Немного мыслей по поводу ИТ и ИБ в России

в 20:01, , рубрики: бабушкин, информационная безопасность, Попов, метки: ,

Прошло совсем немного времени после скандального успеха BolgenOS, как вся Россия уже говорит о новой национальной разработке — инновационном антивирусе Бабушкина. Богата русская земля на таланты, да что-то толку от этого мало. Всё это конечно очень весело, однако попробуем взглянуть на ситуацию с другой стороны. В чём же причина возникновения таких феноменов? Смысл поста, на самом деле, не связан напрямую с этими комичными ситуациями, однако обо всём по порядку.

История номер один

image

Действующее лицо — Денис Попов. Не будем рассматривать это происшествие слишком подробно и опишем лишь основной ход событий:

— Школьник увлекся информационными технологиями

— Когда его уровень знаний повысился, он либо в учебных целях, либо просто для себя сделал свою сборку Ubuntu, не внёся в дистрибутив практически никаких изменений

— О совершённом событии узнало школьное сообщество; Попов получил поддержку своего учителя информатики

— Каким-то неведомым образом у кого-то возникла идея рассказать всей России про «невероятные» достижения «юного гения»; в свет выходит репортаж, который вызывает волну негодований

— Под давлением общественного мнения на телеканале появляется опровержительный ролик

Здесь необходимо отметить следующие моменты:

— Сам Попов не сделал ничего криминального – сама философия Linux располагает к тому, чтобы каждый специалист смог сделать свою уникальную сборку, взяв за основу любой существующий дистрибутив

— Комичность ситуации, в основном, вызвана полной деквалификацией всех причастных к производству репортажа людей и тех, кто допустил материал к эфиру

История номер два

image

Теперь более подробно про инновационный антивирус Бабушкина. Тут всё намного интереснее. Основной ход событий:

— Школьник увлёкся информационными технологиями

— Школьник написал прототип антивируса на Visual Basic, с использованием bat файлов в качестве ядра антивируса

— Школьник получил грант в размере 400к рублей на своё «изобретение», возможно даже получил на него патент

— Началось платное распространение антивируса

— В свет выходит репортаж про сие творение, что конечно же не может не вызвать волну негодований

Очень обращает внимание на себя следующее:

— Разработанное ПО хоть и может формально назваться антивирусом, однако совершенно ясно, что программа не обеспечивает должного уровня защиты

— Предпринимательские черты разработчика это конечно хорошо, но, вот, продавать заведомо некачественный продукт – это уже совсем другое дело

— Что это за конкурс молодых таланов, где гранты получают такие работы? На что тратятся мои деньги как налогоплательщика? Разве в России нет более инновационных проектов? Тут возможно всего два ответа – либо, действительно, ничего лучшего не нашлось, либо, скажем так, результаты конкурса были не очень объективны. Одно другого не лучше

— Разве возможна установка непроверенного ПО в государственные учреждения?

— Каким образом антивирус смог превзойти конкурентов в результате тестирования? Кто, вообще, проводил это тестирование? Как на результатах тестировия появилась печать МФТИ?

— Нет ли связи между успехом продукта и должностью отца разработчика?

— Как обычно поражает уровень профессионализма тех, кто снимал репортаж и допустил его к эфиру. А эпизод про маркер и архиватор – просто шедевр русского кинематографа

Основная особенность этой истории заключается в коммерческой составляющей, а так же в преднамеренном обмане потребителей.

Внимание: тут происходит переломный момент

История номер три

Я знаю, что эта история уже неоднократно рассматривалась, но всё же… Просто оцените масштаб и почувствуйте разницу — после этого говорить о всяких BolgenOS не имеет смысла.

Существует в России широко известная в своих кругах компания «Эшелон», знаменитая в области ИТ своими календариками. На самом же деле фирма занимается информационной безопасностью, в частности серцифицированием ПО, проведением аудита ИБ и т.д. и т.п. Тут я пока не буду описывать всякую деятельность компании в области «бумажной» безопасности, просто откроем сайт и посмотрим на продукты, разработанные компанией. Не будем обращать внимание на откровенный шлак и перейдём к самому интересному продукту. Итак, встречаем очередную инновационную ОС от российских разработчиков – «СканерВС»:

image

Несколько секунд любуемся на красивых девушек, эффективно отвлекающих внимание от сути, и переходим, наконец, к описанию продукта. Вот краткий список его возможностей:

Определение топологии и инвентаризация ресурсов сети

С помощью Сканера-ВС можно производить инвентаризацию ресурсов сети, контролировать появление сетевых сервисов.

Поиск уязвимостей

Сканер-ВС позволяет сканировать сетевые сервисы на известные уязвимости.

Локальный и сетевой аудит стойкости паролей

Сканер-ВС содержит мощные средства локального аудита паролей для операционных систем семейства Windows (NT, 2000, 2003, 2008, XP, Vista, 7) и Linux (МСВС, Linux XP, Astra Linux и др.).
Сканер-ВС поддерживает возможность подбора паролей по более чем 20-ти сетевым протоколам (HTTP, SMTP, POP, FTP, SSH и др).

Поиск остаточной информации на жестком диске

В Сканер-ВС включено средство для поиска остаточной информации на жестких дисках и других носителях вне зависимости от файловой структуры.

Перехват и анализ сетевого трафика

Сканер-ВС позволяет перехватить всю передаваемую информацию между любыми узлами коммутируемой сети (с помощью технологии ARP-спуфинга) и выполнить ее анализ, в том числе извлечь переданные пароли. Возможен перехват шифрованного трафика (HTTPS) с помощью подмены сертификата.

Аудит ПО и аппаратной конфигурации

С помощью Сканера-ВС можно получить информацию об аппаратной конфигурации системы и установленном программном обеспечении, а также перечень USB-устройств, подключавшихся к компьютеру.

Контроль целостности

Сканер-ВС позволяет рассчитывать контрольные суммы по алгоритмам CRC32, ГОСТ Р 34.11-94, MD5.

Аудит WI-FI сетей

Модуль анализа защищенности беспроводных (WI-FI) сетей позволяет проводить аудит парольной защиты WI-FI сетей.

Модуль гарантированной очистки информации

Модуль гарантированной очистки информации на носителях производит многократное затирание файлов по определенному алгоритму, что приводит к невозможности восстановления информации.

Особо комично выглядит сравнение сканера со своими аналогами:

image

Не мне говорить Вам, что «СканерВС» почти более чем полностью представляет собой сборку Linux c немного переделанным интерфейсом и очередными инновационными обоями. Я не вижу смысла скачивать демо дистрибутив, чтобы ещё раз убедиться в этом. Я не буду так же разбирать разные технические детали или высмеивать продукт отечественного производителя. Всё это Вы можете сделать и сами. Тут дело не совсем в этом:

— Каким образом этот продукт прошёл сертификацию и продается, внимание, за полтора миллиона рублей? Про GPL никто не слышал?

(Как же сложно соблюдать нормы литературного языка)

Я, конечно, понимаю, что «Эшелон» кроме того, что переделал интерфейс, ещё и разработал несколько утилит на основе продуктов с открытым исходным кодом или даже в самом лучшем раскладе разработал некоторую часть прикладного ПО полностью самостоятельно. Но GPL есть GPL — тут уж никуда не деться. И, несмотря на своё, скажем так, сомнительное качество, продукт всё равно продаётся за полтора миллиона рублей. Причём совершенно ясно, что в мире открытого ПО существуют аналоги качества, если не лучшего, но и ничуть не худшего чем «СканерВС». Тут никакие Поповы и Бабушкины даже рядом не стоят. Какая обстановка в стране – такие и подростки.

И это, конечно, не единичные случаи. Много ли Вы знаете отечественных производителей, выпускающих качественное ПО? По пальцам пересчитать можно. Бизнес есть бизнес, прибыль это главное, но вот качество продукта… Конечно, в производстве ПО издавна сложилась своя специфика производства, и на это можно иногда закрыть глаза. Но когда качество опускается ниже ТАКОГО уровня – это уже перебор. И если, в общем и целом, в области производства ПО всё ещё относительно нормально, то в области ИБ (а особенно в области, связанной с государственным сектором) всё становиться ещё более печальным…

Закон вынуждает государственные учреждения использовать только сертифицированное ПО. Или, например, существуют всякие там законы о персональных данных и т.д., подразумевающие обработку любых ПД только на проверенных средствах. А кто будет всё сертифицировать как не компания «Эшелон». Да и ещё разрабатывать продукты, заведомо не имеющих аналогов в области сертифицированного ПО. Разве такое может быть возможно в рамках закона? Это практически тоже самое, что если бы ВАЗ сертифицировал автомобили на пригодность к использованию на территории РФ. Рассмотрим так же и другие услуги и продукты компании. Хотя нет — я не буду высказывать своё мнение об этом: итак всё ясно. Прокомментирую лишь одну услугу по сертификации ПО – по имеющимся у меня данным или даже просто с объективной точки зрения все это отнюдь не кажется особо качественным и надёжным. А ведь такое сертифицированное ПО потом будет обрабатывать наши с вами данные.

Как уже говорилось, изложенное выше — далеко не единичные случаи. Вспомним государственный заказ на создание патриотических игр или ещё много чего. Проблема заключается не сколько в самой предметной области, а в положении вещей в стране в целом (можно даже провести некую аналогию с российский футболом). Я не хочу жить в стране, где законы созданы не для людей и где свобода голоса всё больше и больше ограничивается под предлогом борьбы с пиратством. Где среднее образование становиться платным, а студентов заставляют на летних каникулах идти служить в армию. Где бюрократия процветает на всех уровнях, и даже такая область как информационная безопасность давно превратилась в «бумажный» бизнес по эксплуатированию законодательства в корыстных целях. Я хочу смотреть новости и не опасаться, что очередная отечественная разработка окажется ложью или плагиатом. Я надеюсь, что в России всё-таки есть нормальные и качественные продукты. А «BolgenOS» и «Иммунитет» – это конечно очень смешно, но одновременно и грустно.

Автор: Promix17

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js