Apple | Александр В. Леонов

По поводу поста зампреда комитета ГД по информполитике Антона Горелкина. "Все успешные операционные системы, которые существуют сейчас, разрабатывались без участия государств. Они завоевали рынок именно потому, что коммерческие компании были кровно в этом заинтересованы."

Если убрать за скобки действительно спорный контекст с выделением 480 млрд рублей Ростелекому, а рассмотреть написанное по существу, то можно отметить следующее:

1. "Все успешные операционные системы, которые существуют сейчас", если брать десктопы и смартфоны, произведены 3 американскими компаниями: Microsoft, Google, Apple. Как же так получилось, что компании все американские, и занимают большую часть рынка во всех странах мира. За небольшим исключением - мобильные ОС на основе AOSP в Китае и Red Star OS в Северной Корее. Такое положение американских компаний вызвано конкуренцией на свободном рынке? Или все же имеет место разумная политика протекционизма?
2. "Разрабатывались без участия государств". Если государственных денег на первый взгляд не видно это не значит, что их нет. Вливание миллиардов долларов в Microsoft через Department of Defence, например, видно вполне отчётливо (первая попавшаяся ссылка "Microsoft wins $10 billion US Department of Defense JEDI cloud contract"), часть этих средств безусловно идёт на разработку Windows. Будет неправдой сказать, что бизнес американского бигтеха строится на прямых вливаниях из американского бюджета, но и говорить, что американское государство в деятельности этих компаний не участвует и материально не поддерживает тоже нельзя.
3. Факт зависимости РФ от продуктов американских компаний на лицо. Сама собой ситуация не изменится. Альтернативные десктопные и мобильные операционные системы в мире есть, но значительную доли рынка они самостоятельно занять не могут и видимо не смогут. Если брать мобильные ОС, то кого реально интересуют Sailfish, PureOS, postmarketOS и т.п. кроме горстки гиков (я среди них)?
4. Теперь вопрос: а насколько это критично? Если это вопрос государственной безопасности (а мне кажется это так и есть), то нужно принимать чрезвычайные меры, чтобы ситуация конкретно в России изменилась. Чтобы у нас вдруг стало не так как во всем мире. Для этого колоссальные усилия нужно предпринять. В том числе и в законодательной плоскости, и в сфере регуляторики. Сделать разумный протекционизм, как в Штатах, но располагая гораздо меньшими ресурсами. Это не просто кому-то денег дать. И результат совсем не гарантирован. Если же для государства засилье американских операционных систем это в целом норм, то тогда конечно можно оставить все как есть. Но ожидать, что ситуация сама изменится в силу самозародившейся конкуренции на локальном российском рынке, как мне кажется, не стоит.

Занимательно порефлексировать над очередным набросом Дурова на WhatsApp. Он там делает далеко идущие выводы, что очередная исправленная RCE уязвимость в WhatsApp это на самом деле умышленно добавленный бэкдор. 🙂 И что эта уязвимость давала доступ ко всем файлам на телефоне пользователей. И поэтому ради безопасности своих данных не пользуйтесь WhatsApp-ом.

Нет, ну что такая атака с использованием WhatsApp в принципе возможна, мы ещё по кейсу с Pegasus от NSO Group помним. Но не настолько же все тривиально! То, что используется в десятках таргетированных атак вряд ли будет долго и массово использоваться против простых обывателей.

С тем же успехом можно сказать, что, например, уязвимость в виндовом клиенте Telegram это тоже был бэкдор. 🙂

С другой стороны, является ли смартфон с удаленным ватсапом или даже телеграммом безопасным устройством? Нет конечно! Он как был убогой пальцетыкалкой с нелепым обрубком вместо операционной системы так и остался. Обрубком, который был вкорячен на конкретную железку матюками и грязными хаками, так что поставить туда что-то альтернативное в общем случае не получится, только попользоваться пару лет и выкинуть. На каждый чих по приложению требующему максимум прав. Дичь ведь. И всё это намертво завязано на американский бигтех и им же полность контролируется. Использовать смартфон с Android или iOS для чего-то чем вы не готовы сейчас же поделиться со всем миром это очень плохая идея. Если вы так делаете, прекращайте.

Вообще скверно у нас обстоят дела с awareness, если вчерашнее интервью Натальи Касперской выстреливает чуть ли не как федеральная новость. "Смартфоны в России могут быть заблокированы". Да неужели. Конечно могут! Странно предполагать, что если вы сами можете зайти на сайт Google или Apple, авторизоваться и заблочить свой потерянный/украденный смартфон/планшет, то вендор не сможет сделать то же самое по своему усмотрению и в любое время. Более того, если устройство стучится до каких-либо сервисов вендора (а оно стучится), это вполне может быть каналом скрытого управления и в т.ч. для блокировки. И с устройствами под Windows/MacOS та же история. Может только с Linux чуть получше, хотя относительно самых популярных и распространенных дистрибов я бы не стал утверждать с уверенностью. Даже до тех хостов, которые не в сети теоретически можно добраться через обновления и добавить зловредную функциональность с отложенной активацией а-ля олдскульный вирус «Чернобыль» (Virus.Win9x.CIH). Пади проверь, чего они там проносят в сотнях патчей каждый месяц. А уж сколько может быть закладок, через который можно будет проломить периметр организаций. Дух захватывает!

Короче, на случай серьезного кибер-конфликта, дело будет дрянь. Как минимум от краткосрочного эффекта мы все точно офигеем. То, что сейчас мы этого пока ещё не наблюдаем можно объяснить лишь тем, что эскалация не дошла до нужного уровня. Но то, что зарубежные недружественные вендоры, когда будет нужно, прогнутся и бахнут - вообще без вопросов. Поэтому обсуждение отечественных ОС, в том числе мобильных, или ОС дружественных стран конечно может восприниматься с некоторым скепсисом, но вообще это дело стратегически правильное и нужное, и респект тем, кто в разработке этих штук задействован.

Ну и само интервью кстати вполне годное. Хорошо сказано про сложность поиска закладок, про ограничения сертификации, про 30 лет всеобщего внедрения иностранного ПО, в т.ч. в образовании. А про смартфоны там буквально несколько слов в самом конце, с 14:46. 🙂

Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.

Александр В. Леонов

Управление Уязвимостями и прочее

Архив метки: Apple

По поводу поста зампреда комитета ГД по информполитике Антона Горелкина

Занимательно порефлексировать над очередным набросом Дурова на WhatsApp

Вообще скверно у нас обстоят дела с awareness, если вчерашнее интервью Натальи Касперской выстреливает чуть ли не как федеральная новость