На главную страницу AlgoNet В сотрудничестве с ZDNet
АРХИВ СТАТЕЙ 2001-12-11 на главную / новости от 2001-12-11
AlgoNet.ru
поиск

 

Место для Вашей рекламы!

 

Все новости от 11 декабря 2001 г.

Антивирусные фирмы отказываются оставлять лазейку для ФБР

Софтверные компании пролили свет на план ФБР по использованию вирусов в разведывательных целях.

Производители антивирусного ПО отказались делать в своих защитных продуктах лазейки, позволяющие ФБР или другим госструктурам использовать вирусы для установки «жучков» в компьютеры подозреваемых в преступлениях.

В ноябре агентство MSNBC.com сообщило, что Федеральное бюро расследований США в рамках проекта с кодовым названием Magic Lantern разрабатывает троянского коня, который тайно, прячась в компьютере, следит за нажимаемыми клавишами, позволяя, например, узнавать ключи шифрования электронной почты. За этим последовали опровержения, но в понедельник официальные представители Symantec и Network Associates вдруг сочли нужным заявить, что они не намерены добровольно модифицировать свои продукты в соответствии с требованиями ФБР. Аналогичные заявления сделали представители двух других компаний, специализирующихся на компьютерной безопасности, — японской Trend Micro и американского отделения британской Sophos. Все четыре антивирусные компании отрицают, что они контактировали с американскими властями по этому вопросу или власти обращались к ним с таким предложением.

Когда MSNBC.com впервые сообщила о программе Magic Lantern, в ФБР отказались подтвердить или опровергнуть эту информацию; в понедельник получить комментарий у ФБР также не удалось.

Тони Томпсон (Tony Thompson) из Network Associates сказал: «Мы создаем безвирусную среду для наших пользователей и не собираемся делать что-то, что может нанести ущерб их безопасности». В заявлении руководителя Symantec Джона У.Томпсона (John W. Thompson) говорится: «У нас нет намерений создавать или оставлять в нашем ПО лазейку, способную нарушить его защиту».

Если производители антивирусного ПО оставят в своих программах проход для троянского коня ФБР, этим проходом не замедлят воспользоваться хакеры. «Оставляя лазейку для ФБР, вы оставляете ее для всех», — говорит эксперт по информационной безопасности, профессор Нью-Хейвенского университета Фред Коуэн (Fred Cohen).

С другой стороны, наличие такой лазейки в антивирусном ПО подорвет доверие к нему со стороны пользователей и подмочит репутацию производителя, клиенты которого обратятся к конкурентам. Так что правительству придется склонить к кооперации все антивирусные компании, иначе план не сработает, так как не согласившиеся получат преимущество перед конкурентами и будут располагать той же информацией, что и остальные. «Наивно полагать, что к этому можно принудить целую отрасль», — сказала представительница Symantec.

Этот план отзовется и в других странах. Symantec и Network Associates, каждая из которых имеет инвестиции в Китае, не станут рисковать своими позициями на этом рынке, считает Роб Розенбергер (Rob Rosenberger), редактор веб-сайта www.vmyths.com, развенчивающего мифы о вирусах. «Если китайцы заподозрят, что компания была инструментом ЦРУ, они перестанут пользоваться ее продуктами, — говорит Розенбергер. — Производители антивирусов заинтересованы в том, чтобы не отвечать на звонки из ФБР».

«Мы всегда стараемся сотрудничать с властями, когда это возможно. Но наша основная задача — это защита клиентов, — говорит Барбара Вульф (Barbara Woolf) из Trend Micro. —Я слышала, будто правительство отказалось от этой идеи и вернулось к чертежной доске».

Тем производителям, родительские компании которых находятся за пределами США, будет особенно трудно выполнить требования властей. «Если такие требования будут отражены в государственных законах, нам придется смириться с этим, — говорит президент американского отделения Sophos Дэвид Хьюз (David Hughes). — Но как производителю защитить своих клиентов за пределами данной юрисдикции? Если мы сделаем это для правительства США, то будем вынуждены делать то же и для правительства любой другой страны, которому взбредет в голову нечто подобное». 

 Предыдущие публикации:
1998-10-01   Компьютер с привидениями
2000-07-17   Большой брат в «черном ящике»
2001-11-22   Волшебство ФБР оказалось старым трюком
 В продолжение темы:
2001-12-15   ФБР подтвердило существование инструмента интернет-сыска
Обсуждение и комментарии
Noname
12 Dec 2001 10:57 AM
Любое государство тоталитарно по сути своей. Тем более, что идея "спецслужбовских" вирусов понравится многим правительствам (если не всем). Поэтому рано или поздно, но подобные дыры будут встроены в коммерческий софт. Единственное спасение - OpenSource.
 

Qrot
12 Dec 2001 1:53 PM
2Noname: объем открытого исходного кода защитит эти дырки от обнаружения не хуже, чем при закрытом коде.
 

glassy
12 Dec 2001 2:30 PM
2Qrot: думаешь параноика это остановит? Найдет и поднимет хай выше крышы.
 

Noname
12 Dec 2001 3:20 PM
2Qrot: Дело не в объеме кода, а том, что независимого программиста или группу программистов, которые не делают бизнес на своем софте, просто невозможно заставить встраивать дыры или проконтролировать качество этих дыр.
 

vkc - v-kovalevichmail.ru
12 Dec 2001 3:42 PM
Речь то идет не об отношении "открытый-закрытый код", а об намеренной установке "черных" дверей. И не важно что сейчас некоторые динозавры от спецслужб "думают" о благе общества. Ну не может система, которая строилась во времена холодной войны эффективно работать в новых условиях всеобщих коммуникаций. Вот и пытаются пробивать некрасивые решения для упрощения своей жизни и преобретения доболнительной власти.
Конечно, с открытым кодом некоторые вещи сделать труднее (что-то типа "черных дверей и подобного), но можно. Но всегда есть вероятность, что какой-нибудь зануда не полениться докапаться до такой точки входа и поднять хай. А властям и спецам нужно, чтобы все незаметно было, и чтобы желательно никто кроме их родных об этом ничего не знал, что с закрытым кодом и удаленным упгрейдом сделать проще, да и следы проще замести, если вдруг за попу схватят.
 

alice
12 Dec 2001 5:54 PM
Да код, открытый он или закрытый, особенно имхо тут и не причем. Вирусы такого рода чем в первую очередь опасны? Пральна, тем, что они отсылают результаты своей деятельности хозяину. С такой напастью легче справиться с помощью толкового файрволла. Лучше локального. Пошло какое-то активити в сторону, скажем, 25 порта, или 34234, не суть как важно. Оно хлоп алерт на весь монитор: "Дарагой, это ты письмо слать собрался или, может, ФБР? Не ты? Может ознакомиться желаете? Не посылать такие пакеты ФБР? МОжет, в /dev/ass их от греха подальше?"
Если не доверяем чужому файрволлу, пишем свой.
... тот, кто имеет что скрыть от властей & имеет ум -- сокроет. Вы же по телефону тоже всякую фигню малозаконную не обсуждаете, huh?
А остальным прайваси либо не нужно вовсе, либо ... так им и надо.
А компании антивирусные молодцы, пытаются сохранить хорошую мину. Правильно, им, как верно замечено, не только на штатовской территории работать...
 

quadic - quadicmail.ru
12 Dec 2001 8:27 PM
2Noname: "независимого программиста или группу программистов, которые не делают бизнес на своем софте, просто невозможно заставить" независимых от государства людей на свете нет. Есть просто неинтересные на данный момент государству люди.
2glassy: "думаешь параноика это остановит? Найдет и поднимет хай выше крышы" если его поддержит кто-то из таких же плохих дядей, но еще не подключившихся к желаемой кормушке. Иначе он будет поднимат свой хай в одной палате с Наполеоном, в лучшем для него случае.
 

Qrot
12 Dec 2001 8:30 PM
2noname: нет таких программеров. т.е. совсем нет - с голоду померли.
2all: к сожалению, государство в силах заставить любого производителя софта встроить или не замечать эти самые дыры. поэтому, ИМХО, заявления антивирусных компаний - не более чем слова. заявить-то они заявили, но потом ФБР/ЦРУ/АНБ надавит, или закон примут - и без шума и пыли все сделают. так что правильно alice говорит, надо свой файрвол писать и антивирус в придачу.
 

Вкуц
13 Dec 2001 10:11 AM
Open Source спасет от ФБР-дыр? Да бред это все. Именно он их наплодит. Как? Элллллментарно, Ватсон. Бывший "занюханый очкарик-линуксоид", а ныне Уважаемый эксперт ФБР Джон Смит возьмет код ОпенСорс, встроит в него ДЫРИЩУ, а затем... Как вам, вышли вы за сигаретками, вернулись, а у вас на компе ядро, скажем, подправленное уже. Кто то случайно в ваше отсутствие ФИЗИЧЕСКИ проник в дом и заменил его. Или дистанционно что нить сделал, пользуясь "наработками сообщества програмистов"...
Я знаком немного с людьми, на правительство работающими. Угадайте, откуда они вышли и КАКИМИ продуктами пользуются?
А по существу, статья про то, как Антивирусные компании просто "прогнулись" лишний раз. Заявили о своей "принципиальности".
Кстати, гораздо более серьезна малообсуждаемая проблема о БЛОКИРОВКЕ на узлах обмена с признаками шифрования. Т.Е. вы шифруете письмо "нелегитимным" алгоритмом и оно просто не доходит. Помните фразу на телеграфе совковом? "Зашифрованые и иносказательные телеграммы не передаем!"
 

Laden
13 Dec 2001 12:05 PM
2Вкуц: а как насчет стеганографии? т.е когда текст прячется в картинку. это не ловится, если нет оригинальной картинки.
 

Mike
13 Dec 2001 12:32 PM
Нет способа определить,является ли алгоритм шифрования легитимным (лояльным), поскольку любое зашифрованное сообщение неотличимо от массива случайных байтов. Система агонизирует, но все еще не может понять, что мы живем в другом мире. Пример Бен Ладена, координирующего со своего ноутбука работу всей террористической машины, тому доказательство. Где были все эти спецслужбы со своими дырами?
 

Skull - sibskullmail.ru
13 Dec 2001 2:22 PM
2Вкуц: и куда этот очкарик свою прогу принесет? На freshmeat? Дистрибьютеры пока не проверят - фиг его прогу в дистр засунут. Даже если RH на этой пойдет - моментально при обнаружении дыры (причем элементарно, просмотрев логи брэндмауэра. Он сразу хочет ставится по умолчанию) все перейдут на SuSe, Debian, AltLinux или RedFlag Linux. Линуксоиды чуствительны к таким вещам. Это вам не Windows, где MS может вставить все, что угодно.
 

Snake - tomilinrambler.ru
13 Dec 2001 3:48 PM
Вероятно, антивирусным компаниям потребовалось напомнить о себе.
При чём здесь спецслужбы? Если очень надо - можно купить/запугать/заставить ответственное за выпуск антивирусника лицо запустить какой-то файл при подготовке тиражируемого дистрибута... А больше ничего и не надо.
И незачем заходить через главу компании, который думает о промоушн/прибылях и т.п. Они б еще через PR-отдел ломанулись.

Опенсоурс - где здесь панацея? Давайте представим,
что в определенную версию gcc встроен бэкдор - ну очень секретный. При пересборке gcc Вы хоть раз используете старую версию. Много ли народу контролировало все файлы на всех этапах пересборки компилятора? Нет? Ну, вот...

Хотите поставить свой файрвол - ведь свой антивирус может и не помочь.
Ставьте, только файрвол должен работать под самописной ОС.
И, желательно, на самодельном железе - Вы давно не дизассемблировали фирмварь своей сетевой карты?
Ведь она может отдавать драйверу не весь трафик, который идет в сети.
Или Вы осциллоскопом будете трафик снимать - тогда предыдущая фраза снимается.
Если Вы всерьез озабочены закладками, то начните проверку с железа.
Если Вы разумный человек - радуйтесь, что лично Вы интереса для государства не представляете. И не гоните ;-)
 

AM
13 Dec 2001 7:30 PM
to Snake:
Мощно загнул! ВнушаитЪ.

> Или Вы осциллоскопом будете трафик снимать - тогда предыдущая
> фраза снимается. Если Вы всерьез озабочены закладками, то
> начните проверку с железа.

Для продолжения этой паронаидальной цепочки можно предложить пользоваться только собственноручно собранными осциллоскопами и из деталей не сложнее транзистора.
 

Facker
14 Dec 2001 4:13 PM
2 Snake:
Ну и придурок же вы, батенька. Сами - то поняли, что понаписали?
 

alice
14 Dec 2001 5:13 PM
Snake, зачем под самописной ОС, пусть работает под QNX (или другой "микроядерной ОС" -- с другими я просто не рабоатла). Под самописным драйвером к сетевому железу и самописным стеком DOD (IP). Хоть QNX и не опенсорс, вряд ли нечто, встроенное в ядро, помешает вам удовлетворительно решить сию проблему. Потому что архитектура системы такова.
Насчет фирмвари сетевой карты -- умнО, не спорю, однако же каким могучим должно быть составляющее ее железо для уверенного разгребания данных выше 2 уровня OSI...
...Впрочем, если нужно, можно и того... осциллоскопом ;)
Вобщем, верно вы все отметили, господин Snake. От себя добавлю, что IMHO со времен царя Гороха в шпионском деле ничего не изменилось. Наилучшим образом данные передаются из уст в ухо шепотом, сохраняются в головном мозгу у индивидумов, не боящихся боли и не падких на деньги ;))

ой и отошли же мы от темы... что, впрочем, характерно для местной конференции (да и для большинства других ;)
 

Snake - tomilinrambler.ru
14 Dec 2001 5:24 PM
2Alice:
Дык и не надо аппликейшн-прокси делать.
Просто если CRC пакета равняется "magic sum" в сочетании с какой-то еще сигнатурой, а драйвер не инициализировал тебя вызовом "magic call", так не говори ему про этот пакет...
Не надо ;-)
Микроядерная структура - тоже не панацея ;-)
Ваш софт как-то должен использовать хоть какие-то системные вызовы... А вот их-то мы и рассмотрим...

Полный оффтопик: примите комплимент как мыслям, так и форме их изложения.

2AM:
Вот-вот, Вы совершенно правы.
Только транзистор тоже штука хитрая.
Давайте уж лампами мыслить ;-)

2Facker:
Ну, что Вы, при чём здесь я?
Что написал - вполне понимаю, поверьте, и частенько отстаиваю.
Хотите обсуждать - обсуждайте в мыло или здесь, а обзываться - это по-детски. Кстати, Вашего мыла, милый аноним, я не вижу...
 

Facker
14 Dec 2001 5:37 PM
2Snake:
Интересно, вы оказывается в самом деле так думаете, а не пива упились... Ситуация, которую вы описали, ведёт в бесконечность, не угонишься. Мы же существа конечные (в обоих смыслах ;)) Так что надо оценивать риски, начинающиеся с какого-то знака после запятой. Вы ведь не будете спорить, что в вероятность закладки в OSS стремится к нулю? Разумеется никогда нулём не станет, мы ведь существа конечные... ;)

PS Шас, выложил я свой e-mail на обозрение всем спамерам
 

Snake - tomilinrambler.ru
14 Dec 2001 7:03 PM
2Facker:
Вероятность закладки в OSS не стремится к нулю. Точка.
Хотя бы потому, что Вы не строите граф передачи управления для каждого компонента программного пакета, который компилируете на своей системе.
Закладка может быть несколько тоньше, чем Вы думаете, это необязательно отправка /etc/passwords по почте trash@fbi.gov.
То, что исходный код доступен:
а) не означает, что он анализируется
б) не означает, что он анализируется адекватно.

Я бы сказал напротив: при обнаружении закладки в CSS изготовителю понятно, что он потеряет - деньги, причем немалые.
Потому он будет бороться с такими вариантами.
В OSS никто ни за что не отвечает. Последние уязвимости в SSHd - это ошибка или закладка? А как Вы докажете? А как различите?
И никто до сих пор не находил....

Назовите мне организацию/группу, которая ведет постоянный анализ всех пакаджей на предмет закладок. Докажите, что квалификация аналитиков там достаточна. И я заткнусь.

А Ваш PS о многом говорит.
Даю пошаговые рекомендации - идёте на публичный почтовый сервер заводите там адрес *специально* для конференций. Заспамят - забудете старый, откроете новый. Если нужен список адресов публичных почтовых серверов - пишите, пришлю.
 

alice
14 Dec 2001 7:39 PM
ага, вы тут опять о сорсах, а я все о той рубашке, что к телу ближе ;)
Snake, насчет CRC -- идея забавнейшая, но тут может случиться куча проблем. Дело в том, что документ IEEE 802.3 (давайте пока для примера именно IP over 802.3 возьмем) насчет поля MAC-фрейма, содержащего контрольную сумму последнего, говорить буквально следующее:
A cyclic redundancy check (CRC)is used by the transmit and receive algorithms to generate a CRC value for the FCS field.The frame check sequence (FCS) field contains a 4-octet (32-bit) cyclic redundancy check (CRC) value.This value is computed as a function of the contents of the source address,destination address, length,LLC data and pad (that is, all fields except the preamble,SFD,FCS,and extension).The encoding is defined by the following generating polynomial.
G(x)=x 32 +x 26 +x 23 +x 22 +x 16 +x 12 +x 11 +x 10 +x 8 +x 7 +x 5 +x 4 +x 2 +x +1
Из чего следует (или не следует? -- я могу ошибаться), что для работы вашего, не спорю, изящного решения в реальной среде потребуется ни много ни мало -- встроить сий дивный бэкдор во все оборудование IEEE 802.3. Это потому, что даже если мой хост оснащен столь дивной сетевой картой, мой default gateway (или даже Ethernet-коммутатор) со стандарто-совместимой аппаратурой вряд ли оценит отвязанный CRC и забракует фрейм.
... FBI vs IEEE -- это круто, интересно, кто кого? :))
... дискуссия уверенно скатывается до полнейшего оффтопика, хоть и интересного. предлагаю перенести таки в мылу или на другой форум (по сетевой тематике например ;).
насчет мыла кстати Facker прав, нечего им светить, по крайней мере мне и один ящик содержать в порядке влом, а еще менять их... лень.
мое мыло -- alice at nestor dot minsk dot by -- пишите :)
 

Snake - tomilinrambler.ru
14 Dec 2001 8:03 PM
Алиса,
сжальтесь надо мною. Почему я Вам должен свои любимые неоговоренные в стандартах способы передачи трафика открывать?
Я ж написал "и еще какая сигнатура".
CRC не отвязан, он хороший и честный. Даже если устройство будет его пересчитывать - что не всякому позволено, он такой же будет.
И никто не забракует фрейм, а передаст его далее.
Вы уверены, что у хэш-функции CRC нет коллизии?
Вы чуть-чуть не дорабатываете идею, я, наверное, плохо объясняю.
Договорились, CRC в пределах от N1 до N2. Коллизия не нужна, просто подобрали.
И не надо FBI vs IEEE, надо просто FBI + vendor.
А в ньюсах я иногда пишу - пожалуйста, ru.nethack, ru.security.

Насчет мыла - я не ленивый, моя прога их много поддерживает ;-).
 

xenn
16 Dec 2001 2:19 PM
Re[14 декабря, 2001, 17:13 - alice]- для таких индивидуумов есть укольчики...
 

 

← ноябрь 2001 5  6  7  10  11  12  13  14  15 январь 2002 →
Реклама!
 

 

Место для Вашей рекламы!