Посмотрите на ваш рабочий компьютер... Что вы видите? Монитор, клавиатура, системный блок, считыватель CD, USB-порты... А внутри? Процессор, материнская плата, жесткий диск, контроллер, память... Деталей много. А знаете ли вы, как они работают? Уверены? А если подумать? В 2008-м году я написал статью "Материнская безопасность" о закладках на уровне процессора ПК. Примерно в тоже время об этом написал Шнайер, а ComputerWorld повторил это уже на русском языке. На какое-то время тема заглохла и не поднималась ни в прессе, ни среди специалистов. Но вот в конце 2011 года в журнале "Хакер" была опубликована подробная статья о том, что в чипсетах Intel, поставляемых с заводов в Китае, содержатся вполне конкретные закладки (в "канадских" вариантах таких чипсетов никаких закладок не обнаружено).
По словам автора, эту тему он раскопал еще в 2007-м году (в США тема закладок в Intel'овских процессорах поднималась еще в 95-м году на симпозиуме IEEE) и доложил о ней своему работодателю (Kraftway), в Intel, в ФСБ, в Газпром. Везде рассказ о закладке выслушали, но оставили без внимания. РД по анализу BIOS появился в ФСБ только в 2010-м году (кстати, помните высказывания бывшего сотрудника ФАПСИ о BIOS/NetBIOS?) В феврале краткий пересказ статьи из Хакера был сделан на банковской конференции в Магнитогорске Сергеем Груздевым ( слайды 12-17 ). А 30-го марта Счетная Палата США (GAO) опубликовала отчет "IT Supply Chain. Natonal Security - Related Agencies Need to Better Address Risks", в котором подробно описала риски, которые возникают в американских федеральных структурах в связи с поставкой запчастей к компьютерной технике из стран, за пределами США.
Достаточно интерсное исследование, которое показывает, что американцы сталкиваются регулярно с такими рисками, как:
А пока, вместо того, чтобы заняться реальной работой, у нас пытаются только все запрещать путем выпуска различных приказов о том, что считать продукцией отечественного производства. А ведь можно было начать с малого - провести аналогичное GAO исследование и вынести на обсуждение план реагирования на растущую угрозу . Вот у американцев такой план есть - его начали реализовывать еще при Буше младшем в 2008-м году. Но конца и края этому процессу пока не видно. У нас же в России пока тишина и ничего адекватного данной угрозе пока нет ;-(
По словам автора, эту тему он раскопал еще в 2007-м году (в США тема закладок в Intel'овских процессорах поднималась еще в 95-м году на симпозиуме IEEE) и доложил о ней своему работодателю (Kraftway), в Intel, в ФСБ, в Газпром. Везде рассказ о закладке выслушали, но оставили без внимания. РД по анализу BIOS появился в ФСБ только в 2010-м году (кстати, помните высказывания бывшего сотрудника ФАПСИ о BIOS/NetBIOS?) В феврале краткий пересказ статьи из Хакера был сделан на банковской конференции в Магнитогорске Сергеем Груздевым ( слайды 12-17 ). А 30-го марта Счетная Палата США (GAO) опубликовала отчет "IT Supply Chain. Natonal Security - Related Agencies Need to Better Address Risks", в котором подробно описала риски, которые возникают в американских федеральных структурах в связи с поставкой запчастей к компьютерной технике из стран, за пределами США.
Достаточно интерсное исследование, которое показывает, что американцы сталкиваются регулярно с такими рисками, как:
- инсталляция ПО и железа, содержащего закладки
- инсталляция контрафактного ПО и железа
- инсталляция ПО и железа, содержащего непреднамеренные уязвимости
- и т.д.
А пока, вместо того, чтобы заняться реальной работой, у нас пытаются только все запрещать путем выпуска различных приказов о том, что считать продукцией отечественного производства. А ведь можно было начать с малого - провести аналогичное GAO исследование и вынести на обсуждение план реагирования на растущую угрозу . Вот у американцев такой план есть - его начали реализовывать еще при Буше младшем в 2008-м году. Но конца и края этому процессу пока не видно. У нас же в России пока тишина и ничего адекватного данной угрозе пока нет ;-(