Генератор бэкдоров (2)
Теперь обсудим второй вопрос из вчерашнего поста - как сподручнее заставить разработчиков вписать бэкдор в выпускаемую программу.
Первый метод - пойти официальным бюрократическим путём. Направляется предписание из спецслужбы руководству фирмы-производителя. Гендиректор даёт поручение заму, тот - начальнику департамента. Далее идут приказы менеджеру проекта и параллельно в плановый и финансовый отделы, чтоб выделить ресурсы, скорректировать смету, график, план тестирования и т.д. И вся эта документация, естественно, секретная. Вся переписка и ТЗ оформляется и хранится в Первом отделе, причастные лица получают допуск номер два или, в крайнем случае, у них отбирается подписка о неразглашении.
А если кто-либо из причастных лиц окажется вражеским агентом или правозащитником? Не на каждого подействует подписка и угроза привлечения к ответственности. В нашей коллекции утечек есть немало таких, где инсайдер руководствовался идеалистическими соображениями, разглашал секретную информацию без всякой материальной выгоды. Та же утечка дипломатических телеграмм Госдепа США.
Второй метод (агентурный) представляется менее рискованным. Не ставя в известность Стива Джобса руководство компании-разработчика, мы просто вербуем рядового программиста. И он, пользуясь простым руткитом или даже своим собственным аккаунтом, вносит в исходники нужный фрагмент кода.
В отличие от первого метода, мы здесь можем выбирать, кого именно вербовать. Разные люди по-разному реагируют на предложения о сотрудничестве со спецслужбами. Имеют разные политические убеждения. По-разному относятся ко хранению государственной тайны. Из нескольких кандидатов можно выбрать наиболее подходящего. В случае же официального пути такого выбора нет - работать придётся с теми лицами, которые уже занимают в компании соответствующие должности.
Не знаю, как вы, а я бы однозначно предпочёл агентурный метод как менее рискованный.
И если принять, что внедрители бэкдоров на самом деле выбирают второй способ, то что получается? Получается, что нет разницы, в какой продукт вставлять чёрный ход - в отечественный, зарубежный или интернациональный. Следовательно, с точки зрения вероятности наличия НДВ, отечественное ПО никаких преимуществ не имеет.
Первый метод - пойти официальным бюрократическим путём. Направляется предписание из спецслужбы руководству фирмы-производителя. Гендиректор даёт поручение заму, тот - начальнику департамента. Далее идут приказы менеджеру проекта и параллельно в плановый и финансовый отделы, чтоб выделить ресурсы, скорректировать смету, график, план тестирования и т.д. И вся эта документация, естественно, секретная. Вся переписка и ТЗ оформляется и хранится в Первом отделе, причастные лица получают допуск номер два или, в крайнем случае, у них отбирается подписка о неразглашении.
А если кто-либо из причастных лиц окажется вражеским агентом или правозащитником? Не на каждого подействует подписка и угроза привлечения к ответственности. В нашей коллекции утечек есть немало таких, где инсайдер руководствовался идеалистическими соображениями, разглашал секретную информацию без всякой материальной выгоды. Та же утечка дипломатических телеграмм Госдепа США.
Второй метод (агентурный) представляется менее рискованным. Не ставя в известность Стива Джобса руководство компании-разработчика, мы просто вербуем рядового программиста. И он, пользуясь простым руткитом или даже своим собственным аккаунтом, вносит в исходники нужный фрагмент кода.
В отличие от первого метода, мы здесь можем выбирать, кого именно вербовать. Разные люди по-разному реагируют на предложения о сотрудничестве со спецслужбами. Имеют разные политические убеждения. По-разному относятся ко хранению государственной тайны. Из нескольких кандидатов можно выбрать наиболее подходящего. В случае же официального пути такого выбора нет - работать придётся с теми лицами, которые уже занимают в компании соответствующие должности.
Не знаю, как вы, а я бы однозначно предпочёл агентурный метод как менее рискованный.
И если принять, что внедрители бэкдоров на самом деле выбирают второй способ, то что получается? Получается, что нет разницы, в какой продукт вставлять чёрный ход - в отечественный, зарубежный или интернациональный. Следовательно, с точки зрения вероятности наличия НДВ, отечественное ПО никаких преимуществ не имеет.