суббота, 10 июня 2017 г.

Против Samsung и TIZEN OS готовится новая провокация?






В последнее время так называемые "исследователи по безопасности" и многочисленные конторы, занятые выявлением различных уязвимостей в операционных системах, плодятся как грибы после дождя. Ввиду того, что на этом рынке становится тесновато, каждая из них пытается хоть как-то выделиться на фоне конкурентов, вбрасывая в СМИ всё новые и новые "ужасы" про то, каким опасностям подвержены пользователи той или иной ОС.
Причём градус подобных алармистских заявлений неуклонно повышается и многие независимые IT-эксперты уже говорят о наступлении эры тотальных спекуляций на "проблемах безопасности".
Конечно, никто и никогда из серьёзных людей не будет оспаривать необходимость скоординированной последовательной работы в этом направлении. Энтузиасты исследования кода открытых операционных платформ нередко действительно приносят пользу, сообщая разработчикам о тех или иных ошибках. Однако в последнее время наблюдается весьма негативная тенденция, заключающаяся в том, что отдельные персоны или компании откровенно "ПиаРятся" (от английской аббревиатуры PR, что в данном случае означает "агрессивная самореклама") на проблемах безопасности в ущерб компаниям, которые внедряют или используют ту или иную ОС.
Недавний скандал вокруг персоны некоего "израильского исследователя" Амихая Нейдермана, поведавшего миру о "куче критических уязвимостей в TIZEN OS" на форуме презираемой в цивилизованном IT-сообществе "Лаборатории Касперского", тесно связанной с российской ФСБ, нанёс ущерб репутации Samsung Electronics, которая продвигает эту платформу вместе с несколькими партнёрами, включая Linux Foundation, Intel и ряда других.
Эксперты, не связанные с "прокремлёвской IT-индустрией", говорят, что информационный вброс против TIZEN был организован по той причине, что корпорация "Ростех", руководство которой аффилировано с "силовым" окружением Путина, всеми силами пытается сделать пестуемую ею мёртворождённую ОС Sailfish безальтернативным решением для российского рынка мобильной связи и абсолютным монополистом в корпоративном секторе.
Надо отметить, что российская версия TIZEN была главным конкурентом Sailfish в борьбе за получение госфинансирования и также претендовала на то, что будет принята в качестве параллельно развивающейся платформы. Однако, как известно, нынешнее руководство страны на дух не переносит слово "конкуренция" и всеми силами старается монополизировать экономику, чтобы сосредоточить все рычаги управления исключительно в пределах кремлёвских кабинетов, то есть в руках "особо преданных" людей. Подобная тактика уже похоронила когда-то СССР, но так ничему и не научила власть придержащих.
TIZEN OS поддержало подавляющее большинство российских IT-специалистов, которые отмечали её гибкость, экономичность и хорошую производительность. К тому же эта открытая операционная платформа лишена каких-либо недокументированных "бэкдоров", что особенно ценно в плане сохранения безопасности. Тем не менее "волевым" решением (надо полагать, предварительно согласованным в Кремле) главы Минкомсвязи Никифорова TIZEN не была принята в качестве официальной альтернативы Sailfish. Специалистам даже не объяснили причины, пообещав в письменном виде предоставить "конфиденциальный документ", не подлежащий разглашению. Уже один этот факт говорит об ангажированности Никифорова, в открытую "топящего" за детище "Ростеха". При этом в СМИ до сих пор нет никаких сведений о том, насколько безопасна "отечественная" ОС Sailfish, написанная финнами, среди которых немало экс-сотрудников Nokia.
Тем не менее российская ассоциация TIZEN.ru не собирается отступать и продолжает настаивать на том, чтобы на рынке существовала альтернатива Sailfish. Но это явно не устраивает главу "Ростеха" Чемезова (личного друга Путина), возжелавшего "пилить бало" единолично и безо всякого контроля (по примеру другого "большого друга" Сечина).
На днях появились признаки того, что против TIZEN готовится новый информационный вброс. Некая тульская "команда" под названием PVS-Studio обратилась с открытым письмом не то к Samsung, не то вообще "к граду и миру", на предмет оказания услуг в анализе кода TIZEN OS. На первый взляд письмо вполне доброжелательное и полезное. Одно "но": свой анализатор кода PVS-Studio уже поспешила "слить" тому самому паталогическому ненавистнику Samsung и TIZEN Нейдерману.
Вероятно господин Карпов, опубликовавший письмо от имени PVS, надеется на то, что на следующем "форуме по безопасности им.Касперского" Нейдрман озвучит свои выкладки уже со ссылкой на "независимую российскую PVS-Studio". Но где гарантия, что эта компания не связана с тем же "Ростехом"?
Если вы уж действительно такие меценаты-доброхоты, то не лучше ли направить свои предложения непосредственно в Samsung? Но вместо этого на просторах Интернета появляются оплаченные рекламные вбросы про "анализатор кода" от PVS-Studio, который якобы обнаружил в TIZEN 27.000 ошибок (но почему не 27.000.000 (?), что звучало бы ещё более сенсационно).
Если господа из PVS-Studio хотят обратить на себя внимание путём скандальных сливов через одержимого ненавистью к TIZEN Нейдермана, то это далеко не лучший способ для обретения контактов с той же корпорацией Samsung.
Кстати, о Нейдермане. Случилось так, что видеозапись его "пламенной" речи на Kaspersky Security Summit мы просматривали в компании с врачом-психиатром. Последний сделал неутешительный вывод, что этот молодой человек, по меньшей мере, "слегка не в себе". 80% его нервного повествования занял не разбор ошибок в коде, а ни к чему не обязывающее описание продуктов Samsung на базе TIZEN, а также скабрезных шуточек на тему возгорания аккумуляторов в прошлогоднем флагмане Galaxy Note 7 (хотя какая связь может быть с отдельно взятыми аккумуляторами, Android-смартфоном Note 7 и TIZEN, не совсем понятно). И если уж израильтянин Нейдерман такой крутой специалист в области IT-безопасности (кстати, почему этот "гений" ещё не получил "нобелевку" за создание "ОС без единой ошибки"?), что без труда находит по "40 критических уязвимостей" за раз, то зачем ему понадобился какой-то русский анализатор кода TIZEN? Не потому ли, что этот "волшебник-недоучка" совсем не уверен в результатах своих изысканий? К тому же авторы скандальных сообщений о "брешах в TIZEN" вообще не указывают, какую версию системы они  исследовали. На подходе уже TIZEN 4.0, в которую внесены большие изменения и ликвидирована масса слабых мест. На этот счёт никаких пояснений "исследователи" не дают.
В свзи с вышеизложенным мы поговорили с несколькими экспертами по IT-безопасности в приватном режиме. Практически все, кто был посвящён в ситуацию вокруг TIZEN, указывают на то, что выстраивается весьма подозрительная цепочка связей между сливами в WikiLeaks (о якобы наличии "бреши" в смарт-телевизорах Samsung, хотя речь на самом деле шла о старых моделях без TIZEN), выступлением Нейдермана на Kaspersky Security Analyst Summit 2017, вбросом и тиражированием информации в мировых СМИ через скандальный ресурс motherboard.vice.com и российскими спецслужбами. В мировой прессе уже неоднократно указывалось на то, что и WikiLeaks и Kaspersky Lab. тесно связаны с российскими "силовиками".
Целенаправленные "сливы" информации (не всегда достоверной) через указанные структуры происходят не просто так. "Ростех" во главе с экс-КГБэшником Чемезовым проводит свои спецоперации (в данном случае против TIZEN) именно таким образом. Теперь на горизонте появляется некая контора PVS-Studio со своим открытым письмом и намёками на шантаж посредством Нейдермана.
Если на следующем "саммите Касперского по безопасности" вновь покажется господин Нейдерман и K' с очередными провокационными заявлениями, то практически не останется сомнений в том, что на TIZEN организована скоординированная атака, чтобы окончательно убедить "товарища президента РФ во вредности этой затеи".
Но если господа из PVS-studio оказались втянуты в указанную выше историю "по простоте душевной", то вряд ли это говорит об их интеллектуальной состоятельности.

Мы обратились к независимому IT-эксперту и консультанту нашего блга Николаю Изнову с просьбой прокомментировать новое возможное обострение ситуации вокруг TIZEN OS.

Корр.: В российских СМИ 1-2 года назад широко освещалось создание российской ассоциации TIZEN.ru и немало было сказано о том, что TIZEN OS считается наиболее безопасной открытой платформой, прошедшей все необходимые сертификации во ФСТЭК и даже ФСБ. Но потом вдруг всё резко изменилось и TIZEN была объявлена "самой худшей ОС" в плане безопасности (согласно широко растиражированной фразе Нейдермана, сказанной на "слёте соколов Касперского"). Не кажется ли вам всё это странным?

Н.И.: Мы уже говороили на эту тему пару раз и мне остаётся лишь внести некоторые дополнительные штрихи к нарисовавшейся картине.
Провокатор Нейдерман понадобился определённым людям для дискредитации новой ОС. Вы совершенно правильно отметили, что в этом кровно заинтересован "Ростех" и Минкомсвязи, пляшущий под дудку "силовиков".
До этого большинство российских специалистов говорило о хорошей защищённости TIZEN, а ИСП РАН предоставил Samsung лицензию на использование своего статического анализатора кода, благодаря чему, как утверждается, был выявлен ряд уязвимостей. Впрочем, далеко не все специалисты уверены в полезности таких анализаторов, называя их "тотализаторами", что намекает на "авантюрность" подобных инструментов.  Между прочим, Samsung заплатил ИСП РАН $10 миллионов за право использования их анализатора.

Корр.: И вот тут как из-под земли появляется "команда PVS-Studio" и предлагает "забесплатно" свой статический анализатор кода, предварительно слив его Нейдерману...

Н.И.: Ну да, "а если не возьмёте сие замечательное творение, то наш дружище Нейдерман расскажет новые ужасы про TIZEN". Наверное так рассуждают "маркетологи" в  PVS... Это весьма забавно.

Корр.: Таким образом, Samsung оказывается ещё и жертвой "межвидовых" разборок среди российских "айтишников"...

Н.И.: Вот именно. Но я думаю, что задача у всей этой гоп-компании более глобальная: не допустить, чтобы TIZEN стал конкурентом Sailfish. Здесь они нашли точку соприкосновения с Google и Apple, которые таже кровно заинтересованы в дискредитации TIZEN. Не удивлюсь, если выяснится, что тот же Нейдерман получает зарплату в Маунтин-Вью (там находится штаб-квартира корпорации Alphabeth/Google - ред.) или в "Лаборатории Касперского". А тут ещё и "тульские пряники" от PVS-Studio окажутся для Нейдермана большим подспорьем.
Кстати, неплохо было бы поинтересоваться, не является ли Kaspersky Lab. "иностранным агентом", кормящемся от подачек Google и Apple, представляющих "вражескую державу", о чём так любят поговорить в Кремле.

Корр.: Своими заявлениями Нейдерман фактически бросил тень на репутацию множества институтов и разработчиков, причастных к созданию TIZEN OS и проверке её безопасности. Почему не последовало никакой реакции с их стороны? Может быть даже имело смысл подать в суд на зарвавшегося юнца?

Н.И.: Со стороны Samsung реакция последовала, когда был опубликован достаточно пространный пресс-релиз относительно безопасности их смарт-телевизоров на TIZEN OS. Думаю это был вполне достойный ответ на "слив", распространённый через WikiLeaks.
Что касается Нейдермана, то крупные корпорации не вступают в заочные диалоги с такими "рыцарями-одиночками". Если господин Нейдерман считает, что обнаружил "критические уязвимости", пусть пишет на форум разработчиков и в случае подтверждения его выкладок получит соответствующее вознаграждение. Вот и всё.             

Корр.: Да, но похоже, что нас ожидает очередная волна критических воплей в адрес TIZEN, растиражированных в многочисленных СМИ, не утруждающих себя поиском истины, а просто тупо "копипастящих" алармистские заявления типа нейдермановских. Если этот "гуру безопасности" вновь объявится на каком-нибудь "Kaspersky Summit", шум поднимется с новой силой.

Н.И.: Понимаете, для таких гигантов как Samsung, что Нейдерман, что Касперский, что "Ростех" - это не более чем комары, пытающиеся кусать слона. Я бы всё-таки посоветовал не слишком реагировать на завывания в СМИ, о которых забывают уже на следующий день. Реальным доказательством каких-либо проблем с TIZEN могут быть только заключения независимых экспертов. А таковые могут последовать лишь в том случае, если в суды посыплются иски заявителей, пострадавших от уязвимостей в TIZEN. На сегодняшний день лично мне о таких случаях неизвестно, в отличие от скандальных историй с Android и iOS.
Анализатор PVS-Studio может обнаруживать хоть миллион "ошибок" в коде TIZEN, но пока не будет доказано на практике, что эти ошибки имеют место быть и кто-то реально пострадал из-за уязвимостей, за пределы досужих разговоров история не выйдет.
Тем не менее это не означает, что Samsung можно расслабиться. Они прекрасно осознают, что от безопасности TIZEN зависит вся построенная ими экосистема, поэтому таким вопросам будет уделяться ещё больше внимания.
Рядовым пользователям я бы советовал поменьше читать всякий вздор "про уязвимости", а просто грамотно пользоваться своими гаджетами, строго следуя инструкции по эксплуатации. Также надо принимать адекватные меры по защите своих смартфонов и прочей техники, не забывая устанавливать обновления и хорошие антивирусные программы. Тогда большинство проблем обойдут их стороной.

Корр.: Ну что же, надеюсь вы успокоили хотя бы часть напуганной "вирусными атаками" публики. Посмотрим как будут развиваться события дальше и до следующей встречи, где мы подведём итоги TIZEN-конференции, прошедшей в Сан-Франциско.

Н.И.: До скорого.