В Белом доме заявили о недоверии предложению Касперского открыть исходники

Угадал автора по заголовку. Но вообще бред, офигели там в белом доме, я думал, що фгм силен не настолько.

Но вообще бред, офигели там в белом доме, я думал, що фгм силен не настолько.

А в чем бред-то? на мой взгляд, все правильно сказал.

Другой вопрос, что это применимо абсолютно к любому проприетарному продукту...

Извините, но даже Штольманутые так не обсирались. Они ж свой coreboot явно не компиляют.

Они ж свой coreboot явно не компиляют.

И что?

Смотрите, у Вас есть в отношении меня определенные подозрения. Я предлагаю Вам некий софт, который технически может содержать закладки, и для доказательства их отсутствия предлагаю ознакомиться с исходниками.

Где гарантия, что бинарная программа собрана именно из этих исходников? И даже если это правда, кто помешает мне подменить ее на вариант с закладками при очередном обновлении?

А coreboot не компилируют только потому, что доверяют авторам.

В отличие от обсуждаемой ситуации, где по умолчанию авторов софта подозревают в шпионаже.

Пусть Касперский сначала откроет под GPLv3, а потом пресс-релизы рассылает.

Пусть конпеляют тогда, лол, в чем проблема? Ну а вообще, хозяин — барин, против правительства иностранная компания переть не может.

Пусть конпеляют тогда, лол, в чем проблема?

Проблема в том, что речь идет об антивирусе. Который в силу специфики своей работы постоянно должен скачивать обновления. И я не вижу способа обезопасить себя в такой ситуации от подмены исполняемых модулей на версии с закладками.

Ой-все. «Я не вижу, значит нет» — про CRC, хэши, ЭЦП, «модный и танцевальный блокчейн» и т.д. «подтверждение аутентичности», не, не слышал? Цепочку подтверждения «получили патч сорцами, скомпиляли сорцы, сверили с хэшем, и „доверенным удостоверяющим центром имени МакКейна“ еще — совпало? Ну придется предположить страшное: МакКейн — агент Путина, или... ложки нашлись, а закладок не было. И все у вас так: „24 года“ аптайма путаете с „24 года водительского стажа“, отстуствие личного опыта с законами природы и „тенденциями развития текущей социально-экономической формации“...

про CRC, хэши, ЭЦП, «модный и танцевальный блокчейн» и т.д. «подтверждение аутентичности», не, не слышал?

Слышал, конечно, но краем уха, в детали не вдавался.

Цепочку подтверждения «получили патч сорцами, скомпиляли сорцы, сверили с хэшем, и „доверенным удостоверяющим центром имени МакКейна“ еще — совпало?

А теперь сравните то, что Вы написали, с реальной ситуацией (см. исходное сообщение).

Где там написано про «получили патч сорцами, скомпиляли сорцы, сверили с хэшем»?

Речь идет о том, что предложили просто показать исходный код, не меняя схему дистрибьюции.

И все у вас так: „24 года“ аптайма путаете с „24 года водительского стажа“, отстуствие личного опыта с законами природы и „тенденциями развития текущей социально-экономической формации“...

Извините, какая-то каша у Вас в голове. Все в одну кучу смешали...

Проприетарщина предоставляет исходники? Ладно, бывает. Предоставит прям с не вырезанными бекдорами, шрионскими модулями и прочим? Бред.

А вообще мерзко: их гнобят по признаку принадлежности к России, а они ради долларового рынка готовы чуть ли не родную мать продать. Может ваще для США бил-сервер в дата центре АНБ поставить и отдать под контроль их служащим аппарата гос.безопасности?

Как будто совок может быть только в РФ. Не, совок он такой, интернациональный.

И на всякий случай, напомню, что речь идет об антивирусе. Где критичны сроки установки обновлений. А предложенный Вами вариант приведет к задержкам на часы, а то и дни, учитывая бюрократию...

Ну дык им сдают исходники МыСы. И мысы они верят, а мысы тоже часто обновляется. А если в корпорации шпиён-диверсант? В одном обновлении вкатил шпионский модуль, в следующем убрал и зачистил. Внедрить в коммерческую частную компанию шпиона не очень сложно.

Где там написано про «получили патч сорцами, скомпиляли сорцы, сверили с хэшем»?

Когда воображение раздавали, ты капчу не прошел?

Шпиено-уязвимые сервисы вообще не должны светить жопой в сеть. А без сети пусть шпиёнит.

Антивирус в основном «базу вирусов» обновляет. Сам он обновляется достаточно редко.

а они ради долларового рынка готовы чуть ли не родную мать продать.

Вы так говорите, как будто установка билд-сервера в дата-центре АНБ нанесет ущерб России. Причем тут предательство-то?

А вообще, вас не восхищают двойные стандарты? Когда создатель Телеграмма собирается просто отказаться от бизнеса в России, это круто, борьба за свободу (хотя на самом деле это просто способ разрекламировать «защищенность» собственного продукта, чтобы облегчить себе захват западных рынков, гораздо более привлекательных для любого производителя), а когда компания без всякого ущерба для рынка своей страны хочет выйти и на западный рынок, у Вас это чуть ли не предательством называется...

Я считаю что оправдывание унижает. И достоинство человека, и достоинства компании. Обвинитель должен предоставлять доказательства, иначе пусть идет лесом.

Если тендер/закон требует предоставить исходники это одно. Если тебе закрывают рынок по желанию левой пятки — это другое. И после этого США оплот свободы и демократии? В это уже сами американцы не верят.

И мысы они верят,

Вот эта фраза является ключевой ;). Да, верят. А Касперскому нет. Также как Вы, например, не верите MS ;).

А если в корпорации шпиён-диверсант? В одном обновлении вкатил шпионский модуль, в следующем убрал и зачистил.

Я не специалист в компьютерной безопасности, не в курсе, как бороться с такими угрозами. Вряд ли они там изучают исходники каждого патча. Скорее, полагаются на репутацию компании, на то, что существует многоуровневый внутренний контроль, и закладки, внедренные завербованным сотрудником, будут выявлены другими специалистами при проверке кода.

Антивирус в основном «базу вирусов» обновляет. Сам он обновляется достаточно редко.

И как конечному пользователю отличить эти обновления? Вариант с подъемом внутреннего сервера обновлений с аудитом дорог и приведет к появлению задержек.

Проще и дешевле приобрести аналоги у местных фирм, которым доверяют ;).

А кто закрывает рынок? Речь, вообще-то, о том, что каспера не будут покупать американские госорганы. А простые американцы — пжалста, сколько хотите.

Также как Вы, например, не верите MS ;).

Я себе не верю. И мысы я не верю не больше, чем не верю касперскому.

Я не специалист в компьютерной безопасности, не в курсе, как бороться с такими угрозами. Вряд ли они там изучают исходники каждого патча. Скорее, полагаются на репутацию компании, на то, что существует многоуровневый внутренний контроль, и закладки, внедренные завербованным сотрудником, будут выявлены другими специалистами при проверке кода.

Вообще с закупками ПО в госсектор печально и у нас, и за океаном. Сертификация — по сути фикция. Четких и прозрачных требований которые бы отражали интересы безопасности, налогоплательщиков и общества в целом нет ни где. Работает как-то и ладно.

Сдается мне что Касперский подпортил себе репутацию еще и мутными связями свое бывшей женушки, нынешний муж который связан с Винником, экстрадиции которого сейчас пытается добиться США.

у местных фирм, которым доверяют ;).

Там скорее всего просто завербованные люди на ключевых постах и должностях, в том числе технические специалисты. А если эта модель работает внутри США то они справедливо подозревают в такой работе и всех остальных. Достаточно вспомнить Иран. Вот это похоже на правду. А политики как всегда нагло врут.

Я считаю что оправдывание унижает. И достоинство человека, и достоинства компании. Обвинитель должен предоставлять доказательства, иначе пусть идет лесом.

Насколько я понимаю, никаких официальных обвинений нет. Есть отказ от сотрудничества. И неофициальная версия о боязни шпионажа.

По поводу унижения - Вы получали когда-нибудь американскую визу? Вас не унижает тот факт, что нужно на собеседовании объяснять консулу, зачем Вам надо в Америку, и доказывать ему, что Вы не собираетесь там остаться нелегалом?

Здесь же вообще просто бизнес. Борьба за рынок емкостью в десятки миллиардов долларов. Мне кажется, за такие суммы можно и поступиться ложной гордостью, не находите?

И после этого США оплот свободы и демократии? В это уже сами американцы не верят.

Увы, лучшего оплота демократии у человечества нет :(. А в остальном согласен с Вами, конечно, демократией там и не пахнет... Как, впрочем, и в любой другой стране...

Адресные санкции всегда вызывают негодование. Вот если бы они прозрачно сделали правило: только отечественный разработчик, чистокровный американец — их бы ни кто не упрекнул, США один из лидеров в разработке ПО и там полно достойных продуктов, качество не пострадает.

Вообще с закупками ПО в госсектор печально и у нас, и за океаном. Сертификация — по сути фикция. Четких и прозрачных требований которые бы отражали интересы безопасности, налогоплательщиков и общества в целом нет ни где. Работает как-то и ладно.

Полностью с Вами согласен.

А политики как всегда нагло врут.

И с этим очевидным утверждением не поспоришь :).

Вас не унижает тот факт, что нужно на собеседовании объяснять консулу, зачем Вам надо в Америку, и доказывать ему, что Вы не собираетесь там остаться нелегалом?

Нет. Это вполне понятно: различный уровень жизни создает угрозу потока нелегалов всех мастей.

А где санкции? Ещё раз: один — крупный — клиент решил отказаться от продуктов каспера. ВСЁ!

Ну если бы у нас вдруг решили отказаться от оракела, например (альтернатив то полно) — думаю негодования было бы предостаточно.

Нет. Это вполне понятно: различный уровень жизни создает угрозу потока нелегалов всех мастей.

Ну так и в обсуждаемой ситуации претензии к Касперскому вполне понятны :). Он ведь и не скрывает своего сотрудничества со спецслужбами России?

Ну если бы у нас вдруг решили отказаться от оракела, например (альтернатив то полно) — думаю негодования было бы предостаточно.

Это смотря где. На ЛОРе бы праздник по этому поводу устроили :)).

Так и МС не скрывает, у них специальные версии там. А раз настолько тесно сотрудничают, то наверное стоит опасаться и шпионажа. Обновления винды тоже бинарные и частые. Интел не скрывает, энтузиасты отключили ME через закладку, которую оставили для «особых» клиентов. А раз делают такие закладки, то может делают и другие? Но у нас то не отказывают. Хотя могли бы форсировать местных, вбухать лярды — и повысить таки нац.безопасность. Но здравый смысл пока работает.

И почему только антивирус? Почему не ввели запрет на все ПО из РФ и её союзников? Товарищ майор может в любую контору зайти, а отказать ему ой как сложно...

Бозимой... Опять вангование из общих соображений добра и красоты вместо личного опыта? Они ващет нам каляку-маляку на доске рисовали что да как, а я так-то вкурсе про бюрократию и про цепочку согласований при допилках, когда месяцами «ждем решения такого-то», а он «уехал в Китай» — но это не влияет на сборку и подтверждение подлинности вообще никак. Так что не надо мне рассказывать об их антивирусе, не так все плохо как вы намекаете, конпеляция чего угодно на билдсервере с автоподтверждением подлинности дело ни разу не долгое (иначе бы Continuous Integration не работал как методология, а плеймаркеты и аппсторы не имели бы никаких аргументов против тупого копирования файлов) по сравнению с «налаживанием плодотворного сотрудничества», рекламой и т.д. — «задержки» наката патча того, что как бинарь уже есть, а заказчик вдруг на измене и захотел лично сконпелять и убедиться — это проблемы админов и девопсов... заказчика, особенно если сроки реагирования вендора согласованы и указаны в SLA (если у него нет своих спецов — в конце-концов «шёл 2017 год» — можно «создать центр компетенции» — и продать их ему оптом, бггг).

Торговцев софтом щас волнуют сегменты рынка и сроки действия лицензий «трех буковок»: гуглите «Stock Keeping Units» — речь идет не об голом антивирусе, а об «антивирусном продукте» — это буковки и циферки — в зависимости от них клиент получает некий сервис на свои деньги (возможно, если денег не много или нету — «чувство глубокого удовлетворения», если нормально — антивирус, но не только :))

Обновления винды тоже бинарные и частые.

Во-первых, отказывают. См. новости здесь же про AstraLinux - на критичные участки продукцию MS не пускают.

Во-вторых, в принципе, можно вообще отказаться от обновлений - один раз собрать бинарники из предоставленных исходников и работать на них, скажем, несколько лет, затем скомпилировать свежую версию из свежих исходников.

С антивирусом такой номер не пройдет - без обновлений он бесполезен.

Хотя могли бы форсировать местных, вбухать лярды — и повысить таки нац.безопасность.

Собственно говоря, так и делают (см. крики про национальную OC). другой вопрос, что в силу местной специфики все эти благие начинания превращаются в клоунаду и распил гос. бабла :(.

Почему не ввели запрет на все ПО из РФ и её союзников?

А много Вы знаете произведенного в России софта, конкурентноспособного и востребованного на западных рынках? Мне вот кроме Касперского и FineReader'а ничего в голову не приходит. Да и необходимость распознавалки текста в 2017 г не очевидна...

Ну и по поводу союзников. Кто сейчас у России в союзниках? Иран, Сирия, Венесуэла? Что-то я не слышал о IT-продукции из этих стран...

Извините, не осилил Ваше сообщение.

Попробуйте как-то упорядочивать свои мысли при письменном изложении. Иначе каша какая-то получается :(.

Заранее благодарю.

Погодите, они ради грязных бумажек еще и исходники написанных ими же вирусов предоставлять будут.

С антивирусом такой номер не пройдет - без обновлений он бесполезен.

Вы явно не в курсах как продавать одно и то же много раз — даже продавцы игорей и прочего «контента» научились дробить контент на DLC, не заменяя каждый раз все вообще. Так и антивирусу нужны только новые базы сигнатур и эвристики, которые в зависимости от имплементации даже конпелять не обязательно, либо это коды «виртуальной машины защиты», которые исполняет собственный движок, который сам по себе часто патчить не надо вообще — один хер антивирь работает в кольце защиты ведра, где может больше локального админа — где-то на уровне гипервизора.

Попробуйте не рассуждать о том, в чем не разбираетесь, либо потрудитесь разобраться — а потом составляйте мнение. И не благодарите :)

Так и антивирусу нужны только новые базы сигнатур и эвристики, которые в зависимости от имплементации даже конпелять не обязательно, либо это коды «виртуальной машины защиты», которые исполняет собственный движок, который сам по себе часто патчить не надо вообще — один хер антивирь работает в кольце защиты ведра, где может больше локального админа — где-то на уровне гипервизора.

Еще раз, как Вы предлагаете отличать обновления баз и эвристики на уровне конечного пользователя?

Еще раз — разберитесь в теме, и отпадут многие вопросы :)

«Доверенный удостверяющий центр» (назовем его «Национальный»), который ваш с потрохами, резидент страны, с местными спецами, которые патриоты, набранные из морской разведки, и «зачем им врать?» вам не говорит ни о чем? Если он говорит, что бинарь соответствует сорцам и ЗОГ-кладок кроме ваших же NSA, CIA, ATF и FBI, нет (а эта процедура технически элементарна) - вы либо ему верите, либо ваша паранойя не лечится ничем и никак. Причем тут «уровень пользователя»? Пользователь вообще может забирать доверенный бинарь с сайта «Национального центра жопоголиков» — и не париться.

Первое — критичное это не весь госсектор. Второе — тут американцы правы, антивирус часто обновляется. Но там два канала обновлений: база сигнатур и сам антивирус. Сам антивирус работает на уровне ядра и его обновление чаще всего на виндах требует перезагрузки. Технически отделить эти вещи не проблема. Тут принципиальная позиция у амеров — не доверяем и все. Возможно пиар вкупе с не компетенцией руководителей (антивирус обновляется три раза в сутки! опасность!).

Иран, Сирия, Венесуэла?

Батька же! Запретить танчики в госконторах!

Чтоб проиллюстрировать уровень вашего невладения темой например: как вы думаете, Касперский Лаб сам занимается распространением бинарей антивируса что ли? Грустный Е.Касперский летает чартером по свету белому и развозит тележки по офисам, встречая недоверие? Или американские нетизены лезут обсираясь от страха на русский сервер через фаервол кей-жы-би? Ответ очень простой.

«Доверенный удостверяющий центр» (назовем его «Национальный»), который ваш с потрохами, резидент страны, с местными спецами, которые патриоты, набранные из морской разведки, и «зачем им врать?» вам не говорит ни о чем? Если он говорит, что бинарь соответствует сорцам и ЗОГ-кладок кроме ваших же NSA, CIA, ATF и FBI, нет (а эта процедура технически элементарна) - вы либо ему верите, либо ваша паранойя не лечится ничем и никак.

Т. е. мы возвращаемся к тому же варианту, который выше обсуждали :). А это дополнительные расходы, необходимость изменения схемы дистрибьюции антивируса, а не просто предоставление исходников.

И зачем все это, когда можно просто закупить аналогичное программное обеспечение у местной фирмы, которой доверяем?

Вы читайте тему целиком ;). Вариант с местным сервером обновлений уже обсудили :).

Не болейте телепатией: я говорю не о том что «возможно в принципе», а о модели распространения, которая уже готовая есть и работает. Т.к. вы ушли от прямого ответа в астрал, как вы все таки думаете, вендоры касперского уже где располагаются?

А это дополнительные расходы, необходимость изменения схемы дистрибьюции антивируса, а не просто предоставление исходников.

и какие, и откуда доп. расходы? Что меняется в схеме — позвонить эксперту национального центра за консультацией? Получить ихнюю ЭЦП? Особенно если технических препятствий никаких — кроме паранойи тех, кто вообще некопенгаген почему возможна «доказательная аутентификация» (более того, сама истерия искусственная насквозь и задача «наладить контакт», что-то там доказать и в чем-то удостоверитсья — у ее авторов вообще не стоит).

И зачем все это, когда можно просто закупить аналогичное программное обеспечение у местной фирмы, которой доверяем?

На основании чего? Будьте уж параноиком до конца. А то Энрону вон тоже доверяли.

Вы читайте тему целиком ;).

С чего это мне, с год как работая над над улучшением «каналов распространения» Касперского, перечитывать тему, состоящую из пустых теорий? :) А вы чем отмажетесь от нежелания вникать — вместо ваших ни на чем не основанных построений? Простите, не мне, а вам следует хорошенько подумать над вашим следующим «выстрелом в ногу» :)

Ой вей... Шо вы знаете за крупных клиентов Касперского? :)