РМ
Еще более долгая и сложная, чем сертификация
Size: a a a
2020 May 23
РМ
Просто при НДВ и ОУД программы изучают и доверие к ним больше
Угу
Т
Насколько я понимаю, исследования на закладки делает ФСБ в рамках проведения тематических исследований: очень долгая процедура.
ФСТЭК
d
Еще более долгая и сложная, чем сертификация
Добавляют свои?)
РМ
dinet
Добавляют свои?)
😃 я не в курсе )))
AL
dinet
Добавляют свои?)
Ну если по словам отечественных вендорлв тамошние спецслужбы добавляют в американские продукты, то чем наши лучше?
AL
2020 May 24
MS
Alexey Lukatsky
Ну если по словам отечественных вендорлв тамошние спецслужбы добавляют в американские продукты, то чем наши лучше?
Не верю, что факты таких внедрений (особенно для не очевидных, не лежащих на поверхности бэкдоров) можно утаить в случае крупных производителей что там, что тут
MS
И если безопасность продуктов у отдельных иностранных производителей уже достаточно на высоком уровне (плюс выстроены процессы безопасной разработки), то у нас, к сожалению, работы ещё очень много предстоит. Какие уж тут заложенные по чьей-то просьбе НДВ... с уязвимостями бы разобраться.
РМ
И если безопасность продуктов у отдельных иностранных производителей уже достаточно на высоком уровне (плюс выстроены процессы безопасной разработки), то у нас, к сожалению, работы ещё очень много предстоит. Какие уж тут заложенные по чьей-то просьбе НДВ... с уязвимостями бы разобраться.
закладки и бэкдоры есть смысл делать для проведения разведывательной деятельности... а всякие исследования ФСБ и ФСТЭК в основном для продуктов, направленных для применения в российских госорганах.
А какой смысл вести разведывательную деятельность в отношении самих себя?
А какой смысл вести разведывательную деятельность в отношении самих себя?
AL
Не верю, что факты таких внедрений (особенно для не очевидных, не лежащих на поверхности бэкдоров) можно утаить в случае крупных производителей что там, что тут
L
И если безопасность продуктов у отдельных иностранных производителей уже достаточно на высоком уровне (плюс выстроены процессы безопасной разработки), то у нас, к сожалению, работы ещё очень много предстоит. Какие уж тут заложенные по чьей-то просьбе НДВ... с уязвимостями бы разобраться.
А зачем вредрять очевидную закладку, если можно как раз заложить бэкдор? А его замаскировать под уязвимость вообще ничего не стоит. Найти сложные уязвимости в общем случае автоматизированными средствами нельзя, вручную/полуавтоматизировано сложно и дорого.
Например, уязвимости, связанные с криптографией (для конкретики - уменьшение ключевого множества из-за ошибки) или атаками по времени далеко не очевидны.
Например, уязвимости, связанные с криптографией (для конкретики - уменьшение ключевого множества из-за ошибки) или атаками по времени далеко не очевидны.
L
При сертификации сейчас начали действительно смотреть уязвимости, хотя покрытие оценить не берусь.
L
Это уже больше теоретический вопрос и достаточно сложный.
Но что точно можно сказать - если есть намерение спрятать уязвимость в большом количестве кода, то это под силу сделать не самому прошаренному специалисту с опытом поиска уязвимостей.
Но что точно можно сказать - если есть намерение спрятать уязвимость в большом количестве кода, то это под силу сделать не самому прошаренному специалисту с опытом поиска уязвимостей.
L
Так что тема "защитить КИИ от иностранных разведок" вполне адекватная как мне кажется, особенно учитывая хотя бы известные военные зарубежные программы.
Но соглашусь, что проблема комплексная и надо учитывать далеко не только возможность встраивания уязвимостей в ПО.
Но соглашусь, что проблема комплексная и надо учитывать далеко не только возможность встраивания уязвимостей в ПО.
РМ
Так что тема "защитить КИИ от иностранных разведок" вполне адекватная как мне кажется, особенно учитывая хотя бы известные военные зарубежные программы.
Но соглашусь, что проблема комплексная и надо учитывать далеко не только возможность встраивания уязвимостей в ПО.
Но соглашусь, что проблема комплексная и надо учитывать далеко не только возможность встраивания уязвимостей в ПО.
Но изначально вопрос был про то, что гарантирует ли сертификат отсутствие закладок.
IM
Но изначально вопрос был про то, что гарантирует ли сертификат отсутствие закладок.
ответ же очевиден. Разве нет?
L
Но изначально вопрос был про то, что гарантирует ли сертификат отсутствие закладок.
а до того про то, насколько стоит задумываться о запрете=) я как раз про это говорил
L
ответ же очевиден. Разве нет?
мне тоже кажется очевидным. Для конеретики - нет, не гарантирует