Comments 96
Ну ещё конечно же вероятность подделки или копирования ЭЦП.
А так просто неравнодушно поинтересовался насчёт безопасности вашей системы, как человек со стороны)
Конечно вам нужно обеспечить безопасность закрытого ключа, кроме того в целевой системе должен администратором быть размещен открытый ключ. Только тогда ПО запустится…
Иначе бы ФСТЭК России вряд ли сертифицировала Astra Linux на обработку данных, составляющих гостайну.
Это не аргумент а АРГУМЕНИЩЕ. При современных методах распила госбабла это скорее минус чем плюс.
А почему вы используете ФСТЭК как атрибут чего-то, связанного с надёжностью? Я знаю, что у них есть следующие атрибуты:
- Ассоциируется с РФ
- Является представителем "силовиков"
- Состоит из госслужащих и военных.
Ни один из этих атрибутов не ассоциируется с компетенцией, авторитетом и экспертизой. Где их коммиты? Где публичное review их результатов работы?
authority through obscurity?
В РФ работы с вязанные с безопасностью ПО подпадают под закон о лицензируемых видах деятельности, соответственно есть конторы в штате которых есть специалисты которые проводят экспертизу на соответствие требованиям регуляторов (ФСТЭК, ФСБ, МО). Специалистам как правило не выгодно свою подпись ставить под откровенной ерундой, и требования регуляторов по большей части выполняются. Работают там такие же обычные инженеры как и везде, не надо думать что если это для госухи дистр то какие-то упыри в подвалах печатают липовые сертификаты чтобы отмыть деньги. Все достаточно открыто для человека который интересуется, все стандарты есть на сайте ФСТЭК
… круто. Где их код, где review?
Всё остальное — это рассказы о том, как одни сертифицированные специалисты выписывают сертификаты для других сертифицированных специалистов в рамках исполнения сертификационного процесса по выписыванию сертификатов в соответствии со стандартом выписывания сертификатов сертифицированным сертифицированными специалистами.
Очередные сертифицированные специалисты проводящие сертификацию сертификационного процесса.
Где публичный код и ревью?
В болоте проприетарного кода.
Скажите, у вас есть слово "Linux" в названии? Я вот вижу. Может быть, вам "astra" всё закрыла проприетарной звездой, но я всё-таки вижу слово Linux.
Давайте же посмотрим на то, как это принято делать у серьёзных вендоров.
Вот так вот делается меритократия:
Баг: https://bugzilla.redhat.com/show_bug.cgi?id=971553
Патч: http://git.kernel.dk/?p=linux-block.git;a=commit;h=4997b72ee62930cb841d185398ea547d979789f4
Тред публичного обсуждения фикса: https://lkml.org/lkml/2013/5/17/418
А вот так вот делается сертификатопоклонничество:
Публичные багрепорты. Публичные репозитории. Публичное review.
Не сертфицированные специалисты в сертифицированном ведомстве. Публика. Люди. Народ. Источник власти, etc, etc.
Проблема в том, что вы чиновникам и силовикам доверяете. Вы считаете, что они компетентные, умные, честные, и работают изо всех сил.
А я считаю — что [319 УК РФ], так что [280], [282], [148], [130].
И получается, у нас изначально разные представления о том, как должна происходить работа с opensource. Я считаю, что opensource — это результат коллективной работы хаккеров и анархистов от кода, а вы — что это результат проявления служебного рвения со стороны сертифицированных сотрудников сертфицированного ведомства.
Отсюда и непонимание, а так же [1-1337 УК РФ]
Я проецирую его на workflow "программного продукта", который закладывается на "государство в целом", вместо того, чтобы опираться на комьюнити, которое этот продукт написало.
… И не надо про ту часть, которую вы написали. Она пренебрежима мала на фоне количества кода, которое вы берёте у комьюнити.
Нет, к вашему workflow. Вы утверждаете, что ваш workflow работает, хотя он целиком и полностью противоречит модели разработки большей части используемого вами ПО.
Нет ни одной причины полагать, что ваш workflow сколь-либо продуктивен, и есть масса примеров из соседних индустрий, в которой в ракеты кувалдами разъёмы забивают.
www.linuxfoundation.org/blog/2016/08/the-top-10-developers-and-companies-contributing-to-the-linux-kernel-in-2015-2016
1) Все изменения публикуются на проверку сообществом;
2) Сообщество разработчиков создаётся своё для своих же нужд. Так сказать, ОборонНет-комьюнити с участниками не ниже 3-ей формы допуска.
Какие вы видите альтернативы и пути их достижения?
Хотя когда в clodo я делал безопасный хостинг астра не пошла у меня. Потому что если нужен доп софт, который есть в репах дебиана и нет почему-то в астре на диске — то ответ был такой: собери сам. А мне тупо не было пакета vlan… Может еще чего-то не хватало.
А еще в Альте с плане автоматической установки их инсталлер на scheme это жесть… Помню чтобы 6 альт поставить автоматом с нужной разбивкой по диску и тп мне пришлось извратиться.
Бумажка высоко ценится, ведь если человек с трёхэтажными регалиями, посещающий «овальный» кабинет в здании Дома Правительства Российской Федерации в костюме-тройке и красиво вещающий про «современные технологии» с лазерной указкой на коллаже диаграмм, ещё может вызвать умное кивание головами «коллег» словом «сертификат», то инженер советской закалки, вещающий об отсутствии стандартов разработки и единых форматах, лишь вызовет на рядах праздную болтавню «деловых людей», не имеющих никакого отношения к процессу разработки.
Они же пришли ходить по ковровым дорожкам, любоваться на хрустальные светильники, деревянные поручни, российский герб в два этажа высотою над центральной лестницей, заводить связи, дающие гарантию трудоустройства, если на своём предприятии бюджет треснет по швам, а 80% разработчиков уволятся нафиг.
Сертификат — это не о достоверности, а о бюрократии: «Без бумажки ты — букашка, а с бумажкой — человек!». Единственное, что может засвидетельствовать сий документ — факт успешного исполнения приложения, вызовы которого лепятся в начало каждой функции/метода и сыплющего бессмысленный лог о процентном применении данных функций. Если всё бьётся с цифрами лимитов в правилах, значит все довольны, военпреды тоже — можно пилить…
Сертификат не является доказательством качества ПО.
Версии ядра разные? Привет сертификатам!
Согласен, на AL 1.6 с его вырвиглазно красным desktop-ом (главное — звезда в пол экрана!) подобной проблемы нет. Там есть проблема убитого при помощи selinux-а usability и гарантированно едущих переменных окружения при ручном создании пользователя…
Привет хвалёной безопасности! Даже у страшного, как ядерная война, МСВС-а с его колхозной «мандатной» библиотекой таких извращений не наблюдалось! Согласен, у Альта с этим тоже не порядок, но там хотя бы нет строгой ориентированности на «оборонку».
в Астре нет selinuxНу, внешнее проявление его сильно напоминает, что не отменяет. Шаг влево, шаг вправо… Из-за чего приходилось вырывать демоны с корнем, пересобирать ядро, чтобы оно начало себя вести как нормальный GNU/Linux.
Впрочем, закроем уже бесцельный спор. Я не собираюсь выписывать весь опыт работы с «оборонными» дистрибутивами GNU/Linux, гордо называемыми «российскими операционными системами» по баг-треккерам. Хватило общения с ними по горло…
Астра в этом плане кажется более закрытой.
Я общался с Базальт СПО (AltLinux) и бывал в гостях в офисе и на конференциях. Придраться-то есть к чему, тоже далеко не всё в порядке. Но там чувствуется исключительно коммерческое основание компании, не оборонное.
Дело в том, что Базальт СПО (ранее «Альт Линукс») — это в прошлом российское отделение Mandrake (франция). Но ещё задолго до загибания мейнстрима они послали основной офис куда подальше, основав свою компанию и свой дистрибутив. Mandrake не спасло даже превращение в Mandriva куском коллектива разработчиков — тоже загнулись. Как следствие, АльтЛинукс стали мейнстримом сами по себе, но плотно встроенным в сообщество.
РусБитТех же с самого начала не имели такой привязки, а потому создали форк дебиана на оборонный манер (Смоленск), оставляя в доступе открытую версию (Орёл). По ряду моментов они «обогнали» конкурентов на низком старте. В частности по заточке на планшет, а сейчас и мобильники. Но у них та же проблема, что и у большинства оборонных разработок, основывающихся на Open Source — слабая связанность с этим сообществом.
И дело не в желании/нежелании, а в финансовой стороне вопроса — с точки зрения военного заказчика, Open Source не существует. Есть закрытая разработка отдельного оборонного предприятия и всё. И чем дальше отрывать дистрибутив от основания, тем больше потом потребуется усилий для внедрения в него дополнительного ПО, а поддержка связи с сообществом тормозит развитие продукции.
Дилемма, однако… Почему и говорю: для «оборонки» необходимо разрабатывать ОС целиком с нуля.
Простите, но есть вещи, которые никто и никогда не сделает публичными.
Во-первых, это источник заработка денег (не только в России; не поверите, но индустрия харденинга на так любимом вами Западе абсолютно закрыта и внутренние методики находятся как минимум под NDA, а, как максимум, относятся к государственной тайне и выполняются под кураторством милых людей).
Во-вторых, у них внутри есть системы обратной связи, призванные устранить балабольство и раздолбайство. В так любимом вами опенсурсе балабольства и раздолбайства намного больше, ведь это just for fun, а не хождение под отзывами лицензий и уголовными наказаниями.
В-третьих, если вы немного посмотрите на современные руководящие документы, находящиеся в открытом доступе, то поймёте, что по-настоящему такие проверки пройдёт только хорошо написанный код. Не отлично написанный, но хорошо написанный.
А если вы хоть раз столкнётесь с сертификацией ПО по общим критериям, и хоть раз пройдёте квест от формирования заявки и получения предписания до выдачи сертификата, то эти ваши популистские вопросы отпадут сами собой.
Есть проклятие знания, вымывающее из дискурса хорошо известное наполнение, а есть проклятие незнания, добавляющее в дискурс мифологемы, страшные или сюрреалистичные ровно настолько, насколько в голове незнающего реальность замещена воображаемым.
Знания в области информационной безопасности получаются путём личного общения, за которое надо платить. Это некий входной ценз в область, которая специально отделена от общественного обсуждения, т.к. предмет обсуждения не должен становиться достоянием общественности.
Если вы будете задавать вопросы о инфобезе на популярных англоязычных площадках, то к вам обратятся сначала владельцы ресурсов, а, потом, милые немногословные ребята. Вы же пробовали этот путь прежде чем билингвально неистовствовать в комментариях, да?
:)
А если вы хоть раз столкнётесь с сертификацией ПО по общим критериям, и хоть раз пройдёте квест от формирования заявки и получения предписания до выдачи сертификата, то эти ваши популистские вопросы отпадут сами собой.
Свозить проверяющих на охоту вымирающего вида и угостить Хеннеси в дорожку не способствует качеству проверяемого ПО, особенно когда из всей работы там перекрашенные лейблики. По крайней мере мой опыт МСВС говорит об этом, не вижу причин почему астра будет отличаться.
не вижу причин почему астра будет отличаться
Оно, таки, отличается: Проверка по бумажкам, наличие по пунктам, проход по методике испытаний. Внешне работает? Отлично, закорючка военпреда в протоколе. Далее автоматом понатыкать при помощи софтины сигналов для лога во все функции, убрать то, что ломает сборку, отчитаться о причинах выпиливания таблицей, сделать прогон, свести статистику вызовов и сверить с табличкой по методике для института сертификации. Отлично, закорючка военпреда в протоколе. Ах, да! Забыл про собрать умных «конструкторов» перед огромным ЖК-«ящиком» в пол стены, показать софтинку, дать ставленникам от конкурентов в составе комиссии время поковырять заботливо записанные в блокнот ошибки, а уже дальше все прелюдии с застольями и разговорами.
Много опыта чувствуется в этих словах...
Я общался с Базальт СПО (AltLinux) и бывал в гостях в офисе и на конференциях. Придраться-то есть к чему, тоже далеко не всё в порядке. Но там чувствуется исключительно коммерческое основание компании, не оборонное.
Дело в том, что Базальт СПО (ранее «Альт Линукс») — это в прошлом российское отделение Mandrake (франция). Но ещё задолго до загибания мейнстрима они послали основной офис куда подальше, основав свою компанию и свой дистрибутив. Mandrake не спасло даже превращение в Mandriva куском коллектива разработчиков — тоже загнулись. Как следствие, АльтЛинукс стали мейнстримом сами по себе, но плотно встроенным в сообщество.
РусБитТех же с самого начала не имели такой привязки, а потому создали форк дебиана на оборонный манер (Смоленск), оставляя в доступе открытую версию (Орёл). По ряду моментов они «обогнали» конкурентов на низком старте. В частности по заточке на планшет, а сейчас и мобильники. Но у них та же проблема, что и у большинства оборонных разработок, основывающихся на Open Source — слабая связанность с этим сообществом.
И дело не в желании/нежелании, а в финансовой стороне вопроса — с точки зрения военного заказчика, Open Source не существует. Есть закрытая разработка отдельного оборонного предприятия и всё. И чем дальше отрывать дистрибутив от основания, тем больше потом потребуется усилий для внедрения в него дополнительного ПО, а поддержка связи с сообществом тормозит развитие продукции.
Дилемма, однако… Почему и говорю: для «оборонки» необходимо разрабатывать ОС целиком с нуля.
Очень много Подходов и Сертификации, и очень мало реальной работы. Обычно статьи про hardening полны интересных аббревиатур, вроде stack canaries, ALSR и т.д., а тут — тонущие модельки подводных лодок, КЗС и апдейты раз в квартал.
- Архитектура и возможности средств защиты информации на основе LSM (сравнение других решений с астрой) www.youtube.com/watch?v=AtVjWAm_s9Q
- Реализация мандатного контроля целостности www.youtube.com/watch?v=A_3dlCdmQ3k
Исключение составляют первые 3 десятка строк, которые выполнены (предположительно) Вашими сотрудниками. Из этих строк лишь 3-4 ассоциируются с закрытием уязвимостей. Как прокомментируете?
Вы почему-то исключаете это из рассуждений, хотя речь идет о дистрибутиве а не только о ядре. Конечно обычному пользователю это не нужно, тем более если вы не знаете что там за СЗИ и зачем они нужны… Не понимая сути тематики невозможно понять зачем Астра когда можно поставить было Debian…
Реализуемые всеми без исключения игроками на рынке «отечественных» ОС СЗИ направлены исключительно на формальное покрытие РД. Вот никаких сомнений в формальной стороне дела у меня нет. При этом, как вы должны знать никакие РД не покрывают банальные уязвимости. Реальная история — поломали умники штатный сервис конкретной реализации, перехватили root и опубликовали уязвимость в виде howto. Заказчик негодуэ и требует фиксов тут никакой сертификат МО прямое требование не покрывает.
А вот про графическую среду давайте поподробнее. Свой Xorg? Свои кеды/гномы/юнити? Не могу в это поверить — это годы кропотливой работы на несколько крупных отделов. Свои шкурки иксов, оконной оболочки — да, вполне. Но к уязвимостям это отношения не имеет в 99% случаев.
защита у нас реальная, а не формальная.
в Астре своё DE, написанное самими, и да, это годы работы.
Графическая среда — это талеко не только замена plasma для kde. Это все в совокупности: оконное окружение, десктопное, графическая подсистема и многое ещё. Так-то да, есть к примеру проект TDE. Также плазму заменяет — но он не претендует на ~20% кода дистрибутива.
Или вы по количеству строк считаете?
А пока по количеству нестандартных пакетов будет надёжнее. Термин «инструмент» в равной степени можно ассоциировать как со скином к стандартной утилите, так и с многокомпонентным большим проектом исходя из целей утверждающего. Насчитаете 20% полностью отличных от debian — истина на вашей стороне.
Сами по себе сообщества ядра Линукс или ГНУ не являются просто толпой единомышленников. В их основе лежат юридические лица, образованные на территории США и в его правовом поле. Следовательно, у этих организаций есть все реквизиты юридических лиц – устав, банковские счета, штатное расписание, уставной фонд, а также другие фонды (точная структура в данном случае не имеет значения). Сотрудники этих организаций получают зарплату. Однако, поскольку эти организации являются Non-Profit, они не могут являться инструментом получения прибыли. В них нельзя вложить деньги и получить добавленную стоимость на их продукцию. Следовательно, такие организации не являются налогоплательщиками.
Продукция, которую производят эти организации совместно с мировым сообществом, является интеллектуальной собственностью этих организаций. Со всеми основными принципами частной собственности: Правом владения, Правом распоряжения и Правом пользования. Поскольку подобные сообщества исповедуют принцип «свободности», они лицензируют свою интеллектуальную собственность так, чтобы сообщество могло её «свободно использовать» (например, лицензия GPL или Attribution-ShareAlike 4.0 International (CC BY-SA 4.0)). Эти лицензии (в общем) дают всем желающим только одно право из трёх: Право пользования.
У нашей страны отдельные правовые институты, в следствие чего любая продукция, не предназначенная на экспорт в зоны действия американского законодательства может смело игнорировать права иностранных организаций, и фактически владеть, распоряжаться и пользоваться этой ИС. Вряд ли эти общественные организации в обозримом будущем зарегистрируются в правовом поле нашей страны.
Однако, интеллектуальная собственность этих сообществ является предметом вожделения многих крупных частных компаний, вроде Микрософт, Гугл, Амазон. На примере того же ГитХаб, а также некоторых других сообществ, мы видим, каким образом интеллектуальная собственность переходит от сообществ к крупным компаниям. А вот у крупных компаний уже есть юридические лица, образованные в правовом поле нашей страны. И их интеллектуальная собственность защищена уже в Российском правовом поле.
В этом случае, просто скачать ядро или LSB (Linux standard base) уже не получится. Именно поэтому и возник мой вопрос, в отношении «плана Б» в случае недоступности ядер Линукс.
Ещё раз прошу прощения за вопросы не совсем по теме, однако меня уже много лет волнуют вопросы существования Российских операционных систем. Не могу не воспользоваться возможностью задать такие вопросы их разработчикам.
Нарушения экспортного контроля вроде как нет. Сырцы то общедоступны.
У меня есть вопрос про обязательную проверку ЭЦП исполняемых файлов, и, уверен, разработчикам Астра Линукс он не понравится. Значит, надо задать.
Вы пишете, что можно настроить проверку подписи исполняемого файла при запуске. Таким образом, в системе возможно выполнение лишь одобренного администратором ПО.
А что насчет скриптов? Допустим, в системе установлен имеющий цифровую подпись интерпретатор Питон.
Пример 1. Я, злоумышленник, пишу скрипт на Питоне, маскирую его под документ и уговариваю пользователя Астра Линукс скачать мой скрипт и дважды на нем кликнуть. Допустим, что с расширением .py ассоциирован интерпретатор Питона, получается, мой код запустится и передаст конфиденциальную информацию с компьютера пользователя?
Пример 2. Если двойным кликом скрипт запустить нельзя, я уговариваю пользователя открыть терминал либо окно запуска произвольной программы (аналог Пуск -> Выполнить bp Windows) и ввести туда python important.doc.py.
Примеры программ, способных исполнять неподписанные скрипты или скрипто-подобные программы: bash, sh, csh, perl, python, php, ruby, java (способен исполнять байт-код).
Насчет этих программ я не уверен: sed (есть почти в любом линуксе, умеет создавать произвольные файлы командой w/W), find (может выполнять произвольные shell-команды), gawk (способен подключать произвольные динамические бибилиотеки и вызывать функции из них).
У многих open-source программ в зависимостях указываются подобные интерпретаторы. Защищена ли Астра от такой атаки? Не получится ли так, что администратор, устанавливая текстовый или графический редактор, установит и интерпретатор?
Плюс есть еще макросы в libreoffice, скрипты-расширения к gimp и audacity.
Также, еще один вопрос. Вы описываете всякие мандатные системы разграничения доступа, работают ли они только в пределах локальной машины или же в пределах сетевого домена? Если пользователям необходимо использовать сервер с расшаренными папками, защищены ли данные на нем от пользователя, получившего локально права администратора?
Вопрос номер три: поддерживает ли идущий в комплекте с астра линукс браузер установку сторонних расширений, которые могут содержать недокументированный функционал? Например, Хромиум и Фаерфокс их поддерживают. Имеются ли для администратора галочка в графическом интерфейсе для блокировки установки неодобренных расширений? Так как без этого ограничения можно убедить пользователя установить вредоносное расширение, и оно будет собирать информацию, которую пользователь просматривает в браузере.
А так, я рад, что используется линукс, а не какая-нибудь проприетарная винда под честное слово майкрософт, что она ничего не сливает.
1. Скрипты подписываются в расширенных атрибутах файловой системы (в статье это видно на скриншоте);
2. В Astra Linux имеется системная блокировка интерпретаторов и макросов;
3. Для блокировки расширений можно запускать firefox в песочнице, все необходимое для этого в Астре есть
4. Мандатные атрибуты работают в нашем домене со всем основными сервисами (корпоративные веб сервер, почтовый сервер, сервер печати и так далее).
У вас, как я понял из скриншота, можно указать шаблоны имен файлов, для которых проверяется подпись в атрибутах, вроде *.py. Видимо, это "черный список": проверяется только то, что указано в этом списке.
Но что, если злоумышленник назовет свой скрипт important.doc и попросит пользователя набрать команду python important.doc? А если он попросит набрать java report.xls (файл с байт-кодом внутри и расширением xls)?
Также, блокировка интерпретаторов включает в себя блокировку оболочек вроде bash, через которые можно запускать скрипты командой bash script.sh, и интерпретатора java?
Интерпретаторы, на мой взгляд, это слабое место системы подписи исполняемых файлов.
немного магии по ссылкам:
youtu.be/VfFjvouWNTE (блокировка для пользователя)
youtu.be/iXL43JALOvM (блокировка для рута)
Как мы закрываем уязвимости в ОС Astra Linux Special Edition