Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Программирование Новый топик    Ответить
Топик располагается на нескольких страницах: Ctrl  назад   1 [2]      все
 Re: Идентификация разработчика ПО как элемент инфо-безопасности  [new]
mayton
Member

Откуда: loopback
Сообщений: 42891
Dima T
mayton
Какие альтернативы?

Я думаю для начала хотя бы исключить возможность запуска неподписанного кода на уровне ядра ОС (драйвера, службы и т.д. и т.п.)

И насчет подписей в андроиде - эти подписи еще к банковским счетам привязаны, т.к. деньги от покупателя разработчик через гугл получает, т.е. это больше чем подпись, для ее замены недостаточно сгенерить новые ключи.

Совершенно верно. Сертификат - это просто набор реквизитов куда можно вписать счета для получения
бонусов и донаторства. Опять-же. Вписать можно только 1 раз при создании сертификата.
22 окт 19, 10:13    [21999540]     Ответить | Цитировать Сообщить модератору
 Re: Идентификация разработчика ПО как элемент инфо-безопасности  [new]
Критик
Member

Откуда: Москва / Калуга
Сообщений: 32475
Блог
Dima T
Я думаю для начала хотя бы исключить возможность запуска неподписанного кода на уровне ядра ОС (драйвера, службы и т.д. и т.п.)


Концепция ОС с белым списком существует очень давно.
Если мне не изменяет память, у того же Касперского она разрабатывалась в виде промышленной ОС, правда, такущий статус разработки мне неизвестен.
22 окт 19, 10:50    [21999594]     Ответить | Цитировать Сообщить модератору
 Re: Идентификация разработчика ПО как элемент инфо-безопасности  [new]
Eolt
Member

Откуда:
Сообщений: 1542
mayton
А на тотальном цифровом подписывании любого бинаря. Идея такая
что ничего запустить нельзя пока не пройдет цепочка проверок от доверительных паблишеров.


Не следует забывать, что этот персонаж почти штатный сотрудник спецслужб с тоталитарным мышлением.
Чей продукт ловили на воровстве персональных данных пользователей в США. По этой же причине был и забанен там же.
Поэтому всерьез его слова воспринимать нельзя.
22 окт 19, 10:53    [21999597]     Ответить | Цитировать Сообщить модератору
 Re: Идентификация разработчика ПО как элемент инфо-безопасности  [new]
mayton
Member

Откуда: loopback
Сообщений: 42891
Eolt
mayton
А на тотальном цифровом подписывании любого бинаря. Идея такая
что ничего запустить нельзя пока не пройдет цепочка проверок от доверительных паблишеров.


Не следует забывать, что этот персонаж почти штатный сотрудник спецслужб с тоталитарным мышлением.
Чей продукт ловили на воровстве персональных данных пользователей в США. По этой же причине был и забанен там же.
Поэтому всерьез его слова воспринимать нельзя.

Ты как-то квотируешь причудливо. Какой персонаж?
22 окт 19, 10:57    [21999603]     Ответить | Цитировать Сообщить модератору
 Re: Идентификация разработчика ПО как элемент инфо-безопасности  [new]
Eolt
Member

Откуда:
Сообщений: 1542
mayton,

Евгений Касперский
22 окт 19, 10:58    [21999604]     Ответить | Цитировать Сообщить модератору
 Re: Идентификация разработчика ПО как элемент инфо-безопасности  [new]
mayton
Member

Откуда: loopback
Сообщений: 42891
Eolt, кого можно воспринимать всерьез?
22 окт 19, 11:01    [21999610]     Ответить | Цитировать Сообщить модератору
 Re: Идентификация разработчика ПО как элемент инфо-безопасности  [new]
Roman Mejtes
Member

Откуда: г. Пермь
Сообщений: 3539
в одной очень крупной компании в США (с которой я работаю) так давно уже сделано, не дыхнуть, не пернуть
все программа которые туда передаются должны быть подписаны. вообще в принципе компания может иметь свою ЭЦП и подписывать им всё, что хочет. По идее, это не нарушает авторских или каких то еще прав
22 окт 19, 12:44    [21999731]     Ответить | Цитировать Сообщить модератору
 Re: Идентификация разработчика ПО как элемент инфо-безопасности  [new]
Aklin
Member

Откуда: Прямо сейчас меня здесь нет
Сообщений: 59112
Eolt
mayton
А на тотальном цифровом подписывании любого бинаря. Идея такая
что ничего запустить нельзя пока не пройдет цепочка проверок от доверительных паблишеров.


Не следует забывать, что этот персонаж почти штатный сотрудник спецслужб с тоталитарным мышлением.
Чей продукт ловили на воровстве персональных данных пользователей в США. По этой же причине был и забанен там же.
Поэтому всерьез его слова воспринимать нельзя.
А есть серьезные доказательства?

Потому что сейчас такое время, что от лица "солидной" конторы можно писать любую бездоказательную ерунду, все поверят.
22 окт 19, 12:54    [21999742]     Ответить | Цитировать Сообщить модератору
 Re: Идентификация разработчика ПО как элемент инфо-безопасности  [new]
Basil A. Sidorov
Member

Откуда:
Сообщений: 9473
Не о том вы думаете и не о том вы спорите: доверие к инфраструктуре открытых ключей никак не помогает установить доверительные отношения с владельцами этих самых открытых ключей.
22 окт 19, 12:59    [21999753]     Ответить | Цитировать Сообщить модератору
 Re: Идентификация разработчика ПО как элемент инфо-безопасности  [new]
mayton
Member

Откуда: loopback
Сообщений: 42891
Aklin
Eolt
пропущено...


Не следует забывать, что этот персонаж почти штатный сотрудник спецслужб с тоталитарным мышлением.
Чей продукт ловили на воровстве персональных данных пользователей в США. По этой же причине был и забанен там же.
Поэтому всерьез его слова воспринимать нельзя.
А есть серьезные доказательства?

Потому что сейчас такое время, что от лица "солидной" конторы можно писать любую бездоказательную ерунду, все поверят.

Значит слушайте все и не говорите что не слышали.

Сегодня сбором персональных (и любых других данных) занимаются все кто сидит на информации.
На информационных потоках. Iot. Техподдержка мобил. Соц-сети. Магазины. Банки.
Толстые корпорации. Спецслужбы. Государства.

Если вы не собираете данные - то вы либо дурак либо у вас нет возможностей.

В то что приложение Касперского собирало "какие-то данные" я охотно верю.

Вот моя Ubuntu после каждого сбоя приложения формирует краш-репорт
и шлёт его в саппорт. Мой телефон Xiaomi делает тоже самое. Офисная
винда делает тоже самое и многие приложения делают тоже самое.

По поводу личных данных:

В разных корпорациях есть внутренняя инструкция. Она классифицирует
личные данные по разному. Например сведения медицины (анализы) тоже
являются личными данными. IP адрес внешнего интернета тоже может быть таковым.

Поэтому чтобы не было манипуляции в топике давайте определимся что-же
вообще эти самые личные.
22 окт 19, 13:00    [21999757]     Ответить | Цитировать Сообщить модератору
 Re: Идентификация разработчика ПО как элемент инфо-безопасности  [new]
Aklin
Member

Откуда: Прямо сейчас меня здесь нет
Сообщений: 59112
mayton
Поэтому чтобы не было манипуляции в топике давайте определимся что-же
вообще эти самые личные.


Тут, надо полагать, вопрос был в том что штатам по отношению к своим и чужим можно то, чего нельзя всем остальным по отношению к штатам.

Это вопрос политики и вопрос отсталости, что все компьютерные технологии по сути пляшут под дудку штатов.
22 окт 19, 13:06    [21999769]     Ответить | Цитировать Сообщить модератору
 Re: Идентификация разработчика ПО как элемент инфо-безопасности  [new]
Bimon Subio
Member

Откуда: а какая разница?
Сообщений: 267
Basil A. Sidorov
Наличие ЭП никак не решает проблему доверия - масса полностью легального ПО занимается вещами, которые лично я, как пользователь компьютера, никак не могу одобрить.


К сожалению не только ПО занимается "вещами", но и почти все оборудование, в т.ч. диски и USB устройства, любят поговорить с IntelME.
22 окт 19, 17:14    [22000109]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: Ctrl  назад   1 [2]      все
Все форумы / Программирование Ответить