По словам автора, эту тему он раскопал еще в 2007-м году (в США тема закладок в Intel’овских процессорах поднималась еще в 95-м году на симпозиуме IEEE) и доложил о ней своему работодателю (Kraftway), в Intel, в ФСБ, в Газпром. Везде рассказ о закладке выслушали, но оставили без внимания. РД по анализу BIOS появился в ФСБ только в 2010-м году (кстати, помните высказывания бывшего сотрудника ФАПСИ о BIOS/NetBIOS?) В феврале краткий пересказ статьи из Хакера был сделан на банковской конференции в Магнитогорске Сергеем Груздевым (слайды 12-17). А 30-го марта Счетная Палата США (GAO) опубликовала отчет «IT Supply Chain. Natonal Security — Related Agencies Need to Better Address Risks», в котором подробно описала риски, которые возникают в американских федеральных структурах в связи с поставкой запчастей к компьютерной технике из стран, за пределами США.
Достаточно интерсное исследование, которое показывает, что американцы сталкиваются регулярно с такими рисками, как:
- инсталляция ПО и железа, содержащего закладки
- инсталляция контрафактного ПО и железа
- инсталляция ПО и железа, содержащего непреднамеренные уязвимости
- и т.д.
Об этом стали задумываться (по крайней мере на словах) и у нас. В частности после падения «Фобос-Грунт» стали поговаривать о том, что возможной причиной стало именно использование китайского контрафакта на космическом аппарате. А вице-премьер Рогозин даже заявил, что России надо создавать собственную элементную базу. Правда, ничего конкретного он не предложил. Также как ничего конкретного не предлагают и в ФСБ (хотя, что они-то могут предложить…).
А пока, вместо того, чтобы заняться реальной работой, у нас пытаются только все запрещать путем выпуска различных приказов о том, что считать продукцией отечественного производства. А ведь можно было начать с малого — провести аналогичное GAO исследование и вынести на обсуждение план реагирования на растущую угрозу. Вот у американцев такой план есть — его начали реализовывать еще при Буше младшем в 2008-м году. Но конца и края этому процессу пока не видно. У нас же в России пока тишина и ничего адекватного данной угрозе пока нет ;-(
Почему же ничего адекватного нет, тот же Kraftway, недавно на конференции CNews говорил о том, что они видят эту угрозу и предлагают 4 вида материнок с сертифицированным ФСБ BIOS 🙂 про качество поделок ничего не могу сказать, но проблема обсуждается. 6 марта на конференции "Защита персональных данных: модернизация 152-ФЗ" Ренат Юсупов, старшийвице-президент Kraftway озвучивал данный вопрос.
Конечно же отставание России велико, реагирование с опозданием, но нельзя говорить, что совсем ничего нет.
Ссылка на статью в Хакере битая.
Убрали??
Там весь Хакер битый. Но в кеше Яндекса статья осталась
Крафт пошел по пути, от которого отказались в большинстве стран мира. Крафт делает САМ. Отсюда отсталось его технологий по сравнению с мировыми брендами. А в США, например, пошли по пути применения того, что нужно по функционалу, но дополнительной проверке с точки зрения ИБ в зависимости от применения железа. Я уже не говорю, что при отсутствии альтернатив вопрос злоупотреблений встает очень остро
За все надо платить. Либо безопасностью, либо функционалом, либо…
Там, где действительно критично, ставят Эльбрус микро, МСВС и иже с ними.
Алексей, Intel тоже САМ делает))) просто бренды мировые в США, поэтому они и могут идти другим путем. Если технология придумана в США и потом для производства передана в Китай, где влепили закладки, то возвращенная в США продукция может быть проверена. А в России получается так, технология США, уже имеет закладки, плюс китайцы своих закладок понавставляли. И что делать ФСБ — либо смириться, либо выпустить кривой приказ (что бы показать свою небезразличность), либо развивать собственные технологии. Согласен с Вашими опасениями, но не согласен, что совсем у нас ничего не делается. Делается, но пока плохо, с отставанием.
Ну далеко не все производится в США. Есть много запчастей, разрабатываемых и производимых за пределами США. Их тоже проверяют
Помнится не зря СССР переделывал 8086. Как нас учили: были убраны некоторые команды… На прямой вопрос "какие?" знающие люди мило улыбались.
А воостановить производство у нас уже нереально. Вроде пытались недавно, даже оборудование купили (у AMD чтоли). И всё затихло.
Да что ж так все пессимистично то? США имеют сейчас больше возможностей по контролю закладок, так как они владеют технологией, китайцы это руки, но голова все же в США, это и Apple, и Cisco 🙂 для того, чтобы нам открылись "тайны технологий" в целях контроля закладок не обязательно изобретать свое, можно Сколково открыть, но на определенных условиях 🙂 это позволит еще и утечку мозгов за рубеж несколько приостановить, так как русскоязычные специалисты скорее останутся в Сколково, нежели во враждебную силиконовую долину отправятся. Только надо обоюдно выгодные условия Сколково и для ФСБ и для производителей. Для гостайны сложнее, тут все же свое — надежнее 🙁
А Samsung, TSMC, Foxconn, ASUS, Gigabyte, MSI, VIA, Realtek, не говоря уже о японцах? Это все лидеры рынка электроники — материнок, чипсетов и т.д. И никакого отношения к США они не имеют.
Для гостайны используется все тоже самое — тайваньское 😉
А про то, что нашим лучше остаться в Сколково, чем ехать в Калифорнию, я лучше промолчу 😉
Раньше слышал только байки. Теперь скрытое стало явным.
Многоуровневая архитектура вычислительных устройств удообна и опасна. Она строится на доверии. На низких уровнях без контроля можно закладывать что угодно. Это понятно всем.
Поэтому эта проблема собствено не техническая, а организационная.
Тем кто отключил свой вычислитель от Интернета и расслабился — пусть учтет, что любое выч.устройство подключается к электросети. А электросети все больше контроллируются через обычные сети и Интернет. И, с подачи Cisco, скоро и вовсе станут частью Интернета.
Ну а через беспроводные сети вообще можно творить беспредел.
Извените что пишу не по теме, но увы не нашел как лично связаться. Алексей, не подскажите ли вы какие нибудь интересные статьи по видам компьютерных преступлений.
Я думаю, что если вы введете в Яндексе "компьтерные преступления" или в Google "cyber crime", то вы найдете то, что ищете
>А вице-премьер Рогозин даже заявил, что России надо создавать собственную элементную базу.
Ох уж эти заявлятели…
Мы, вроде как, проектом ГЛОНАСС пытались создать собственную элементную базу, однако слили, несмотря на нехилое финансирование… Что теперь будем выдумывать?