18 ответов в этой теме

[News Robot]

11 октября 2023 года

В популярных изданиях «Коммерсант» и CNews 10 октября были опубликованы материалы, содержание которых, как нам кажется, направлено на дискредитацию российских разработчиков ПО — прежде всего в области информационной безопасности. Мы решили разобраться: почему российское ПО в материалах статей названо опасным и как этот тезис аргументировали авторы.

«Российский софт оказался «дырявым» и небезопасным. Разработчики не успевают выпускать патчи — не хватает денег и опыта» — гласит заголовок CNews. Напомним, это не зарубежное, а российское издание. Заголовок кликбейтный и хорошо запечатлится в памяти тех, кто его увидит.

Доказательства и аргументы? Найти их в материалах обоих СМИ даже не стоит пытаться. Хотя тема серьезная, и вряд ли в этой сфере стоит упражняться в голословных утверждениях. И «Коммерсант», и перепечатавший его CNews приводят слова заместителя главы ФСТЭК Виталия Лютикова, говорившего о недостаточно быстрой реакции служб технической поддержки российских вендоров на запросы клиентов. При этом ни слова в цитате представителя ФСТЭК о «дырявости» и «опасности» российского софта нет. Все-таки закрытие уязвимостей в софте — задача не технической поддержки, а разработчиков софта.

Далее следуют комментарии компаний-разработчиков, двое из которых занимаются заказной разработкой и вряд ли имеют отношение к сертификации средств защиты информации во ФСТЭК России. Оставим на совести авторов обращение к этим компаниям, а не к тем, которых можно было бы заподозрить в разработке уязвимого и «опасного» софта в области ИБ. Наверняка именно заказные разработчики лучше осведомлены о ситуации в отрасли.

На основании ничем не аргументированных утверждений в обеих статьях четко формируется негативный образ российских разработчиков, которые медленно реагируют на обнаружение уязвимостей в собственном софте. Нет статистики и конкретных примеров — просто поверьте на слово. А приглашенные эксперты уверенно поясняют: «Это одно из многочисленных последствий 24 февраля 2022». То ли софт до этой даты был неуязвимым, то ли с началом СВО наступило прозрение и пришло понимание, что российские программисты не могут справиться с лавиной запросов, хлынувшей на них от соотечественников. Никого при этом не должно смущать, что до начала СВО многие российские программные продукты успешно продавались не только в России, но и за ее пределами, при том справлялись с вопросами и требованиями зарубежных заказчиков.

Особенно позабавил нас в «Доктор Веб» пассаж CNews о приостановленном и через несколько часов восстановленном сертификате соответствия ФСТЭК на наш главный продукт Dr.Web Enterprise Security Suite. Мы так и не выяснили, к чему эта история упомянута в статье, порочащей российских разработчиков, поскольку она полностью опровергает всё написанное до этого. Если предположить, что «Доктор Веб» добился восстановления сертификата всего за несколько часов, такое время реакции на инцидент достойно уважения.

Не хочется думать, что эти статьи заказные, хотя много моментов на это указывает. Хочется считать, что материал подготовлен не очень профессиональными журналистами, которые легко рассуждают об уязвимостях в софте, но не знают разницы между сертификатом безопасности и сертификатом соответствия. А говоря об устранении уязвимости в ПО, начинают рассуждать об эффективности работы служб технической поддержки.

Читать оригинал

[ant76]

 

11 октября 2023 года

В популярных изданиях «Коммерсант» и CNews 10 октября были опубликованы материалы, содержание которых, как нам кажется, направлено на дискредитацию российских разработчиков ПО — прежде всего в области информационной безопасности. Мы решили разобраться: почему российское ПО в материалах статей названо опасным и как этот тезис аргументировали авторы.

«Российский софт оказался «дырявым» и небезопасным. Разработчики не успевают выпускать патчи — не хватает денег и опыта» — гласит заголовок CNews. Напомним, это не зарубежное, а российское издание. Заголовок кликбейтный и хорошо запечатлится в памяти тех, кто его увидит.

Доказательства и аргументы? Найти их в материалах обоих СМИ даже не стоит пытаться. Хотя тема серьезная, и вряд ли в этой сфере стоит упражняться в голословных утверждениях. И «Коммерсант», и перепечатавший его CNews приводят слова заместителя главы ФСТЭК Виталия Лютикова, говорившего о недостаточно быстрой реакции служб технической поддержки российских вендоров на запросы клиентов. При этом ни слова в цитате представителя ФСТЭК о «дырявости» и «опасности» российского софта нет. Все-таки закрытие уязвимостей в софте — задача не технической поддержки, а разработчиков софта.

Далее следуют комментарии компаний-разработчиков, двое из которых занимаются заказной разработкой и вряд ли имеют отношение к сертификации средств защиты информации во ФСТЭК России. Оставим на совести авторов обращение к этим компаниям, а не к тем, которых можно было бы заподозрить в разработке уязвимого и «опасного» софта в области ИБ. Наверняка именно заказные разработчики лучше осведомлены о ситуации в отрасли.

На основании ничем не аргументированных утверждений в обеих статьях четко формируется негативный образ российских разработчиков, которые медленно реагируют на обнаружение уязвимостей в собственном софте. Нет статистики и конкретных примеров — просто поверьте на слово. А приглашенные эксперты уверенно поясняют: «Это одно из многочисленных последствий 24 февраля 2022». То ли софт до этой даты был неуязвимым, то ли с началом СВО наступило прозрение и пришло понимание, что российские программисты не могут справиться с лавиной запросов, хлынувшей на них от соотечественников. Никого при этом не должно смущать, что до начала СВО многие российские программные продукты успешно продавались не только в России, но и за ее пределами, при том справлялись с вопросами и требованиями зарубежных заказчиков.

Особенно позабавил нас в «Доктор Веб» пассаж CNews о приостановленном и через несколько часов восстановленном сертификате соответствия ФСТЭК на наш главный продукт Dr.Web Enterprise Security Suite. Мы так и не выяснили, к чему эта история упомянута в статье, порочащей российских разработчиков, поскольку она полностью опровергает всё написанное до этого. Если предположить, что «Доктор Веб» добился восстановления сертификата всего за несколько часов, такое время реакции на инцидент достойно уважения.

Не хочется думать, что эти статьи заказные, хотя много моментов на это указывает. Хочется считать, что материал подготовлен не очень профессиональными журналистами, которые легко рассуждают об уязвимостях в софте, но не знают разницы между сертификатом безопасности и сертификатом соответствия. А говоря об устранении уязвимости в ПО, начинают рассуждать об эффективности работы служб технической поддержки.

Читать оригинал

 

Как пользователь иностранного ПО Eset (сидел на нем более 10 лет) и попользовавшись вашим продуктом заявляю, что вам есть куда стремится. Eset на голову технологичнее и удобнее в плане использования. Например, Eset перезагружается только когда обновилась версия ПО, при обновлении модулей не просит перезагружать компьютер (у вас же это слишком часто требуется при обновлении модулей). Файрвол удобнее, так как нет такого надоедливого режима, когда на каждый чих требует разрешения у пользователя, удобнее правила исключения создавать  - есть галка сразу дочерние процессы приложения добавлять (у вас же каждое отдельно добавлять нужно), Eset умеет уже работать с протоколами HTTP/2 HTTP/3 для зашифрованных соединений, сертификаты сразу добавляет во все поддерживаемые браузеры и в Firefox тоже (у вас до сих пор как выяснилось нет поддержки HTTP/2, Firefox нужно отдельно добавлять сертификат), плюс в самой программе можно нажатием кнопки перевыпустить сертификат для браузеров для поддержки сканирования зашифрованного трафика (у вас нет такого), плюс есть нативная 64 битная версия для Windows (у вас нет). Программа бета тестирования удобнее (у вас сейчас вообще не понятно куда сообщать об ошибках и предложениях, то что указано на сайте бета тестирования устарело - баг трекер больше не доступен). Так что есть вам куда развиваться. Почему иностранцы давно смогли, а вы нет???

[ant76]

И к тому же раз вы обратили на это внимание (статья), значит вас это как-то задело.

[VVS]

Как пользователь иностранного ПО Eset (сидел на нем более 10 лет) и попользовавшись вашим продуктом заявляю, что вам есть куда стремится. Eset на голову технологичнее и удобнее в плане использования. Например, Eset перезагружается только когда обновилась версия ПО, при обновлении модулей не просит перезагружать компьютер (у вас же это слишком часто требуется при обновлении модулей).

С моей точки зрения это свидетельствует об одном из двух (или о том и другом):
1. Слишком редко вносят улучшения/исправления в продукт.
2. Продукт "слабо внедрён" в систему, так что может быть "обойдён" малварью.
 

И к тому же раз вы обратили на это внимание (статья), значит вас это как-то задело.

А почему подтасовывание фактов не должно задеть?

[ant76]

 

Как пользователь иностранного ПО Eset (сидел на нем более 10 лет) и попользовавшись вашим продуктом заявляю, что вам есть куда стремится. Eset на голову технологичнее и удобнее в плане использования. Например, Eset перезагружается только когда обновилась версия ПО, при обновлении модулей не просит перезагружать компьютер (у вас же это слишком часто требуется при обновлении модулей).

С моей точки зрения это свидетельствует об одном из двух (или о том и другом):
1. Слишком редко вносят улучшения/исправления в продукт.
2. Продукт "слабо внедрён" в систему, так что может быть "обойдён" малварью.
 

И к тому же раз вы обратили на это внимание (статья), значит вас это как-то задело.

А почему подтасовывание фактов не должно задеть?

 

Изменения в продукт чаще вас вносят и функционал расширяют. В систему продукт нормально внедрен. Ни разу проблем не было. Хватит уже мантру тоже повторять "у нас всё хорошо, это у них там проблемы". Так что видимо регулятор тоже не на пустом месте претензии имеет к разработчикам.

[ant76]

Та же 12.5 версия у вас сколько в стадии бета версии??? Уже явно минимум года 2 висит и так и нет выпуска стабильной версии. Eset каждый квартал новую версию выпускает, сначала в конце года мажорную версию с значительным количеством изменений и расширением функционала, далее минорные версии идут последующие два квартала и потом опять мажорная версия.

Сообщение было изменено ant76: 11 Октябрь 2023 - 21:19

[VVS]

 

 

Как пользователь иностранного ПО Eset (сидел на нем более 10 лет) и попользовавшись вашим продуктом заявляю, что вам есть куда стремится. Eset на голову технологичнее и удобнее в плане использования. Например, Eset перезагружается только когда обновилась версия ПО, при обновлении модулей не просит перезагружать компьютер (у вас же это слишком часто требуется при обновлении модулей).

С моей точки зрения это свидетельствует об одном из двух (или о том и другом):
1. Слишком редко вносят улучшения/исправления в продукт.
2. Продукт "слабо внедрён" в систему, так что может быть "обойдён" малварью.
 

И к тому же раз вы обратили на это внимание (статья), значит вас это как-то задело.

А почему подтасовывание фактов не должно задеть?

Изменения в продукт чаще вас вносят и функционал расширяют. В систему продукт нормально внедрен.

Судя по написанному Вами - нет.
 

Хватит уже мантру тоже повторять "у нас всё хорошо, это у них там проблемы".

Я не писал, что "у нас всё хорошо".
Я не писал, что "у них там проблемы".
Я просто сделал выводы из написанного Вами.
 

Так что видимо регулятор тоже не на пустом месте претензии имеет к разработчикам.

Судя по написанному на CNEWS, эти претензии не технического характера.

[VVS]

Та же 12.5 версия у вас сколько в стадии бета версии??? Уже явно минимум года 2 висит и так и нет выпуска стабильной версии. Eset каждый квартал новую версию выпускает

Ну что я могу сказать?

Значит у ESET маркетологи лучше, чем у доктора.

[ant76]

Плюс у той же Eset удобное приложение для телефона и отдельный портал сделан для управления лицензиями. По каждой лицензии выдается информация на сколько устройств расчитана, до какого срока действует, на скольких устройствах уже активирована и имена устройств. Плюс программу и для ПК и для телефона можно активировать через вход в учетную запись и там уже из привязанных лицензий выбрать нужную. У вас же для Андройд Dr.Web по подписке нужно самому скачать с вашего сайта установочник (установка из других источников в Андройд не безопасная штука) и только потом программа активируется. Почему нельзя сделать так же как в Eset? Скачал из магазина приложений приложение, вошел в учетку свою с логином и паролем и программа активировалась.

[maxic]

ant76, вы просто не очень в предмете разбираетесь (я имею в виду Dr.Web), поэтому и претензии/вопросы у вас... странные.

Например, относительно 64-битной версии продукта. Ну неправда же. Однако вы "на голубом глазу" утверждаете.

Касаемо беты. Магия цифр побеждает здравый смысл? Вот у меня стоит релизный Dr.Web 13.0 (могу показать скриншот), как-то это влияет? Нет. Так какая разница, как будут нумероваться обкатываемые в тестировании модули?

По прочим пунктам, которые показывают знание предмета - тоже... "такое себе". А вот у меня юзеры с корпоративной версией тоже не видят никаких предложений о ребуте. Ибо незачем. Со временем так или иначе перезагружаются все.

Всякие сервисные штуки типа личного кабинета и входа по учетке - безусловно, удобные и вкусные плюшки. Я сам AdGuard так активирую - входом в учетку.

[basid]

В систему продукт нормально внедрен. Ни разу проблем не было.

В четвёртой и пятой версии ESet проверка HTTP-трафика была сделана через анус: только одно ядро и не более двухсот подключений.

Создание исключений вообще ничего не меняло и требовалось полностью отключить интеграциию проверки сетевого трафика. Что, кстати, требовало перезагрузки.

Может быть "когда-нибудь потом" ESet и доработал этот модуль, но такая реализация в десятые годы двадцать первого века - это какой-то позор.

[Afalin]

Изменения в продукт чаще вас вносят и функционал расширяют. В систему продукт нормально внедрен.

Ну да, изменения вносят, только ядерные модули обновляются когда-либо потом, когда таки случится перезагрузка. Просто потому, что не всякий модуль можно на ходу из ядра вытащить и заменить другим.

Та же 12.5 версия у вас сколько в стадии бета версии???

Про понятие "rolling release" слышали? Видимо, нет.

У вас же для Андройд Dr.Web по подписке нужно самому скачать с вашего сайта установочник (установка из других источников в Андройд не безопасная штука) и только потом программа активируется.

Не знаю, как сделано в том месте, которым пользуетесь Вы, но полноценная интеграция позволяет делать именно так – скачивать из какого-либо гугл-плея и скармливать полученный от AV-Desk конфиг с реквизитами. В том, который alpha.saas.drweb.com, емнип, это так и не сделали.

[maxic]

Afalin, емнип версии с плея не умеют работать в режиме централизованной защиты.

[Afalin]

Afalin, емнип версии с плея не умеют работать в режиме централизованной защиты.

Умеет, емнип. Если это не лайт.

[maxic]

Afalin, я давно не ставил с маркета, но давно уже версии отличались тем, что в маркет версиях порезан функционал, в том числе и возможность работать в режиме централизованной защиты. Проверю при случае.

[Afalin]

maxic, мне казалось, что резали только телефонный антиспам или что-то в этом духе, исключительно из-за гугловых правил.

[ant76]

Afalin, я давно не ставил с маркета, но давно уже версии отличались тем, что в маркет версиях порезан функционал, в том числе и возможность работать в режиме централизованной защиты. Проверю при случае.

Я ставил с маркета и с вашего сайта и разницы никакой в функционале не обнаружил. Системы активации через учетку опять же нет, только ввод ключа лицензии, но вот таким образом не активировать продукт по подписке установленный с маркета. А с вашего сайта потом обновления продукта до новых версий не прилетают, т.е опять же нужно будет скачивать apk файл и устанавливать вручную. В общем не удобно реализовано.

[ant76]

maxic, мне казалось, что резали только телефонный антиспам или что-то в этом духе, исключительно из-за гугловых правил.

Почему бы тогда не разместить в Rustore??? Там вроде нет таких ограничений и наш отечественный магазин приложений.

[Afalin]

Системы активации через учетку опять же нет

Вы хотите, чтоб один продукт повторял в точности нечто из другого продукта? На это рассчитывать не стоит. Одна и та же задача имеет обычно несколько решений.

Например, нафиг вообще нужна какая-то учётка? Мне неведомо. По-моему, это нечто лишнее, по рукам надо дать тому, кто требует учётки.

только ввод ключа лицензии

Сам проверять не буду, но если верить документации – это не так. "Режим централизованной защиты" – вот эта сущность в подписочной модели используется.

А с вашего сайта потом обновления продукта до новых версий не прилетают, т.е опять же нужно будет скачивать apk файл и устанавливать вручную. В общем не удобно реализовано.

Тут снова зависит от того, откуда оно скачано. Если это вариант "централизованной защиты", то там обновление apk прилетает.

Почему бы тогда не разместить в Rustore???

Я не в курсе, почему. В курсе только, что в HUAWEI AppGallery его присутствие тоже заявлено.