Впервые глобальная компания признала бэкдоры обычной бизнес-практикой

23.09.2018     

Любой компьютер и смартфон может иметь «черный ход». Так называют тайные лазейки, которыми снабжают свои продукты международные технологические компании – и не видят в этом ничего предосудительного.

На прошлой неделе Питер Хортенсиус, технический директор крупнейшего в мире производителя персональных компьютеров Lenovo, заявил: «Если государства требуют доступ к личным данным пользователей, мы его предоставляем». При этом речь не только о Китае – «таких стран гораздо больше». Кроме того, по словам топ-менеджера, так делают все транснациональные ИТ-корпорации, в частности, на китайском рынке.

Lenovo оправдывается необходимостью соблюдать национальные законы и заверяет, что к неприкосновенности конфиденциальных сведений относится с уважением. Эксперты рассуждают о «цене», которую компании платят за присутствие в регионе с колоссальным спросом. И все согласны, ничего в этом личного – только бизнес, однако под угрозой вся интеллектуальная собственность, хоть раз попавшая в Сеть.

Америка строит стены

Исторически сложилось, что функционирование инфраструктуры интернета на уровне корневых серверов доменных имен на 80% обеспечивают США. Отсюда – чувствительность всемирной паутины к политическим решениям Штатов. Еще в апреле руководитель американской Федеральной комиссии по связи Аджит Пай оценил значение информационно-телекоммуникационной системы как жизненно важное для личной, экономической и национальной безопасности. При этом он подчеркнул, что ключевой фактор защиты – уверенность в ИТ-поставщиках, которой сегодня больше нет. Ранее директор ФБР Кристофер Рэй сообщил о массовых случаях нелегального доступа к закрытым данным через так называемые «бэкдоры» (от англ. backdoor – «черный ход»), скрытые в сетевом оборудовании и компьютерах. Поэтому комиссия предложила законопроект, согласно которому власти ограничат поставки зарубежных ИТ «сомнительного» происхождения. Аналогичные инициативы могут принять и у нас, но будет ли толк?

Секрет не клади в интернет

По своей сути бэкдор – недекларированная, скрытая от пользователя функциональная возможность устройства или программы, которая обеспечивает несанкционированный доступ к управлению данными, компьютерами или локальной сетью организации в целом. Например, в программном коде используется константа, известная лишь создателю. С помощью специальной команды это число инициирует выгрузку файлов жесткого диска на сервер злоумышленника. Другой способ – устроить «черный ход» прямо в BIOS, базовой системе ввода-вывода компьютера. Перед загрузкой операционной системы BIOS попытается связаться с сервером преступника, и в случае успеха загрузит программу, которая даст ему необходимый доступ к внешнему администрированию.

 

Схема генератора псевдослучайных чисел Национального института стандартов и технологий США, подозреваемая в наличии бэкдора  

 

Бэкдоры считают почти идеальным кибероружием. В отличие от прочей цифровой заразы, их крайне сложно обнаружить, антивирусы здесь бессильны. И если возникает серьезное подозрение, что часть некого кода может быть использована как «черный ход», неопровержимо доказать это, как правило, невозможно. Дело в том, что нужны достоверные факты взлома через конкретный бэкдор – но любой из них легко оспорить, ведь сам бэкдор выглядит как ошибка разработчика, дефект кода, злой умысел которого подтвердить зачастую нереально. И главное – будь вы хоть миллион раз уверены, что перед вами самый настоящий «черный ход», вы никогда не узнаете, кто и чем у вас через него «поинтересовался».

Поэтому необходимо помнить, что даже гипотетическая возможность доступа к файлу через интернет равносильна его сливу в чужие руки – нет никаких гарантий, что ИТ-компании открывают бэкдоры только властям.    


Автор:
Дмитрий Кочергов Аналитик


Компьютерами каких производителей пользуются в офисе вашей компании?


HP (35.71%, 10 голосов)
35.71%
Asus (28.57%, 8 голосов)
28.57%
Dell (21.43%, 6 голосов)
21.43%
Lenovo (17.86%, 5 голосов)
17.86%
Acer (14.29%, 4 голосов)
14.29%
MSI (10.71%, 3 голосов)
10.71%
Свой вариант в комментарии (7.14%, 2 голосов)
7.14%
Samsung (7.14%, 2 голосов)
7.14%
Apple (0%, 0 голосов)
0%

Комментарии
В избранное Подписаться на ответы Сортировка: Древо развёрнутое
Свернуть все
1. PerlAmutor 124 23.09.18 10:21 Сейчас в теме
Помню, когда еще писали эмулятор сервера World Of Warcraft, анализатор сетевых пакетов выявил в протоколе игры интересный бинарный кусок. Когда начали разбираться, выяснилось, что это часть программного кода, которая загружается и выполняется каждый раз при запуске игры с сервера WOW и по сути ничто иное как вариант Античита. Понятное дело, что в нехороших руках это инструмент для получения полного доступа к системе пользователя. В файловое системе ничего не меняется, но произвольный код каждый раз выполняет задачу поставленную "извне".
Kochergov; +1 Ответить
2. user856012 13 23.09.18 10:58 Сейчас в теме
(0)
Компьютерами каких производителей пользуются в офисе вашей компании?
...
Sumsung
Используем только эту фирму! Никаких бэкдоров, гарантировано!
Kochergov; sasha777666; +2 Ответить
4. PerlAmutor 124 23.09.18 11:07 Сейчас в теме
3. ResAndDev 23.09.18 11:06 Сейчас в теме
Ну незнаю.

С одной стороны, обыкновенному юзеру прятать от КГБ, ФСБ, ФБР, ЦРУ и прочих АБВ нечего (всякая порнушка, и алко фото с отпуска не в счет).

С другой стороны тем кому есть что прятать обычно знают как и от чего прятать. Так что 90% всех юзеров все равно.

С третьей стороны - можно подставы устраивать. Однако опять же - 90% не представляет интереса для "людей в черном"
6. spectre1978 55 23.09.18 15:38 Сейчас в теме
Сказать честно, не очень понятно, чего все так взгоношились именно сейчас. Это ж всегда было, и очевидно любому, кто имеет представление о программном коде и вычислительной технике. Весь вопрос в том, что как правило, такие системы с учетом огромного количества пользователей дают избыток информации, а неуловимые Джо в первую очередь неуловимые потому что никому нафиг не нужны...
8. YanTsys 12 24.09.18 09:38 Сейчас в теме
Перед загрузкой операционной системы BIOS попытается связаться с сервером преступника, и в случае успеха загрузит программу, которая даст ему необходимый доступ к внешнему администрированию.


Как интересно, раньше иногда не так то просто было настроить интернет даже когда всё куплено и оплачено, а тут еще до загрузки ОС интернет доступен :)
Kochergov; +1 Ответить
10. spectre1978 55 24.09.18 10:54 Сейчас в теме
(8) хороший должен быть BIOS. С поддержкой TCP/IP стэка, DHCP клиента и драйверов сетевых карт. И все равно рискует обломаться, если в сети нет DHCP, к примеру.
Kochergov; +1 Ответить
9. YanTsys 12 24.09.18 09:40 Сейчас в теме
(6) ну сейчас вас официально предупредили что пускают к вам домой посторонних без вашего ведома, вроде как не нравится не покупайте устройства Lenovo, а купили потом можете и в суд не обращаться....
Kochergov; +1 Ответить
11. spectre1978 55 24.09.18 10:56 Сейчас в теме
(9) Так и раньше никто не спрашивался. Просто делали то, что считают нужным, и все.
Kochergov; +1 Ответить
7. zqzq 21 24.09.18 08:43 Сейчас в теме
Компьютерами каких производителей пользуются в офисе вашей компании?
Вопрос достаточно бессмысленный в контексте декстопов (самосборных системников).
12. YanTsys 12 24.09.18 11:12 Сейчас в теме
(7) Думаю вы правы, тут важнее чья материнка и сетевое оборудование, поэтому странно что в опросе нет Intel. Хотя один из самых старых взломов Пентагона был выполнен через печатающее устройство, и дополнительные копии секретных документов начали уходить в Internet.
в контексте декстопов

Десктоп от английского desktop
Kochergov; +1 Ответить
Оставьте свое сообщение

См. также

Нейросеть научили писать код на С и С++

Новость Искусственный интеллект ИТ-новость

Популярной нейросети GPT-2 нашли новое применение. Ее научили генерировать фрагменты кода на С и С++, и даже опытный разработчик не всегда отличит эти листинги от реальных.

05.03.2021    1126    user1015646    2       

Самые медленные языки программирования с динамической типизацией

Новость ИТ-новость Языки программирования

Скорость выполнения программы зависит не только от аппаратной части, но и от языка, на котором она написана. Однако, не все языки программирования могут похвастаться высокой скоростью выполнения кода. Расскажем о некоторых подробнее.

03.03.2021    1488    SKravchenko    3       

Мэрия Москвы разработала мессенджер для замены Telegram и Skype

Новость Импортозамещение ИТ-новость Мессенджеры

Российская компания ID Partner совместно с правительством Москвы создала приложение TDM Messenger. Согласно описанию, оно позволяет полностью заменить другие мессенджеры, в том числе Telegram и Skype.

02.03.2021    1975    VKuser24342747    8       

Совсем взрослый стал: Python исполнилось 30 лет

Новость ИТ-новость Языки программирования

Python является самым молодым из наиболее популярных языков программирования. Впрочем, все относительно: на днях Python исполнилось 30 лет.

02.03.2021    1031    user1015646    1       

Энтузиасты создали для популярного эмулятора патч с поддержкой процессоров «Эльбрус»

Новость ИТ-новость Микроэлектроника Новости компаний

Свободный эмулятор QEMU получил неофициальную поддержку отечественной архитектуры процессоров «Эльбрус». В разработке реализовано около 80% набора инструкций «Эльбрус-8С».

01.03.2021    1964    VKuser24342747    0       

Российский разработчик создал неофициальную версию Clubhouse для Android

Новость Android ИТ-новость Мессенджеры Мобильные приложения

Бывший разработчик из «ВКонтакте» Григорий Клюшников выпустил приложение для Android, предоставляющее доступ к большинству функций Clubhouse. Официально соцсеть доступна только пользователям iOS.

26.02.2021    2281    VKuser24342747    0       

Масштабное обновление Trello: пять новых видов досок и интеграция с Google Docs

Новость ИТ-новость Новости компаний

Компания Atlassian выпустила масштабное обновление сервиса управления проектами Trello. Разработчики изменили дизайн, добавили пять новых видов досок и реализовали для карточек возможность отображать информацию из сторонних сервисов.

25.02.2021    4087    user1015646    0       

Видеоигра на базе нейросетевого генератора текстов стала бизнес-консультантом

Новость Видеоигры Искусственный интеллект ИТ-новость

Энтузиаст использовал возможности текстового квеста, генерирующего разнообразные миры при помощи нейросети GPT-3, чтобы получать советы по ведению бизнеса. Часть идей ИИ оказалась пригодной для использования.

25.02.2021    2296    VKuser24342747    1       

В ближайшие годы возрастет потребность в персонале центров обработки данных

Новость Дата-центры ИТ-новость Цифровая экономика

Согласно отчету Uptime Institute, количество сотрудников, необходимых для обеспечения работы ЦОД, вырастет с 2 млн. в 2019 году до 2,3 млн. в 2025 году.

24.02.2021    2220    SKravchenko    0       

Google кардинально изменит дизайн Android 12

Новость Android Google ИТ-новость Мобильные приложения Новости компаний

Компания Google анонсировала глобальное обновление популярной операционной системы Android. Новая версия выйдет под номером 12. Говорят, что Android 12 назовут «Snow cone» – летний десерт из сладкого колотого льда.

24.02.2021    2654    mouse187    0       

Google представила новый сервис для поиска уязвимостей в открытом ПО

Новость Google Безопасность ИТ-новость

Компания Google запустила платформу с открытым исходным кодом OSV (Open Source Vulnerabilities). Она создана для поиска и закрытия уязвимостей в свободном ПО.

18.02.2021    1379    user1015646    0       

Отечественная компания представила сервер приложений Java EE

Новость ИТ-новость Новости компаний Языки программирования

Российская компания Bellsoft представила отечественный аналог сервера Oracle и IBM для JavaEE. Раньше продукт на базе открытого кода был доступен только для некоторых клиентов организации.

17.02.2021    2427    VKuser24342747    4       

Rustоманы из Долины: Google, Microsoft, Huawei, Mozilla и AWS основали фонд поддержки языка программирования

Новость Google ИТ-новость Новости компаний Языки программирования

Rust – перспективный язык, который широко применяется в разработке операционных систем и высоконагруженных веб-сервисов. Rust Foundation будет заниматься поддержкой и развитием языка.

16.02.2021    1669    user1015646    0       

В Microsoft Teams появилась платформа для общения и обучения

Новость Интернет ИТ-новость Мессенджеры Новости компаний

Microsoft добавила новые функции в корпоративный мессенджер Teams. В подключенной к нему платформе Viva можно пройти обучение, пообщаться с коллегами или улучшить организацию работы.

15.02.2021    3232    user1015646    0       

Google рассказала, как защищает Android от взломов

Новость Android Google Безопасность ИТ-новость

Google опубликовала информацию о том, как компания пытается улучшить безопасность Android, и какие шаги предпринимаются для борьбы с распространенными угрозами. Отчеты об уязвимостях играют в этом значительную роль.

12.02.2021    1974    SKravchenko    0       

Для регионов разработают приложение онлайн-записи на прием к врачам

Новость ИТ-новость Медицина Минкомсвязь Цифровая экономика

О возможностях приложения рассказали в Минздраве и Минцифре.

10.02.2021    1981    Senator_I    2       

Google разработает новую мобильную ОС

Новость MobileOS Google ИТ-новость Мобильные приложения

Корпорация Google создаст мобильную операционную систему для повышения безопасности использования устройств. Проект запущен под рабочим названием microdroid.

09.02.2021    2223    user1015646    0       

Google закрывает собственную игровую студию Stadia

Новость Google Видеоигры ИТ-новость Новости компаний

1 февраля Google официально закрыл собственную студию разработки игр для проекта Stadia, чтобы сосредоточить внимание на технологиях, лежащих в основе платформы.

09.02.2021    1589    SKravchenko    0       

Google представила технологию для замены cookies

Новость Google Интернет ИТ-новость

Методы сбора файлов cookies для повышения точности подбора рекламы не раз упрекали в нарушении личного пространства пользователей. Компания Google представила технологию, которая позволит отказаться от cookies и повысить уровень конфиденциальности.

09.02.2021    1323    user1015646    0       

Украинская команда FireWay одержала победу в хакатоне NASA Space Apps Challenge 2020

Новость ИТ-новость Стартапы

Украинская команда FireWay из Днепра стала победителем международного хакатона NASA Space Apps Challenge. Их изобретение было описано как «решение, которое демонстрирует наиболее инновационное использование технологии».

05.02.2021    2056    SKravchenko    2       

Китайцы разработали целых две альтернативы Flash

Новость Интернет ИТ-новость

Китайцам пришлось разработать собственную технологию ReFla взамен Flash для предотвращения сбоев в работе систем. Также они выпустили доработанную версию Flash Player с кодом 34.0.0.92.

04.02.2021    2202    mouse187    4       

Популярные дистрибутивы Linux могут лишиться поддержки Chromium

Новость Linux Google Интернет ИТ-новость

Из дистрибутивов Arch Linux, Fedora, Debian, Slackware и openSUSE может исчезнуть поддержка браузеров на движке Chromium. Причина – жесткие правила Google, из-за которых возникли проблемы с синхронизацией данных.

03.02.2021    2485    user1015646    3       

Microsoft участвует в разработке цифрового паспорта вакцинации от Covid-19

Новость ИТ-новость Медицина

Крупнейшие корпорации из сектора здравоохранения и ИТ-гиганты, такие как Microsoft, Salesforce и другие, объединились для создания цифровых идентификационных карт, которые подтверждают статус вакцинации против Covid-19.

02.02.2021    1867    capitan    3       

Что нового в Chrome 88: проверка надежности паролей и поддержка профилей

Новость Google Интернет ИТ-новость

Компания Google представила новый релиз браузера Chrome и обновила движок Chromium. Теперь ПО будет предупреждать о небезопасных паролях, а пользователь сможет создать привязанный к учетной записи профиль для персонализации работы в сети.

01.02.2021    2317    user1015646    0       

280 символов для науки: Twitter откроет доступ ученым к архиву твитов

Новость ИТ-новость Соцсети

Twitter предоставит академическим исследователям социальных сетей бесплатный доступ почти ко всем твитам. Исключение площадка сделает только для заблокированных аккаунтов.

29.01.2021    1571    VKuser24342747    1