По сообщению источника, Microsoft завершает разработку специальной версии ОС Windows 10, создаваемой по требованию китайского правительства. Разработка ведется в рамках совместного предприятия Microsoft и China Electronics Technology Group (CTEC). Отличием от обычной версии Windows 10 будет отсутствие средств наблюдения за пользователем.
Ранее в Китае были запрещены продажи Windows 8 по соображениям безопасности, а в отношении Microsoft было начато антимонопольное расследование.
Здравствуйте, Дрободан Фрилич, Вы писали:
ДФ>Кочетков, что скажешь?
А что можно сказать на новость: "Microsoft как-то допилила винду в соответствии с требованиями по безопасности от китайского правительства, но что именно там изменилось, она не сообщает"?
Ну во-первых, в данном случае речь идёт не о средствах сбора телеметрии, статистики и прочей чепухе, которую мы тут не так давно обсуждали и о которой черным по белому напечатано в EULA. Речь о гарантии отсутствия в винде скрытых и неконтролируемых бэкдоров и возможности защищаться от возможных бэкдоров в приложениях третьей стороны (это факт, читай WSJ). И это единственный факт, который можно вынести из той статьи.
Вероятно (а вот это уже мой домысел) в рамках Government Security Program китайские власти получили доступ к исходникам винды и выдвинули свои требования по доработке винды с тем, чтобы обеспечить более глубокий и полный контроль над происходящим в системе. Например, заменить все пары ключей, используемые в винде на известные китайцам, добавить нужные сертификаты в хранилище корневых, обеспечить более полный мониторинг событий, включить все фичи защиты, доступные только для Enterprise-версии (их там прилично) и т.п. Фантазировать тут можно бесконечно
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, Дрободан Фрилич, Вы писали:
ДФ>>Кочетков, что скажешь?
KV>А что можно сказать на новость: "Microsoft как-то допилила винду в соответствии с требованиями по безопасности от китайского правительства, но что именно там изменилось, она не сообщает"?
KV>Ну во-первых, в данном случае речь идёт не о средствах сбора телеметрии, статистики и прочей чепухе, которую мы тут не так давно обсуждали и о которой черным по белому напечатано в EULA. Речь о гарантии отсутствия в винде скрытых и неконтролируемых бэкдоров и возможности защищаться от возможных бэкдоров в приложениях третьей стороны (это факт, читай WSJ). И это единственный факт, который можно вынести из той статьи.
неконтролируемые бэкдоры в чистой винде, о которых ненаписано в EULA или, что еще смешнее, написано
Здравствуйте, sin_cos, Вы писали:
_>неконтролируемые бэкдоры в чистой винде, о которых ненаписано в EULA или, что еще смешнее, написано
Да, из чужих цитат, да умеючи, можно выкроить дохрена смешных сочетаний слов. То, что от этой нехитрой забавы тебе так смешно, как бы намекает... ну да ладно, разлекайся дальше
KV>Вероятно (а вот это уже мой домысел) в рамках Government Security Program китайские власти получили доступ к исходникам винды и выдвинули свои требования по доработке винды с тем, чтобы обеспечить более глубокий и полный контроль над происходящим в системе. Например, заменить все пары ключей, используемые в винде на известные китайцам, добавить нужные сертификаты в хранилище корневых, обеспечить более полный мониторинг событий, включить все фичи защиты, доступные только для Enterprise-версии (их там прилично) и т.п. Фантазировать тут можно бесконечно
На сколько я знаю, наши спецслужбы давно это практикуют. Т.е. пересобирают венду со своей криптографией в заместо дефолтной.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Ну во-первых, в данном случае речь идёт не о средствах сбора телеметрии, статистики и прочей чепухе, которую мы тут не так давно обсуждали и о которой черным по белому напечатано в EULA.
Эээ... да ну? А по-моему "средства наблюдения за пользователем" — это и есть "средства сбора телеметрии, статистики и прочая чепуха". А EULA будет благополучно обновлено, да.
Китайцы в этом плане молодцы, не дают обуревшему мелкософту творить беспредел.
Здравствуйте, Sharov, Вы писали:
S>На сколько я знаю, наши спецслужбы давно это практикуют. Т.е. пересобирают венду со своей криптографией в заместо дефолтной.
Насколько знаю я, возможности собирать систему из исходников у тех, кто получил её исходники в рамках правительственной программы безопасности, нет. Что касается отечественной криптографии, то официальным её поставщиком в винде является КриптоПро и именно с ней она сертифицируется нашими регуляторами.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Здравствуйте, Sharov, Вы писали:
S>>На сколько я знаю, наши спецслужбы давно это практикуют. Т.е. пересобирают венду со своей криптографией в заместо дефолтной.
KV>Насколько знаю я, возможности собирать систему из исходников у тех, кто получил её исходники в рамках правительственной программы безопасности, нет. Что касается отечественной криптографии, то официальным её поставщиком в винде является КриптоПро и именно с ней она сертифицируется нашими регуляторами.
Про собирать не уверен, но на критические участки кода вроде можно было посмотреть. Нам это рассказывали в году так в 2008. Я не очень понимаю, как тогда сбер мог работать на том же 2003 сервере без нашей криптографии? Нам на лекции рассказывали, что всех исходников конечно не дают, но критически важную часть с тз безопасности можно было как-то изучить.
Здравствуйте, kochetkov.vladimir, Вы писали:
ARK>>Китайцы в этом плане молодцы, не дают обуревшему мелкософту творить беспредел.
KV>Т.е. статью-источник ты не читал?
Не читал. Сейчас прочитал — да, там вообще написано "software giant isn’t revealing exactly what it has altered in the new custom version of Windows 10". Так что ixbt все переврал.
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Насколько знаю я, возможности собирать систему из исходников у тех, кто получил её исходники в рамках правительственной программы безопасности, нет.
А как иначе проверить аутентичность исходников? Мамой клянусь?
Переубедить Вас, к сожалению, мне не удастся, поэтому сразу перейду к оскорблениям.
Здравствуйте, AlexRK, Вы писали:
ARK>Китайцы в этом плане молодцы, не дают обуревшему мелкософту творить беспредел.
Китайцы не молодцы, а мелоксофту до их беспредела, как до Луны на тракторе. Погугли на тему "Китай бэкдор". А на фоне их "золотого щита" наш роскомнадзор просто нервно курит за дверью. Все их потуги, связанные с проприетарным софтом, мотивированы скорее соображениями "Боливар не выдержит двоих", чем стремлением обеспечить безопасность его конечных пользователей (с открытым софтом всё проще, насовать в него контролируемых бэкдоров правительство КНР может самостоятельно).
Здравствуйте, Ops, Вы писали:
Ops>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Насколько знаю я, возможности собирать систему из исходников у тех, кто получил её исходники в рамках правительственной программы безопасности, нет. Ops>А как иначе проверить аутентичность исходников? Мамой клянусь?
Насколько я помню, винду и в самой MS, скажем так, не везде можно просто так взять и собрать. Однако этого для задач анализа защищённости кода и не требуется. PDB'шников вполне хватит для того, чтобы смапить код на бинари и проанализировать результаты этого маппинга на предмет целостности. Кроме того, насколько я знаю, доступ к серверам сборки в рамках правительственной программы таки-предоставляется (разумеется, речь идёт не о сборке модифицированных правительствами исходников, о чём шла речь в первом сообщении ветки).
Здравствуйте, Sharov, Вы писали:
S>Про собирать не уверен, но на критические участки кода вроде можно было посмотреть. Нам это рассказывали в году так в 2008. Я не очень понимаю, как тогда сбер мог работать на том же 2003 сервере без нашей криптографии? Нам на лекции рассказывали, что всех исходников конечно не дают, но критически важную часть с тз безопасности можно было как-то изучить.
Я имел в виду возможность сборки модифицированных исходников. Так-то код предоставляется, да. А наша криптография (от третьих сторон, например -- её реализация от упомянутого КриптоПро) элементарно делается дефолтной с помощью настроек криптопровайдеров в реестре винды. Для этого отдельная пересборка ОС не требуется.
Здравствуйте, kochetkov.vladimir, Вы писали:
ARK>>Китайцы в этом плане молодцы, не дают обуревшему мелкософту творить беспредел. KV>Китайцы не молодцы
Китайцы, а равно как и прочие японцы — именно что молодцы. В смысле, умеют продавливать "сделайте нам удобно", "предоставьте перевод на китайский язык". В отличие от наших терпил, которые гордятся тем, что умеют работать с нелокализованными продуктами, а кто не знаком с английским — тот-де болван и компом пользоваться ему не положено.