16.6.10

Мнение ФАИТ о сертификации ФСБ и ФСТЭК, о NetBIOS и Linux

Я уже писал про выступление сотрудника ФАИТ, которое вызвало некоторое оживление у комментаторов ;-) Теперь я решил выложить некоторые фрагменты его выступления. В частности вот фрагмент про ранее упомянутый NetBIOS (протокол удаленного доступа к BIOS ;-) Он хотел этим знанием поделиться с представителями "Атласа", которые до него рассказывали про документированные функции удаленного управления компьютером (AMT, vPRO, WfM и т.д.), рассматриваемые как закладки.



Затем сотрудник ФАИТ (бывший сотрудник ФАПСИ, кстати) высказался о качестве сертификации в ФСБ криптосредств по классам КС1 и КС2. Он сравнивал ее с сертификацией зажигалки.



И, наконец, очередной шедевр. Опус про Linux, который загружается в BIOS и который разработали американские военные для ловли русских хакеров, про сертификацию Linux RH в ЦБИ и про квалификацию ФСТЭК в части сертификации по требованиям безопасности.



ЗЫ. Качество не самое высокое - писал на смартфон. Лучше слушать через наушники.

ЗЗЫ. Это мой первый опыт подкастинга. Так что сильно прошу не пинать - обработкой аудио я пока не занимался.

14 коммент.:

Baevsky комментирует...

Он не пьян? Вас там чем поили? :-)

karmix комментирует...

Обычный кадровый дилетант.

Про глубокое знание ОШС сухопутных сил армии США улыбнуло, впрочем и остальное тоже с искоркой.

biakus комментирует...

Ищите в людях хорошее!

Также встречаюсь с некомпетентностью людей обусловленной их истероидной демонстративностью и двигательной гиперактивностью. Но возвышаться за счет таких - негуманно :)

Анонимный комментирует...

По поводу сертификации.
"Мы г..няно сертифицируем г..ные продукты которые потом наши же г...е кулхацкеры го..о ломают..."

Дело в том, что это проблема зрелости в целом. Напоминает строительство аборигенами чего то похожего на аэродромы чтобы боги сбрасывали им туда пайки и всякое другое.

У нас есть люди, которые могут создавать защищенные технологии, у нас есть люди которые могут тестировать такие технологии достаточно глубоко, у нас есть люди которые могут обосновать и то и другое. Однако.

У нас считается, что на создание защищенной ОС можно потратить немного денег и пол года-год. У нас считается, что испытания должны проходить 2-3 месяца и стоить недорого.

Уверяю читателя. У нас есть технология, однако нет ни времени ни денег ни ВОЛИ. Ведь как правило нужна не защита а бумажка-сертификат.

Современное состояние не позволяет в реальные сроки проводить грамотные сертификационные испытания.
P.S.1 а они нужны кому то грамотные ?
P.S.2 а кто готов из Заявителей сертифицировать ОС (как правило чужую) два года и заплатить миллионов 200 ? При условии что полной гарантии все равно не будет ...

Unknown комментирует...

Помню в ФАПСИ встречал такого кадрового военного, подполковник кажется, уж не помню в каких войсках служил раньше, но он наверняка говорил бы похоже, хотя занимается учетом мат.ценностей.
Но это не он, он так в 8-ке и остался.

Анонимный комментирует...

так он же рыбак. про приманку с маслицем неплохо получилось :)

ivlad комментирует...

Евгений Родыгин
> а кто готов из Заявителей сертифицировать ОС (как правило чужую) два года и заплатить миллионов 200 ?
Если вы предлагаете сервис, которые не востребован рынком, зачем жаловаться на рынок?

DiGrey комментирует...

Случайно фамилия докладчика ФАИТ не Мельников ? Голос очень знаком.

Алексей Лукацкий комментирует...

biakus: А никто и не возвышается. Просто человек с пеной у рта несет с высокой трибуны, прикрываясь федеральным ведомством, бред ;-(

Анонимный комментирует...

2 ivlad
"> а кто готов из Заявителей сертифицировать ОС (как правило чужую) два года и заплатить миллионов 200 ?

Если вы предлагаете сервис, которые не востребован рынком, зачем жаловаться на рынок?"

Зачем кому то жаловаться что у него RADO прожили 2 недели если они куплены за 20 баксов ?

Я вовсе не о рынке и своих услугах ...
У нас почему то принято махать флагом на самой высокой горе, что софт прошел проверки по 4 уровню НДВ и ПО полностью безопасное !!!

Unknown комментирует...

Противно слушать. Откуда оно берется такое вообще?

Alexey Volkov комментирует...

Жесть, одно слово. Шедеврально. Помню из своего опыта десятилетней давности, титулованый сотрудник одного ведомства считал, что сканер портов - это инструмент проверки COM и LPT. Мало что за 10 лет изменилось...

Unknown комментирует...

Евгений Родыгин очень точно отразил суть текущего состояния ЗИ в стране фразой "нужна не защита , а бумашка-сертификат"..( От этого и вынуждены плясать даже те,у кого мозги еще не на бекрень.

ЕвгенийКР комментирует...

Вероятно, у него есть технические доказательства. Всем давно известно что американские спецслужбы работают и внедряют свои уязвимости. Среди microsoft много скандалов с internet explorer. В линуксы также не сомневаюсь что есть попытки внедренить закладки, уязвимости. Кстати про BIOS: где-то год назад слышал, что ранее использовали программные закладки, сейчас пытаются внедрять в на аппаратном уровне. Тонкостей не помню. Этого нельзя исключать