Посмотрите на ваш рабочий компьютер... Что вы видите? Монитор, клавиатура, системный блок, считыватель CD, USB-порты... А внутри? Процессор, материнская плата, жесткий диск, контроллер, память... Деталей много. А знаете ли вы, как они работают? Уверены? А если подумать? В 2008-м году я написал статью "Материнская безопасность" о закладках на уровне процессора ПК. Примерно в тоже время об этом написал Шнайер, а ComputerWorld повторил это уже на русском языке. На какое-то время тема заглохла и не поднималась ни в прессе, ни среди специалистов. Но вот в конце 2011 года в журнале "Хакер" была опубликована подробная статья о том, что в чипсетах Intel, поставляемых с заводов в Китае, содержатся вполне конкретные закладки (в "канадских" вариантах таких чипсетов никаких закладок не обнаружено).
По словам автора, эту тему он раскопал еще в 2007-м году (в США тема закладок в Intel'овских процессорах поднималась еще в 95-м году на симпозиуме IEEE) и доложил о ней своему работодателю (Kraftway), в Intel, в ФСБ, в Газпром. Везде рассказ о закладке выслушали, но оставили без внимания. РД по анализу BIOS появился в ФСБ только в 2010-м году (кстати, помните высказывания бывшего сотрудника ФАПСИ о BIOS/NetBIOS?) В феврале краткий пересказ статьи из Хакера был сделан на банковской конференции в Магнитогорске Сергеем Груздевым (слайды 12-17). А 30-го марта Счетная Палата США (GAO) опубликовала отчет "IT Supply Chain. Natonal Security - Related Agencies Need to Better Address Risks", в котором подробно описала риски, которые возникают в американских федеральных структурах в связи с поставкой запчастей к компьютерной технике из стран, за пределами США.
Достаточно интерсное исследование, которое показывает, что американцы сталкиваются регулярно с такими рисками, как:
А пока, вместо того, чтобы заняться реальной работой, у нас пытаются только все запрещать путем выпуска различных приказов о том, что считать продукцией отечественного производства. А ведь можно было начать с малого - провести аналогичное GAO исследование и вынести на обсуждение план реагирования на растущую угрозу. Вот у американцев такой план есть - его начали реализовывать еще при Буше младшем в 2008-м году. Но конца и края этому процессу пока не видно. У нас же в России пока тишина и ничего адекватного данной угрозе пока нет ;-(
По словам автора, эту тему он раскопал еще в 2007-м году (в США тема закладок в Intel'овских процессорах поднималась еще в 95-м году на симпозиуме IEEE) и доложил о ней своему работодателю (Kraftway), в Intel, в ФСБ, в Газпром. Везде рассказ о закладке выслушали, но оставили без внимания. РД по анализу BIOS появился в ФСБ только в 2010-м году (кстати, помните высказывания бывшего сотрудника ФАПСИ о BIOS/NetBIOS?) В феврале краткий пересказ статьи из Хакера был сделан на банковской конференции в Магнитогорске Сергеем Груздевым (слайды 12-17). А 30-го марта Счетная Палата США (GAO) опубликовала отчет "IT Supply Chain. Natonal Security - Related Agencies Need to Better Address Risks", в котором подробно описала риски, которые возникают в американских федеральных структурах в связи с поставкой запчастей к компьютерной технике из стран, за пределами США.
Достаточно интерсное исследование, которое показывает, что американцы сталкиваются регулярно с такими рисками, как:
- инсталляция ПО и железа, содержащего закладки
- инсталляция контрафактного ПО и железа
- инсталляция ПО и железа, содержащего непреднамеренные уязвимости
- и т.д.
А пока, вместо того, чтобы заняться реальной работой, у нас пытаются только все запрещать путем выпуска различных приказов о том, что считать продукцией отечественного производства. А ведь можно было начать с малого - провести аналогичное GAO исследование и вынести на обсуждение план реагирования на растущую угрозу. Вот у американцев такой план есть - его начали реализовывать еще при Буше младшем в 2008-м году. Но конца и края этому процессу пока не видно. У нас же в России пока тишина и ничего адекватного данной угрозе пока нет ;-(
Почему же ничего адекватного нет, тот же Kraftway, недавно на конференции CNews говорил о том, что они видят эту угрозу и предлагают 4 вида материнок с сертифицированным ФСБ BIOS :) про качество поделок ничего не могу сказать, но проблема обсуждается. 6 марта на конференции "Защита персональных данных: модернизация 152-ФЗ" Ренат Юсупов, старшийвице-президент Kraftway озвучивал данный вопрос.
ОтветитьУдалитьКонечно же отставание России велико, реагирование с опозданием, но нельзя говорить, что совсем ничего нет.
Ссылка на статью в Хакере битая.
ОтветитьУдалитьУбрали??
Там весь Хакер битый. Но в кеше Яндекса статья осталась
ОтветитьУдалитьКрафт пошел по пути, от которого отказались в большинстве стран мира. Крафт делает САМ. Отсюда отсталось его технологий по сравнению с мировыми брендами. А в США, например, пошли по пути применения того, что нужно по функционалу, но дополнительной проверке с точки зрения ИБ в зависимости от применения железа. Я уже не говорю, что при отсутствии альтернатив вопрос злоупотреблений встает очень остро
ОтветитьУдалитьЗа все надо платить. Либо безопасностью, либо функционалом, либо...
ОтветитьУдалитьТам, где действительно критично, ставят Эльбрус микро, МСВС и иже с ними.
Алексей, Intel тоже САМ делает))) просто бренды мировые в США, поэтому они и могут идти другим путем. Если технология придумана в США и потом для производства передана в Китай, где влепили закладки, то возвращенная в США продукция может быть проверена. А в России получается так, технология США, уже имеет закладки, плюс китайцы своих закладок понавставляли. И что делать ФСБ - либо смириться, либо выпустить кривой приказ (что бы показать свою небезразличность), либо развивать собственные технологии. Согласен с Вашими опасениями, но не согласен, что совсем у нас ничего не делается. Делается, но пока плохо, с отставанием.
ОтветитьУдалитьНу далеко не все производится в США. Есть много запчастей, разрабатываемых и производимых за пределами США. Их тоже проверяют
ОтветитьУдалитьПомнится не зря СССР переделывал 8086. Как нас учили: были убраны некоторые команды... На прямой вопрос "какие?" знающие люди мило улыбались.
ОтветитьУдалитьА воостановить производство у нас уже нереально. Вроде пытались недавно, даже оборудование купили (у AMD чтоли). И всё затихло.
Да что ж так все пессимистично то? США имеют сейчас больше возможностей по контролю закладок, так как они владеют технологией, китайцы это руки, но голова все же в США, это и Apple, и Cisco :) для того, чтобы нам открылись "тайны технологий" в целях контроля закладок не обязательно изобретать свое, можно Сколково открыть, но на определенных условиях :) это позволит еще и утечку мозгов за рубеж несколько приостановить, так как русскоязычные специалисты скорее останутся в Сколково, нежели во враждебную силиконовую долину отправятся. Только надо обоюдно выгодные условия Сколково и для ФСБ и для производителей. Для гостайны сложнее, тут все же свое - надежнее :(
ОтветитьУдалитьА Samsung, TSMC, Foxconn, ASUS, Gigabyte, MSI, VIA, Realtek, не говоря уже о японцах? Это все лидеры рынка электроники - материнок, чипсетов и т.д. И никакого отношения к США они не имеют.
ОтветитьУдалитьДля гостайны используется все тоже самое - тайваньское ;-)
ОтветитьУдалитьА про то, что нашим лучше остаться в Сколково, чем ехать в Калифорнию, я лучше промолчу ;-)
ОтветитьУдалитьРаньше слышал только байки. Теперь скрытое стало явным.
ОтветитьУдалитьМногоуровневая архитектура вычислительных устройств удообна и опасна. Она строится на доверии. На низких уровнях без контроля можно закладывать что угодно. Это понятно всем.
Поэтому эта проблема собствено не техническая, а организационная.
Тем кто отключил свой вычислитель от Интернета и расслабился - пусть учтет, что любое выч.устройство подключается к электросети. А электросети все больше контроллируются через обычные сети и Интернет. И, с подачи Cisco, скоро и вовсе станут частью Интернета.
Ну а через беспроводные сети вообще можно творить беспредел.
Извените что пишу не по теме, но увы не нашел как лично связаться. Алексей, не подскажите ли вы какие нибудь интересные статьи по видам компьютерных преступлений.
ОтветитьУдалитьЯ думаю, что если вы введете в Яндексе "компьтерные преступления" или в Google "cyber crime", то вы найдете то, что ищете
ОтветитьУдалить>А вице-премьер Рогозин даже заявил, что России надо создавать собственную элементную базу.
ОтветитьУдалитьОх уж эти заявлятели...
Мы, вроде как, проектом ГЛОНАСС пытались создать собственную элементную базу, однако слили, несмотря на нехилое финансирование... Что теперь будем выдумывать?