (например, для планирования государственных расходов на транспорт, медицину, страхование), но никакими, самыми изощрёнными алгоритмами не связать эти данные с конкретными людьми.


Такие протоколы крайне сложны технически, пока что не проработаны даже на теоретическом уровне, дороги в реализации. И никому не выгодны — ни бизнесу, ни госслужбам в их нынешним состоянии во всём мире. А граждане в подавляющей массе своей такой выгоды понять, представить и осилить не смогут — даже не все специалисты представляют, как такие типы протоколов могут работать.

— ressa (10/01/2014 12:11)   профиль/связь   <#>
комментариев: 1079   документов: 58   редакций: 59
Если я не ошибаюсь, ты имеешь в виду криптографию на решетках, да? Это когда можно производить операции над зашифрованными данными не узнавая самих данных, ну т.е. дается зашифрованный запрос в БД, выполняется и отдается зашифрованный ответ, который, в свою очередь, будет дешифрован на стороне клиента? Но ведь это все даже не просто теория, но и теория, далекая от практики, которая упирается как на новизну и отсутствие аудита, так и на хромую производительность. Ну и по поводу ненужности данного подхода – тоже полностью согласен. Ведь казалось бы – вместо того, чтобы развивать квантовые компьютеры для научных целей, как то – моделирование хим. соединений, расчет элементарных частиц и тд, которые, на сколько я знаю, сейчас проводятся полу-эвристическими алгоритмами с очень низкой точностью, так вот вместо всего этого разрабатывают компы для взлома шифров, всего-то с целью тотального контроля. Который ровным счетом не будет значить ничего, даже в рамках одного отдельно взятого государства, ежели в нем нет единой связующей идеи. Но, если посмотреть глобально, конечно это все приведет к тотальному межгосударственному киберпанку и атакам. Но с другой стороны все военные и стратегические объекты не имеют доступа в интернеты – т.ч. смысл дешифровки теряется, если не проводить ИТ диверсию на самом объекте, на который еще нужно попасть. В общем мне непонятно, если это все идет для слежки за людьми – это глупо, если в военно-стратегических целях – много неизвестных всплывает. К тому же очень глупые ходы делают, вместо того, чтобы делать по-тихому, они волей-неволей сами пиарят среди хомячков и домохозяек криптографические системы, вон, к примеру, как трафик Tor вырос в РФ, когда под эгидой тотальной слежки в СМИ пошли вбросы от ФСБ о самом Tor'е, глупо ведь)) Ну и чем больше запретов, тем больше будет порождаться и совершенствоваться криптография и децентрализация, и мне, как далекому от этого всего человеку – совершенно непонятно, кто выиграет, я думаю, что правда не за структурами, а за разработчиками и полу-закрытыми сообществами, т.к. не будут успевать ломать новые поделки. Но до этого еще очень далеко.
— Гость (11/01/2014 13:50)   <#>
unknown (09/01/2014 17:28)
Эта сертификация что для Windows, что для Linux — сплошной бюрократический маразм. Там даже апдейты безопасности на систему нельзя ставить после её прохождения.

Да апдейты-то ставить можно, но не простые, а "сертифицированные".
http://www.altx-soft.ru/downloads.htm
— Гость (11/01/2014 14:30)   <#>
offtop

Ведь ничего не мешает это сделать и у нас, но пока вроде тишина (и слава Богу).
не хочется скатывать разговор в политоту. но вряд ли это достижение.
есть людей – это, вроде как, некрасиво, а в некоторых государствах (в большенстве) это уголовно наказуемо, правда людоеды из какого-нибудь племени в Африке об этом могут не знать.
— Гость (11/01/2014 20:53)   <#>
Там даже апдейты безопасности на систему нельзя ставить после её прохождения.
Правильно, а вы как думали? Апдейты тоже надо сертифицировать, и у производителя ОС не должно быть возможности ставить несертифицированные апдейты. Иначе элементарно всё затроянят.
— unknown (11/01/2014 21:42)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Правильно то оно правильно. Вот только по этой же причине развалились многие открытые т.н. «укреплённые» или "hardened" Linux-дистры. Маленькое сообщество их мантейнеров не успевало оперативно просматривать и переделывать апдейты из исходного дистра.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3