Архив метки: deWesternization

Давайте уже обратим на это внимание

Давайте уже обратим на это внимание

Давайте уже обратим на это внимание. Наблюдаю очередной "вой на болотах" по поводу официального признания MAX-а национальным мессенджером. Как по мне, это изначально были синонимы и какой-то новости в этом нет.

Интересно другое: как мы докатились до того, что буквально ЛЮБАЯ инициатива, исходящая от государства, принимается в штыки большинством "говорящих голов" из российской IT/ИБ-тусовочки, подвергается осмеянию и неадекватной критике? Вплоть до прямых призывов саботировать государственные инициативы. И их мнению практически нет альтернативы в публичном пространстве. 😑 Этот непрерывный поток негатива - серьёзная проблема российского IT/ИБ.

Без здорового IT-лоялизма, без конструктивной позиции по отношению к государственным инициативам, без желания служить (!) и помогать, избавление от западного бигтеха у нас не случится. 🤷‍♂️

А ведь сильная Россия с суверенной IT/ИБ индустрией - эта наша общая цель. Так ведь? Или у кого-то цели иные? 😏

Централизация репортинга уязвимостей

Централизация репортинга уязвимостей

Централизация репортинга уязвимостей. Раз уж последний пост на эту тему набрал много реакции (хоть и отрицательных 😅) и даже породил дискуссию, я расписал как бы мог работать гипотетический государственный регулятор "Инициатива Нулевого Дня" ("ИНД"; отсылка к ZDI 🙂), контролирующий репортинг уязвимостей в продуктах вендоров из недружественных стран.

Исследователь, обнаруживший уязвимость в продукте вендора из недружественной страны, передаёт результаты ресёрча в ИНД. Эксперты ИНД проводят анализ и выносят решение:

🔹 Если уязвимость представляет интерес с точки зрения национальной безопасности, исследователь подписывает соглашение о неразглашении и ему выплачивается вознаграждение от ИНД. Вендор не уведомляется. Также как NSA годами использовали EternalBlue и не сообщали MS. 😉

🔹 Если уязвимость не представляет интереса, ИНД либо сообщает о ней вендору, либо даёт разрешение исследователю сообщить вендору самостоятельно. Уязвимость заводится в БДУ.

Сдай уязвимость государству! По поводу цитаты из заключения к отклонённому "закону о белых хакерах

Сдай уязвимость государству! По поводу цитаты из заключения к отклонённому закону о белых хакерах

Сдай уязвимость государству! По поводу цитаты из заключения к отклонённому "закону о белых хакерах":

"Кроме того, передача информации о выявленных недостатках программ для ЭВМ и (или) базы данных правообладателям, находящимся под юрисдикцией государств, совершающих недружественные действия в отношении Российской Федерации, не отвечает интересам обеспечения безопасности Российской Федерации."

Вполне справедливо. Более того, контакты российских исследователей с вендорами из недружественных стран (зачастую крупным гос. подрядчиками) в текущей непростой геополитической ситуации могут иметь признаки противоправной деятельности. 🤔 См. 275 УК РФ: "консультационная или иная помощь". А оно вам надо?

Централизация репортинга уязвимостей могла бы помочь: российский исследователь сдаёт найденную уязвимость не вендору, а российскому регулятору (ФСТЭК? НКЦКИ?), а регулятор уже принимает решение - следует ли сообщать об этой уязвимости вендору из недружественной страны или нет.

Основная проблема существующих отечественных ОС в том, что в абсолютном большинстве это всего лишь перелицованные зрелые западные Linux-дистрибутивы

Основная проблема существующих отечественных ОС в том, что в абсолютном большинстве это всего лишь перелицованные зрелые западные Linux-дистрибутивы

Основная проблема существующих отечественных ОС в том, что в абсолютном большинстве это всего лишь перелицованные зрелые западные Linux-дистрибутивы. 🤷‍♂️ Ведь задача, которая ставится перед их разработчиками - получить за минимальное время и с минимальными затратами решение с максимальной функциональностью. И заработать на этом. 👛

Для того чтобы отечественные ОС стали по-настоящему отечественными, необходимо менять подход. Исходить из того, что западные опенсурсные компоненты - зло. Они нашпигованы закладками (иногда под видом уязвимостей 😏). Для того чтобы минимизировать риски, связанные с этими закладками, необходимо минимизировать и количество зависимостей. А для этого нужно хотя бы поддерживать актуальный реестр зависимостей.

Тогда постепенно можно будет избавляться от наиболее сомнительных зависимостей, переходить на отечественные аналоги и форки. Тем самым формируя по-настоящему отечественные операционные системы. Которых (сюрприз-сюрприз!) сейчас нет. 🌝

Блокировки работают, нужно больше блокировок!

Блокировки работают, нужно больше блокировок!

Блокировки работают, нужно больше блокировок! Частенько читаю в каналах коллег, что РКН следует прекратить "неэффективные" блокировки западных веб-сервисов. Моя позиция ровно противоположная - блокировки успешны, критически важны и их следует расширять.

🔹 Благодаря блокировкам западные сервисы перестают широко использоваться в стране. Кто сейчас выкладывает ролики только на YouTube или заводит чатик в Viber? 😏 И с Cloudflare будет также. Хочешь российский трафик? Переезжай на российский CDN!

🔹 Когда западные сервисы доминируют в стране, "сковырнуть" их невозможно. Они демпингом и маркетинговыми бюджетами душат любую конкуренцию. 🤷‍♂️ Блокировки вычищают рынок на 140+ млн. человек для российских компаний, создают рабочие места, дают шанс на развитие и будущую международную экспансию. 🚀

🔹 Блокировки затрудняют зарубежным "ЦИПСО" мытьё мозгов нашим ширнармассам и способствуют сохранению стабильности в стране. 😉

Плюсы превышают любые возможные минусы и неудобства. 👍

Программно-аппаратные закладки в западных продуктах: смотрите, с кем имеете дело

Программно-аппаратные закладки в западных продуктах: смотрите, с кем имеете дело

Программно-аппаратные закладки в западных продуктах: смотрите, с кем имеете дело. Понятно, что личные убеждения, не особо впечатляют скептиков. 🙂 Они будут возмущаться импортозамещением и препятствовать ему до самого часа X. Хотя сейчас даже новости из реального, физического мира, намекают, что такого рода действия вполне в духе западных джентльменов. Возьмём, из последнего ирано-израильского:

🔹 Наносят удар 13 июня, за 2 дня до переговоров.
🔹 Физически устраняют учёных-ядерщиков. А ИБшников когда?
🔹 Заявляют о двухнедельном тайм-ауте для заключения соглашения и тут же начинают бомбардировки.

Про хлопающие пейджеры тоже вспомним. Да и про дроны, вылетающие из фур.

Грязные и бесчестные методы? А с точки зрения Запада это военная хитрость, изобретательность, хуцпа. 🤷‍♂️

На этом фоне активация программно-аппаратных закладок выглядит как что-то вполне невинное: "вот дурачки-то, поверили, закупили, внедрили, а мы им через это РАЗ - коллапс и ущерб на миллиарды $". 😏

Программно-аппаратные закладки в западных продуктах: вопрос личных убеждений

Программно-аппаратные закладки в западных продуктах: вопрос личных убеждений

Программно-аппаратные закладки в западных продуктах: вопрос личных убеждений. Размышления о существовании недекларируемых возможностей (НДВ) всегда отдают некоторой паранойей. 🤔

🔹 По-хорошему, НДВ нужно наглядно предъявлять. А делать это технически сложно. И у западного вендора всегда остаётся правдоподобное объяснение: "Это уязвимость, сейчас исправим". 😏

🔹 А если их не предъявлять, остаются лишь голословные обвинения в адрес "респектабельных" западных компаний, которые делают продукты дешевле, эффективнее и удобнее отечественных аналогов. 🥸 А главное - "ПРИВЫЧНЕЕ".

В таких условиях вопрос НДВ сводится во многом к личной убеждённости (и "экспертным оценкам"). 🤷‍♂️

Я абсолютно убеждён, что зловредная функциональность в западных продуктах есть, и в час X она обязательно будет активирована. И чем больше западных продуктов мы успеем выкорчевать и заменить отечественными или хотя бы продуктами из дружественных стран, тем менее катастрофичными будут последствия.