Закладки и раскладки

["Alexander Venedioukhin (via EZHE)" <ezh@ezhe.ru>]

Здравствуйте!

On Mon, 2022-01-31 at 15:00 +0300, Алексей Ходорыч wrote:
> Я ни разу не айтишник, но откуда убежденность, что с линуксом всё
> чисто? 

Вопрос не очень корректный. Тем не менее: я думаю, что такая
"убеждённость" происходит из того, что профильный специалист, которого
попросили решить задачу развёртывания некоторой "защищённой программной
системы" (что бы это ни значило), прежде всего предложит использовать
либо открытый "линукс" (а их очень много сейчас разных), либо другую
подходящую unix-подобную открытую ОС (даже хоть бы и FreeBSD, как
вариант). И будет полностью прав. (Да, существует и распространённый
подход "давайте всё купим у вот этого вендора", но это - о другом.)

Естественно, специалист руководствуется не рассуждением, что, якобы,
"там не может быть закладок", а соображениями о том, что на базе ОС,
доступной в исходниках и, таким образом, пригодной для гибкого
конфигурирования, проще построить обозримую систему под практическую
модель угроз. По этой же причине _специальные_ линуксы популярны у
продвинутых практикующих специалистов ИБ, в частности, у тех, кто
проводит "тесты на проникновение" (естественно, тут встречаются
исключения - некоторые используют собственный экзотический
инструментарий). Но это всё редкие случаи, а обычно используются уже
собранные пакеты и дистрибутивы, это тоже правильно. Фольклорная и
упрощённая интерпретация данной традиции как раз и даёт ту самую
"убеждённость, что всё чисто".

Естественно, наличие/отсутствие закладок не зависит от типа лицензии,
но аудит несравнимо более эффективен, когда есть исходные коды (и
доверенный механизм сборки). Поэтому для проведения нормального аудита
предоставляются, как минимум, исходные коды, в том числе, и
проприетарных систем (хоть бы и той же Windows).

ПО с открытым исходным кодом и открытой лицензией прекрасно
используется, в том числе, на весьма требовательных направлениях.
Пример - OpenSSL: системы защиты информации, построенные на базе этого
открытого пакета, вполне себе сертифицированы и используются для
реализации российской ГОСТ-криптографии. OpenSSL - служит очень
полезной платформой для продвижения российской криптографии, прежде
всего потому, что и пакет полностью открыт, и алгоритмы - открыты.

> Как я понял из более
> ранних дискуссий в соцсетях, закладку до момента её активизации
> обнаружить невозможно.

Это неверно, так сказать, в обе стороны. В одну сторону: закладку
обнаружить возможно; невозможно точно гарантировать, что в достаточно
сложной программе обнаружены все закладки (или, что эквивалентно,
доказано, что закладок нет ни одной). Из того, что какие-то закладки
могут остаться не выявленными, конечно, не следует, что невозможно
обнаружить конкретную закладку. Думаю, это понятно. Закладки всегда
могут быть эффективно замаскированы под ненамеренные ошибки, но это
всего лишь означает, что техническими методами нельзя доказать, что
вносилась именно закладка. Опять же, из этого не следует, что всякая
конкретная закладка будет замаскирована.

В другую сторону: закладка может быть активирована и использована _без_
её раскрытия. То есть таким образом, что администраторы атакованной
системы ничего не поймут и не увидят. В общетеоретическом смысле это
следует уже из того, что закладка может быть неотличима от ошибки в ПО,
соответственно, всё будет выглядеть как сбой. В более практическом -
полезный код, образующий закладку, может быть так устроен, что часть,
составляющая полезную нагрузку закладки, соберётся только для
использования, а потом - сотрётся (хоть бы и вместе со всеми прочими
данными, да). Метод известный.

-- 
С уважением,
Александр Венедюхин
https://dxdt.ru/

Оценить письмо Reputatio: http://ezhe.ru/reputatio/a8e5604ed6