Jaibreak or not jailbreak?

Jaibreak or not jailbreak?
Я не буду подробно говорить о СКЗИ для iOS, которая для своей установки требует jailbreak. Это, на мой взгляд, не вина разработчика. У него простой выбор - сделать продукт, востребованный рынком, или не делать его. Очевидно, что потребность в сертифицированной криптографии для смартфонов и планшетников компании Apple достаточно высока и было бы неправильным не воспользоваться такой возможностью увеличить свои доходы. Дальше разработчик начинает анализировать возможность реализации продукта с учетом требований будущей сертификации и понимает, что для успешного прохождения 8-го Центра и ЦЛСЗ ФСБ и получения заветной бумажки необходимо обойти ограничения, установленный компанией Apple (т.е. произвести jailbreak). И он, взвесив все "за" и "против" выпускает такой продукт и сертифицирует его в ФСБ. При этом сам разработчик, как бы и не нарушает ничего, т.к. jailbreak должен делать не он, а потребитель, купивший сертифицированную систему криптографической защиты. 

Потребитель тоже стоит перед выбором и взвешивает, какие риски выше? Применения несертифицированной СКЗИ на легальной iOS (например, Cisco AnyConnect или множества иных VPN-клиентов) или сертифицированной СКЗИ на "взломанной" iOS? При этом варианты использование специализированного прикладного ПО с встроенной сертифицированной СКЗИ я не рассматриваю - спектр их применения не очень велик ввиду их заточенности под конкретные применения.

Но дело не в рисках потребителя (а вопрос применения в этом случае 146-й статьи УК РФ вполне может стоять на повестке дня - нашелся бы тот, кто подаст в суд на нарушителя). И не в рисках производителя. Я бы хотел посмотреть на ситуацию в контексте поведения регулятора, вынуждающего разработчиков и потребителей нарушать законодательство об интеллектуальной собственности. При этом сам регулятор в лице 8-го Центра открещивает от таких обвинений. Они говорят: "А мы тут ни причем. Никто никого не заставляет нарушать авторские права. Просто у нас есть требования по сертификации, а уж как их выполнить, это не наша проблема".

ФСБ - не единственный регулятор, который "не смотрит" на интеллектуальную собственность разработчиков средств защиты. ФСТЭК в своей системе сертификации средств защиты по требованиям безопасности тоже не сильно "напрягается" на эту тему. Иначе как еще можно объяснить возможность подачи заявки на сертификацию средств защиты, минуя разработчика? Вообще это нонсенс - компания-разработчик узнает о проведенной сертификации либо задним числом, либо вообще может не знать о том, что кто-то взял ее продукт, "распотрошил" его с целью оценки защитных свойств и выдал на результат потрошения сертификат соответствия! А ведь именно так и обстоит дело с большинством продуктов иностранного происхождения, присутствующих на российском рынке. В массе своей заявителями сертификации по линии ФСТЭК являются либо продавцы средств защиты, либо покупатели. Не буду говорить за других вендоров, но по Cisco, в реестре сертифицированных средств защиты присутствует около 30-40 сертификатов на маршрутизаторы Cisco ISR и столько же примерно на межсетевые экраны Cisco ASA 5500. При этом большая часть сертификатов выдана на схожие версии продуктов, но в сертификатах указаны разные заявители, разные классы защищенности МСЭ, разные классы АС/ИСПДн, в которых возможно применение средств защиты, разные ограничения на эксплуатацию... И при этом Cisco про эти сертификации никто не уведомлял. Все бы ничего, если бы такие сертификационные исследования не были бы запрещены партнерскими договорами и лицензионными соглашениями. Но при приеме средства защиты на сертификацию этот вопрос обходится вниманием. Допускаю, что по незнанию, но проблема от этого менее острой не становится.

Аналогичная ситуация с описанными вчера недекларированными возможностями. Средство защиты американского происхождения подают на сертификацию на отсутствие НДВ. Замечательно. Очень важно и нужно! А кто-нибудь побеспокоился узнать, выдана ли Минпромторгом США лицензия на проведения таких работ? Точнее на передачу конфиденциальной информации, подпадающей под экспортные ограничения, для проведения таких работ?

Да и фиг с ним, с правом на интеллектуальную собственность. Это все буржуйские заморочки и нарушение прав потребителей, которые могут делать с купленным товаром все, что угодно. Распространенная точка зрения. Именно ею мотивируют jailbreak'и многие его сторонники. Я не буду говорить, что с точки зрения безопасности тот же jailbreak это хорошо. Он не дает запускаться приложениям с административными привилегиями. Он не дает осуществлять некоторые системные вызовы и обращаться к некоторым областям памяти. Он создает для приложений некий аналог "песочницы". Он не дает копировать/красть установленные приложения. И вообще он не дает устанавливать "левые", непроверенные приложения.

Для рядового пользователя (физлица) это все не так и критично. А для корпоративного? Тут картина меняется. Да, последние внесенные изменения в закон DMCA сделали процедуру jailbreak легальной, а точнее ненаказуемой. Аналогичная ситуация и в России и в ряде других стран, но... гарантия производителя на телефон в этом случае теряется и гарантийному ремонту он уже не подлежит. При этом Apple сообщает о том, что пользователи, осуществившие jailbreak столкнулись с рядом серьезных проблем:
  • снижение уровня защищенности, кража конфиденциальной информации, проникновение вредоносных программ
  • нестабильная работа
  • снижение времени автономной работы
  • неработающие службы
  • невозможность обновления и т.д.
Не знаю насколько это информация верна, но это официальная позиция производителя, который открыто заявляет, что поддерживать такие устройства не намерен. Возникает закономерный вопрос - готова ли компания внедрить у себя сертифицированную в ФСБ СКЗИ, если условием ее установки станет полная потеря гарантии производителя на планшетник или смартфон и потенциальные проблемы с работой служб и приложений на устройстве? Где проходит грань?

Аналогичная ситуация с подменой стандартной библиотеки MS GINA, которую часто подменяют для реализации расширенных процедур входа в систему на базе Windows. На сайте Microsoft четко написано , что да, третьи лица часто подменяют MS GINA для своих целей (например, подключение аутентификации по токену или расширение стандартной парольной аутентификации биометрией), но это несет за собой риски некорректной загрузки системы или даже невозможности такой загрузки. Безусловно гарантия, которая по лицензионному соглашению Microsoft и так не сильно велика, в этом случае может быть утеряна. Схожая ситуация с встраиванием отечественной сертифицированной криптографию в продукцию Microsoft. Как прямо заявляют разработчики "MS не предоставил способа "честно" встраивать локализованную криптографию".

И вновь вопрос - кто виноват больше, разработчик, вынужденный нарушать авторское право другого разработчика, или регулятор, который своими требованиями (или отсутствие требований) вынуждает разработчика так поступать? Вопрос, конечно, риторический, но учитывая активное движение России в сторону признания международных норм по защите интеллектуальной собственности (у нас даже специальная Федеральная служба создана ) может быть пора и задуматься и поменять требования как к средствам защиты, так и к оценке их соответствия.
оценка соответствия ФСТЭК ФСБ
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Красная или синяя таблетка?

В Матрице безопасности выбор очевиден

Выберите реальность — подпишитесь