Сертификация, говорите?
Вчера вашего покорного слугу в "антигосударственной пропаганде" обвинили. Виноват, гражданин начальник, спешу исправиться при помощи шапкозакидательской пропаганды.
С подачи "Уолл стрит джоурнэл" прошёл очередной новый скандал по старому поводу. Вкратце так: обнаружилось, что беспилотный разведчик "Предатор", стоящий на вооружении армии США (принят в 1995), транслирует видеоизображение в открытом виде; его может перехватывать любой, используя относительно недорогую и общедоступную технику.
У всех бывают косяки. У всех бывают авралы. У всех есть желание (а иногда и насущная потребность) схалтурить и вместо полноценного шифрования закодить примитивный XOR. Но где был отдел тестирования? Где была система сертификации? Где учёт ошибок, и где патчи? Всё просто. Дело было так. Штатные тестировщики добросовестно выявили уязвимость и написали о ней в отчёте. Отчёт этот, как и вся документация по продукту, естественно, секретный. Сертификаторы проверили соответствие продукта технической документации, в которой так и указывалось, что видеопоток не шифруется, а кодируется. Проверили; соответствует; подпись и печать. Собственно, на эту печать и смотрела госприёмка, не читать же все 500 страниц технических условий.
Выпускать ежемесячные патчи и регулярно накатывать их на все 195 машин - это занятие для штафирок. А гусары денег не берут; на военные сертифицированные секретные системы ставить патчи нельзя, иначе сертификат потеряет силу. Поэтому обновления ПО и не выпускают.
Итог: об уязвимости известно широким кругам со времён боснийской кампании, к настоящему времени техника и ПО для перехвата настолько просты, а интерфейс настолько дружественен, что пользуются афганские партизаны - полуграмотные вчерашние крестьяне.
И не пытайтесь меня убедить, что в армиях других стран ситуация сильно лучше. А потому кибервойне - быть.
UPD. А вот товарищ Б.Шнайер полагает, что они оставили канал открытым нарочно.
С подачи "Уолл стрит джоурнэл" прошёл очередной новый скандал по старому поводу. Вкратце так: обнаружилось, что беспилотный разведчик "Предатор", стоящий на вооружении армии США (принят в 1995), транслирует видеоизображение в открытом виде; его может перехватывать любой, используя относительно недорогую и общедоступную технику.
У всех бывают косяки. У всех бывают авралы. У всех есть желание (а иногда и насущная потребность) схалтурить и вместо полноценного шифрования закодить примитивный XOR. Но где был отдел тестирования? Где была система сертификации? Где учёт ошибок, и где патчи? Всё просто. Дело было так. Штатные тестировщики добросовестно выявили уязвимость и написали о ней в отчёте. Отчёт этот, как и вся документация по продукту, естественно, секретный. Сертификаторы проверили соответствие продукта технической документации, в которой так и указывалось, что видеопоток не шифруется, а кодируется. Проверили; соответствует; подпись и печать. Собственно, на эту печать и смотрела госприёмка, не читать же все 500 страниц технических условий.
Выпускать ежемесячные патчи и регулярно накатывать их на все 195 машин - это занятие для штафирок. А гусары денег не берут; на военные сертифицированные секретные системы ставить патчи нельзя, иначе сертификат потеряет силу. Поэтому обновления ПО и не выпускают.
Итог: об уязвимости известно широким кругам со времён боснийской кампании, к настоящему времени техника и ПО для перехвата настолько просты, а интерфейс настолько дружественен, что пользуются афганские партизаны - полуграмотные вчерашние крестьяне.
И не пытайтесь меня убедить, что в армиях других стран ситуация сильно лучше. А потому кибервойне - быть.
UPD. А вот товарищ Б.Шнайер полагает, что они оставили канал открытым нарочно.