Впервые глобальная компания признала бэкдоры обычной бизнес-практикой

Впервые глобальная компания признала бэкдоры обычной бизнес-практикой

23.09.2018      14541

Любой компьютер и смартфон может иметь «черный ход». Так называют тайные лазейки, которыми снабжают свои продукты международные технологические компании – и не видят в этом ничего предосудительного.

На прошлой неделе Питер Хортенсиус, технический директор крупнейшего в мире производителя персональных компьютеров Lenovo, заявил: «Если государства требуют доступ к личным данным пользователей, мы его предоставляем». При этом речь не только о Китае – «таких стран гораздо больше». Кроме того, по словам топ-менеджера, так делают все транснациональные ИТ-корпорации, в частности, на китайском рынке.

Lenovo оправдывается необходимостью соблюдать национальные законы и заверяет, что к неприкосновенности конфиденциальных сведений относится с уважением. Эксперты рассуждают о «цене», которую компании платят за присутствие в регионе с колоссальным спросом. И все согласны, ничего в этом личного – только бизнес, однако под угрозой вся интеллектуальная собственность, хоть раз попавшая в Сеть.

Америка строит стены

Исторически сложилось, что функционирование инфраструктуры интернета на уровне корневых серверов доменных имен на 80% обеспечивают США. Отсюда – чувствительность всемирной паутины к политическим решениям Штатов. Еще в апреле руководитель американской Федеральной комиссии по связи Аджит Пай оценил значение информационно-телекоммуникационной системы как жизненно важное для личной, экономической и национальной безопасности. При этом он подчеркнул, что ключевой фактор защиты – уверенность в ИТ-поставщиках, которой сегодня больше нет. Ранее директор ФБР Кристофер Рэй сообщил о массовых случаях нелегального доступа к закрытым данным через так называемые «бэкдоры» (от англ. backdoor – «черный ход»), скрытые в сетевом оборудовании и компьютерах. Поэтому комиссия предложила законопроект, согласно которому власти ограничат поставки зарубежных ИТ «сомнительного» происхождения. Аналогичные инициативы могут принять и у нас, но будет ли толк?

Секрет не клади в интернет

По своей сути бэкдор – недекларированная, скрытая от пользователя функциональная возможность устройства или программы, которая обеспечивает несанкционированный доступ к управлению данными, компьютерами или локальной сетью организации в целом. Например, в программном коде используется константа, известная лишь создателю. С помощью специальной команды это число инициирует выгрузку файлов жесткого диска на сервер злоумышленника. Другой способ – устроить «черный ход» прямо в BIOS, базовой системе ввода-вывода компьютера. Перед загрузкой операционной системы BIOS попытается связаться с сервером преступника, и в случае успеха загрузит программу, которая даст ему необходимый доступ к внешнему администрированию.

 

Схема генератора псевдослучайных чисел Национального института стандартов и технологий США, подозреваемая в наличии бэкдора  

 

Бэкдоры считают почти идеальным кибероружием. В отличие от прочей цифровой заразы, их крайне сложно обнаружить, антивирусы здесь бессильны. И если возникает серьезное подозрение, что часть некого кода может быть использована как «черный ход», неопровержимо доказать это, как правило, невозможно. Дело в том, что нужны достоверные факты взлома через конкретный бэкдор – но любой из них легко оспорить, ведь сам бэкдор выглядит как ошибка разработчика, дефект кода, злой умысел которого подтвердить зачастую нереально. И главное – будь вы хоть миллион раз уверены, что перед вами самый настоящий «черный ход», вы никогда не узнаете, кто и чем у вас через него «поинтересовался».

Поэтому необходимо помнить, что даже гипотетическая возможность доступа к файлу через интернет равносильна его сливу в чужие руки – нет никаких гарантий, что ИТ-компании открывают бэкдоры только властям.    



Источник: https://infostart.ru/journal/news/tekhnologii/vpervye-globalnaya-kompaniya-priznala-bekdory-obychnoy-biznes-praktikoy_908821/
Автор:
Дмитрий Кочергов Аналитик


Компьютерами каких производителей пользуются в офисе вашей компании?


HP (35.71%, 10 голосов)
35.71%
Asus (28.57%, 8 голосов)
28.57%
Dell (21.43%, 6 голосов)
21.43%
Lenovo (17.86%, 5 голосов)
17.86%
Acer (14.29%, 4 голосов)
14.29%
MSI (10.71%, 3 голосов)
10.71%
Свой вариант в комментарии (7.14%, 2 голосов)
7.14%
Samsung (7.14%, 2 голосов)
7.14%
Apple (0%, 0 голосов)
0%

Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. PerlAmutor 125 23.09.18 10:21 Сейчас в теме
Помню, когда еще писали эмулятор сервера World Of Warcraft, анализатор сетевых пакетов выявил в протоколе игры интересный бинарный кусок. Когда начали разбираться, выяснилось, что это часть программного кода, которая загружается и выполняется каждый раз при запуске игры с сервера WOW и по сути ничто иное как вариант Античита. Понятное дело, что в нехороших руках это инструмент для получения полного доступа к системе пользователя. В файловое системе ничего не меняется, но произвольный код каждый раз выполняет задачу поставленную "извне".
Kochergov; +1 Ответить
2. user856012 13 23.09.18 10:58 Сейчас в теме
(0)
Компьютерами каких производителей пользуются в офисе вашей компании?
...
Sumsung
Используем только эту фирму! Никаких бэкдоров, гарантировано!
Kochergov; sasha777666; +2 Ответить
4. PerlAmutor 125 23.09.18 11:07 Сейчас в теме
5. пользователь 23.09.18 11:13
Сообщение было скрыто модератором.
...
3. ResAndDev 23.09.18 11:06 Сейчас в теме
Ну незнаю.

С одной стороны, обыкновенному юзеру прятать от КГБ, ФСБ, ФБР, ЦРУ и прочих АБВ нечего (всякая порнушка, и алко фото с отпуска не в счет).

С другой стороны тем кому есть что прятать обычно знают как и от чего прятать. Так что 90% всех юзеров все равно.

С третьей стороны - можно подставы устраивать. Однако опять же - 90% не представляет интереса для "людей в черном"
6. spectre1978 56 23.09.18 15:38 Сейчас в теме
Сказать честно, не очень понятно, чего все так взгоношились именно сейчас. Это ж всегда было, и очевидно любому, кто имеет представление о программном коде и вычислительной технике. Весь вопрос в том, что как правило, такие системы с учетом огромного количества пользователей дают избыток информации, а неуловимые Джо в первую очередь неуловимые потому что никому нафиг не нужны...
8. YanTsys 12 24.09.18 09:38 Сейчас в теме
Перед загрузкой операционной системы BIOS попытается связаться с сервером преступника, и в случае успеха загрузит программу, которая даст ему необходимый доступ к внешнему администрированию.


Как интересно, раньше иногда не так то просто было настроить интернет даже когда всё куплено и оплачено, а тут еще до загрузки ОС интернет доступен :)
Kochergov; +1 Ответить
10. spectre1978 56 24.09.18 10:54 Сейчас в теме
(8) хороший должен быть BIOS. С поддержкой TCP/IP стэка, DHCP клиента и драйверов сетевых карт. И все равно рискует обломаться, если в сети нет DHCP, к примеру.
Kochergov; +1 Ответить
9. YanTsys 12 24.09.18 09:40 Сейчас в теме
(6) ну сейчас вас официально предупредили что пускают к вам домой посторонних без вашего ведома, вроде как не нравится не покупайте устройства Lenovo, а купили потом можете и в суд не обращаться....
Kochergov; +1 Ответить
11. spectre1978 56 24.09.18 10:56 Сейчас в теме
(9) Так и раньше никто не спрашивался. Просто делали то, что считают нужным, и все.
Kochergov; +1 Ответить
7. zqzq 21 24.09.18 08:43 Сейчас в теме
Компьютерами каких производителей пользуются в офисе вашей компании?
Вопрос достаточно бессмысленный в контексте декстопов (самосборных системников).
12. YanTsys 12 24.09.18 11:12 Сейчас в теме
(7) Думаю вы правы, тут важнее чья материнка и сетевое оборудование, поэтому странно что в опросе нет Intel. Хотя один из самых старых взломов Пентагона был выполнен через печатающее устройство, и дополнительные копии секретных документов начали уходить в Internet.
в контексте декстопов

Десктоп от английского desktop
Kochergov; +1 Ответить
Оставьте свое сообщение

См. также

Российская ОС «Аврора» получила крупное обновление до версии 4.0

Новость ОС ИТ-новость Мобильные приложения Новости компаний

Компания «Открытая мобильная платформа» выпустила мобильную операционную систему «Аврора» 4.0. Релиз включает более 300 улучшений, из них 40 – важные нововведения.

сегодня в 15:47    3547    VKuser24342747    0       

Российские банки запустили систему переводов без номера телефона и карты

Новость Банки Безопасность ИТ-новость

Новая технология позволяет клиентам банков переводить деньги на ближайшие устройства при помощи Bluetooth и AirDrop без указания реквизитов карты или счета, а также телефонного номера.

вчера в 12:36    5008    VKuser24342747    2       

Сотрудники Минцифры протестируют сервисы VK для госслужащих

Новость ИТ-новость Минкомсвязь Цифровая экономика

Компания VK разработала набор приложений для автоматизации работы госслужащих. Первыми получат возможность опробовать мессенджер, файлообменник, почту и другие сервисы чиновники из Минцифры.

вчера в 09:45    6454    VKuser24342747    0       

Лаборатория Касперского представила бесплатную ОС

Новость ОС Безопасность ИТ-новость Новости компаний

«Лаборатория Касперского» выпустила собственную операционную систему. На базе KasperskyOS можно создать решения, которые защищены от многих видов кибератак.

01.12.2021    5898    user1015646    1       

«Яндекс» представил сервис для сканирования документов

Новость ИТ-новость Новости компаний Яндекс

В приложениях «Яндекс.Почта» и «Яндекс.Диск» появился новый сервис «Сканер». Он при помощи искусственного интеллекта обрабатывает фотографию документа, улучшает ее качество и выдает в результате «отсканированный» файл.

01.12.2021    6633    VKuser24342747    1       

OpenAI открывает доступ к API GPT-3

Новость Искусственный интеллект ИТ-новость Новости компаний

Компания OpenAI предоставила доступ к API (прикладному программному интерфейсу) алгоритмов обработки естественного языка GPT-3. Это открывает новые возможности для экспериментов с умными системами, которые могут имитировать человеческие возможности – например, писать стихи или отвечать на вопросы.

29.11.2021    4616    user1015646    0       

Компания JetBrains представила легковесный редактор Fleet

Новость ИТ-новость Новости компаний

Разработчики нового продукта пообещали своим пользователям поддержку инструментов коллективной разработки, удаленный доступ к проектам, а также возможность трансформации редактора в полноценную IDE.

29.11.2021    4888    ЕленаЧерепнева    8       

Разработчики Astra Linux создали аналог Microsoft Active Directory

Новость Linux Безопасность Импортозамещение ИТ-новость Новости компаний

Группа компаний «Астра» представила службу ALD Pro, которая замещает в российской ОС Astra Linux решение Microsoft Active Directory. Поддержку этой функции от системы часто требуют госзаказчики.

29.11.2021    5667    VKuser24342747    1       

Специальный алгоритм очистит данные переписи населения

Новость Искусственный интеллект ИТ-новость

В России завершился первый этап Всероссийской переписи населения. Росстат будет в автоматическом режиме очищать собранные данные от продублированных записей при помощи российской BI-системы.

26.11.2021    5826    VKuser24342747    0       

В офисах Google появились универсальные роботы

Новость Автоматизация ИТ-новость Новости компаний

Офисы Google в Маунтин Вью, штат Калифорния, теперь станут гораздо чище. К уборке привлекли универсальных роботов, разработанных X Company, которая, как и поисковый гигант, входит в состав холдинга Alphabet.

25.11.2021    5519    user1015646    2       

Вышло крупное обновление для TypeScript с автодополнением кода

Новость ИТ-новость Языки программирования

Команда разработки TypeScript представила версию языка под номером 4.5. В ней улучшена производительность технологии, расширены возможности автодополнения и упрощено переподключение библиотек.

24.11.2021    8762    VKuser24342747    4       

GitHub назвал три ключевых тренда в разработке за 2021 год

Новость GitHub Аналитика ИТ-новость

GitHub провел традиционное ежегодное исследование Octoverse, чтобы определить основные направления развития ИТ-индустрии. В 2021 году актуальными стали вопросы быстрого написания кода и подготовки документации.

24.11.2021    8992    VKuser24342747    0       

Рособрнадзор прекратит использовать Windows при проведении ЕГЭ

Новость Импортозамещение ИТ-новость

Единый государственный экзамен к концу 2024 года будет проходить без использования ОС Windows во всех местах, где можно сдать тестирование. Вместо нее будет установлена российская система.

23.11.2021    6276    VKuser24342747    5       

Google выпустил версию браузера Chrome 96

Новость Интернет ИТ-новость Новости компаний

Новая актуальная версия Google Chrome 96 получила расширение инструментов для веб-разработчиков и экспериментальные функции в мобильной версии.

23.11.2021    5519    VKuser24342747    1       

Через Госуслуги компании подтвердили 13,3 млн корпоративных SIM-карт

Новость Безопасность ИТ-новость Телекоммуникации

Министерство цифрового развития сообщило, что компании соблюдают новые требования закона «О связи» и уже зарегистрировали на портале госуслуг 13,3 млн рабочих SIM-карт.

22.11.2021    7490    VKuser24342747    1       

Visual Studio 2022 и .NET 6: что нового

Новость ИТ-новость Новости компаний Языки программирования

Microsoft выпустила свежий релиз одной из самых популярных сред разработки. Вместе с Visual Studio 2022 представили обновленную платформу .NET 6.

22.11.2021    9158    user1015646    0       

Программист разработал поисковую систему без слежки за пользователями

Новость Безопасность Интернет ИТ-новость

Бывший разработчик из компании Salesforce Ричард Сокер открыл публичный доступ к своему поисковому сервису You. В нем нет никаких трекеров личных данных и рекламных материалов.

18.11.2021    6151    VKuser24342747    3       

«Сбер» обучил нейросеть ruGPT-3 генерировать программный код

Новость Искусственный интеллект ИТ-новость Новости компаний

Новая функция самой большой генеративной AI-модели для русского языка получила название JARVIS. Сейчас сервис способен работать с языками программирования Java, Python и JavaScript.

18.11.2021    6014    VKuser24342747    2       

Университет Иннополис создал уникальный российский индустриальный блокчейн

Новость Блокчейн ИТ-новость

В России разработан блокчейн InnoChain, который предназначен для использования в закрытых сетях. С его помощью можно подписывать договоры и планировать объемы продаж.

17.11.2021    6673    VKuser24342747    0       

В Dropbox появились «автоматизированные папки» и новая система тегов

Новость ИТ-новость Облачные технологии

Dropbox добавил в свой облачный сервис функции, которые позволят автоматизировать работу с общими папками и файлами. К ним относятся автоматизированные папки, автоматизированная панель инструментов, соглашения об именах и многофайловая организация.

17.11.2021    6292    SKravchenko    1       

Microsoft выпустит платформу Defender for Business

Новость ИТ-новость Новости компаний

Microsoft Defender for Business станет частью комплексного решения Microsoft 365 Business Premium, которое объединяет Microsoft Teams и Office 365 с основными инструментами безопасности для малого и среднего бизнеса.

16.11.2021    4089    SKravchenko    0       

Adobe Photoshop и Illustrator стали доступны онлайн

Новость

У популярных графических редакторов появились веб-версии. Они позволяют редактировать фото, не устанавливая требовательные к ресурсам приложения на компьютер или смартфон, и включают достаточно широкий набор инструментов.

11.11.2021    5266    user1015646    0       

Что нового в SQL Server 2022

Новость СУБД MS SQL ИТ-новость Новости компаний

Microsoft на ежегодной конференции Microsoft Ignite анонсировала предварительную версию SQL Server 2022 – теперь СУБД включает интеграцию с базой Azure SQL, службой аналитики Azure Synapse Analytics и платформой управления данными Azure Purview.

11.11.2021    10206    SKravchenko    0       

«Сбер» представил нейросеть для генерации картинок по описанию

Новость Искусственный интеллект ИТ-новость

Сервис ruDALL-E способен генерировать изображения с нуля по текстовому описанию на русском языке. Авторы полагают, что модель будет полезна для создания рекламного, архитектурного и промышленного дизайна.

11.11.2021    6827    VKuser24342747    10       

Правительство собирается определить главный российский процессор

Новость Импортозамещение ИТ-новость

Минцифры и Минпромторг намерены выбрать приоритетную российскую микропроцессорную платформу. Разработчики отечественного ПО будут обязаны поддерживать ее.

10.11.2021    6219    VKuser24342747    4