Сканер ВС — это не просто еще один дистрибутив linux

    А что же это тогда, спросите вы. Это дистрибутив linux, который является сертифицированным ФСТЭК средством аналаза защищенности автоматизированных систем, не содержащих государственную тайну. Звучит достаточно солидно, получить сертификат ФСТЭК весьма непросто.
    Производит сие чудо инженерной мысли некое НПО Эшелон (осторожно, суровый web 0.9 и анимированная гифка). Если отбросить шутки в сторону компания достаточно известна как разработчик аппаратных средств защиты информации (Защита от ПЭМИН и всякое такое) Теперь заходим на сайт самого сканера. Как только мы налюбуемся на левую треть экрана и посетуем, что не все желаемые темы раскрыты (утонченные особы ещё могут получить удовольствие, посмотрев код, показывающий картинки в исходниках страницы) можно переходить к делу. Открываем страницу с описанием и видим:
    Определение топологии и инвентаризация ресурсов сети

    С помощью Сканера-ВС можно производить инвентаризацию ресурсов сети, контролировать появление сетевых сервисов.

    Поиск уязвимостей

    Сканер-ВС позволяет сканировать сетевые сервисы на известные уязвимости.

    Локальный и сетевой аудит стойкости паролей

    Сканер-ВС содержит мощные средства локального аудита паролей для операционных систем семейства Windows (NT, 2000, 2003, 2008, XP, Vista, 7) и Linux (МСВС, Linux XP, Astra Linux и др.).
    Сканер-ВС поддерживает возможность подбора паролей по более чем 20-ти сетевым протоколам (HTTP, SMTP, POP, FTP, SSH и др).

    Обычный функционал для обозначенных целей. Единственный известный мне сертифицированный конкурент (XSpider) делает примерно то же самое. Но посмотрим на реализацию. Сайт любезно предлагает нам скачать демоверсию, которая обещает работать до апреля 2011 года (например, отсюда). Загружаем и видим примерно такую картинку.
    . Вид нижней панели вселил в меня сомнения: очень уж знакомыми показались некоторые ярлычки программ со странно звучащими названиями «сканер сети» «сканер паролей. После просмотра настроек панели подозрения подтвердились

    Вот так вот оно и выглядит — все становится на свои места.
    Впрочем, пока ничего криминального ну продают ребята свободное ПО — дело хорошее. Популяризация СПО, сертификация опять же. Да и в техническом описании они честно перечисляют программы, которые послужили основой их творений.
    НО криминал все-таки есть. Находится он в лицензионном соглашении (В свободном доступе его нет, можно обратиться по емейлу к продажникам.). Некоторые пункты просто великолепны.
    3.Вы обязуетесь не распространять ПО. Под распространением ПО понимается предоставление
    доступа третьим лицам к воспроизведенным в любом формате компонентам ПО, в том числе по
    сети и иными способам, а также путем проката, сдачи в наем или предоставлением займа.

    6.Вы не можете позволить осуществлять следующие действия:
    — нарушать условия, оговоренные в настоящем соглашении;
    — разделять ПО на составляющие части для использования их на разном оборудовании;
    — пытаться декомпилировать (преобразовывать объектный код в исходный текст) любую часть
    программ, входящих в состав ПО;
    — вносить какие-либо изменения в объектный код программ;
    — совершать относительно ПО другие действия, нарушающие Российские нормы по авторскому
    праву и использованию программных средств.

    Я отдаю себе отчет, что в соглашении нет названия продукта, и есть вероятность, что менеджер, выславший его просто ошибся, но мне не кажется, что эта вероятность слишком большая.

    Итак в сухом остатке мы имеем:
    • Ребята собрали дистрибутив Gnu Linux, включили в него свободные инструменты безопасности (из всех инструментов в составе дистрибутива самописен только системный аудитор на питоне, и то я не уверен). И сертифицировали его в ФСТЭК. Это в общем хорошо. Единственное к чему можно придраться, так к разработке собственного дистрибутива, когда можно взять за основу Backtrack или что-то вроде того, но тут разработчики сами себе злые буратиы
    • Продают на непонятных условиях, и с непонятной лицензией, скорее всего отличной от GPL, под которой распространялось исходное ПО
    • Но самое грустное в этой истории (хоть и не относящееся напрямую к НПО Эшелон ) то, что по российским законами открытыми инструментами безопасности пользоваться нельзя, до тех пор, пока кто-нибудь не соберет их с собственными названиями и не продаст за внушительную сумму. Такой вот культ карго.


    upd Камрад eugenets нашел замечательное.
    image
    Жаль не узнаем, было ли все так изначально, или это реакция на публикацию. Но это нереально круто.

    Similar posts

    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 62

      +13
      а с «левой третью экрана» это они хорошо придумали.
        0
        Они по клику еще и сохраняются, причем в (!) PDF.
        +10
        Помнится мне все смеялись над школьником Поповым. А тут НПО вроде, серьезные люди ж по идее…
          +14
          Посмотрите, будет любопытно

          scaner-vs.ru/404
            +4
            Я не верю!
              +3
              Я сам удивился. Но получается, что не случайно тут BolgenOS вспоминали :)
              +4
              Может это шутка такая? Потрясающе
                0
                Я не понял, но думаю что кто-то решил обновить/дополнить историю болгенос :)
                Я думаю что это шутка… иначе кома…
                  0
                  Нет нет нет, я не верю своим глазам…
                    +1
                    Ребят, это шутки админа. :) Я пошукал чуток и на 100% скажу, что там Debian Lenny.:)
                0
                Вы только посмотрите на девушек на главное странице. Видимо, это реально может помочь в продаже товара :)
              +1
              О них еще писали во времена апогия истории с дистрибутивом от Попова, и там в комментариях кто-то высказался что там таки не просто переименовывают и тупо под своим брендом выпускают обычный линукс, а все таки тестируют систему на соответсвия требованиям безопасности, возможно урезают/добавляют некоторый функционал.
              В общем конечно гадать можно долго, но с первого взгляда конечно же да, похоже на очередной распил.
                +1
                Про нее ли? Это чудо природы совсем молодое (выпущено в октябре 10 года), тогда про Попова все позабывали.
                  0
                  гм… насколько я помню то про нее, так как по описанию один к одному.
                  Можно конечно пошерстить те тысячи комментов и найти, но 100% было и обсуждали.
                    0
                    А, вот кого: habrahabr.ru/blogs/copyright/95388/
                    Похожи же, по принципу.
                      0
                      Но, как выясняется, Попов тут очень даже при чем:

                      scaner-vs.ru/404

                      Можете написать об этом?
                        0
                        Ага, в СМИ. Напомнить им начало истории и предложить продолжение сюжета с BolgenOS.
                          0
                          … но на самом деле там просто custom error page.
                      0
                      Скачал, попробовал.
                      Из своих разработок ещё «поиск по диску», локальный аудит паролей и «гарантированное уничтожение информации» (фронтенд для shred).
                        0
                        Локальный аудит там разве не джонни риппер?
                          +4
                          Здравствуйте, Антон (=
                          А за чьим авторством утилитка magicChecker, например? И много ли было пофиксено с тех пор, как мы тестили Ваш дистр? И почему не сменили обоину?
                          –8
                          Я сижу на Сканер-ВС уже пол года и не видал более удобной операционки… Убунта курит в сторонке…
                            0
                            Зависимости никакой, рекомендую!
                              0
                              У вас другая зависимость по-моему
                              • UFO just landed and posted this here
                                  +1
                                  Брат-то жив?
                                    0
                                    Тфу, камент Ламо не заметил
                                  0
                                  За державу обидно…
                                    –2
                                    Где-то я уже слышал про «не просто дистрибутив» линукс
                                      +1
                                      Ну, можно порадоваться, что эти GNU тулзы прошли сертификацию ФСТЭК (пусть и под другим именем).
                                      • UFO just landed and posted this here
                                          0
                                          Что значит нормальным? Тем кому нужна безопасность, а не ритуальные приседания с сертификатами?
                                          Но у нас в стране такой клиентской базы днем с огнем не сыщешь.
                                          • UFO just landed and posted this here
                                              +3
                                              Мною быть хорошо, честно.
                                              Я не занимаюсь разработкой и продажей средств безопасности — мой взгляд со стороны и, естественно, я могу ошибаться.
                                              Мне ситуация видится так: все клиенты, покупающие безопасность делятся на две неравные категории. Одной нужна безопасность, и их беспокоит риск потерять данные, и средства безопасности они используют те, чей функционал их максимально устраивает. Это хорошая, хоть и маленькая часть клиентов.
                                              Вторая — гораздо более многочисленная часть попала под действие какой-нибудь бумажки, повелевающей защищать информацию. Риск у них получить санкции от регулятора, а посему к безопасности они подходят весьма формально. Берут самое дешёвое из сертифицированного и плевать на функционал и уровень безопасности инструментом обеспечиваемый: ответственность если инцидент случился, но все ритуалы соблюдены может и не наступить, а вот за неправильные приседания кара будет незамедлительной. Вот и несут они деньги (чаще всего, конечно, бюджетные) всяким шарлатанам.
                                              Такие вот результаты корявого государственного регулирования.
                                              • UFO just landed and posted this here
                                          +2
                                          Продукт конечно да.
                                          А сайт вам чем не угодил? Для такой конторы вполне приличный, я ожидал чего-то подобного.
                                            –1
                                            LET ME NOT TO SEE THIS.
                                              0
                                              Make me unsee it, если канонично
                                                0
                                                image
                                                *без комментариев*
                                          • UFO just landed and posted this here
                                              0
                                              Уж и не знаю смеяться или плакать. Эпичненько, как говорится.
                                                +2
                                                Премиум | адаптированная под сеть предприятия | 1500000
                                                Я хренею товарищи. Ладно, дистрибутив поставляется с ноутбуком и базами часто используемых паролей, но полтора миллиона?
                                                  0
                                                  Я хренею, товарищи. /*аж самому стыдно стало
                                                  –1
                                                  а что ты причастен к этому?
                                                    0
                                                    Если зайдешь по ссылке, то найдешь много дорогого софта, русского и зарубежного. Тоже распил?
                                                      0
                                                      А сколько по-вашему должна стоить программа, разработка которой занимает несколько лет труда профессионалов своего дела, а рынок сбыта — всего несколько тысяч копий по всему миру (крупных компаний, заинтересованных в такого рода ПО врядли больше).
                                                      +1
                                                      Но самое грустное в этой истории (хоть и не относящееся напрямую к НПО Эшелон ) то, что по российским законами открытыми инструментами безопасности пользоваться нельзя


                                                      А можно вот этот момент как-то прояснить?
                                                      А то я не спец в теме, но мне казалось, что в России нет запретов на пользование каким-либо легально приобретённым софтом. (Ну там к госструктурам, возможно, это не относится…)

                                                      А, да, вот этот адрес я просто оставлю здесь: license-violation@gnu.org
                                                        0
                                                        Нет пользоваться можно любым. Но что бы соответствовать нормативной базе по защите нужно пользоваться сертифицированным. Кстати смешно, что этот самый сканерВС сертифицирован не по функционалу, а по отсутствию НДВ т.е. бэкдоров, по-нашему. Т.е, как мне тут объясняли, всё, для чего нет методики оценки (а есть она из ПО только на файрволы и средства защиты от НСД вроде сонаты и secretnet) сертифицируют по НДВ.
                                                          0
                                                          >соответствовать нормативной базе по защите
                                                          Погодите, а что именно должно соответствовать этой самой нормативной базе?
                                                          Мой зоопарк из виндов-линуксов, или инструмент, которым я их безопасность обеспечиваю?

                                                          И для чего такое соответствие нормативной базе нужно?
                                                            0
                                                            Некоторые виды данных государство заставляет защищать законодательно (те же пресловутые персональные данные). Если вы попали под такой закон защищать нужно не абы как, а по сертифицированным методикам и сертифицированными методами.
                                                            +1
                                                            Плохо значит объясняли. Извините, но ваш пост выглядит как сборник заблуждений:

                                                            поехали по списку:

                                                            >Кстати смешно, что этот самый сканерВС сертифицирован не по функционалу, а по отсутствию НДВ т.е. бэкдоров, по-нашему.

                                                            Открываем рееестр ФСТЭК: www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls
                                                            Читаем:
                                                            2204 13.11.2010 13.11.2013 Сканер-ВС Программный комплекс «Сканер-ВС» — по 4 уровню контроля отсутствия НДВ и ТУ.

                                                            Что такое ТУ объяснять надо? Можете спросить у ваших знающих :)

                                                            > Т.е, как мне тут объясняли, всё, для чего нет методики оценки (а есть она из ПО только на файрволы и средства защиты от НСД вроде сонаты и secretnet) сертифицируют по НДВ.

                                                            Это не совсем так, есть Общие критерии, есть профили защиты для различных систем (и операционные системы, и биллинговые системы, и СУБД, и удостоверяющие центры) на сайте того же ФСТЭКа:
                                                            www.fstec.ru/_licen/_m1.htm

                                                            Но в целом речь идёт о системе сертификации СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ в первую очередь, а не всего остального.


                                                              0
                                                              ТУ же заказчик пишет? Оно где-нибудь публикуется?
                                                                0
                                                                > ТУ же заказчик пишет? Оно где-нибудь публикуетcя?

                                                                ru.wikipedia.org/wiki/%D0%A2%D0%B5%D1%85%D0%BD%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D0%B5_%D1%83%D1%81%D0%BB%D0%BE%D0%B2%D0%B8%D1%8F

                                                                ТУ делает сам разработчик. но по требованиям заказчика.
                                                                Оно как правило поставляется с продуктом.

                                                                В ТУ прописываются все требования по функционалу и другим вещам, а также набор их проверок.

                                                                Но даже это не важно, ваш тезис был:

                                                                >кстати смешно, что этот самый сканерВС сертифицирован не по функционалу, а по отсутствию НДВ
                                                                Он неверен

                                                                Если речь идёт о каких-то стандартах, то да, открытых нормативных, методических, руководящих документов и стандартов для проверки допустим сканеров уязвимостей сейчас в России нет. Но насколько мне известно, во ФСТЭКе сейчас их пишут.
                                                                  0
                                                                  Согласен. Кроме НДВ есть еще ТУ — не знал про них. Но смысл тезиса в том, что логичен был бы случай, когда сертификация гарантирует качество функциональной части, но по факту гарантируется непонятно что (с появлением скрытых от клиентов, толком не стандартизированных ТУ непонятность только возрастает)
                                                                +1
                                                                Кстати, стоило бы представитья.
                                                                Здесь вот «Андрей Фадин (самая креативная личность НПО „Эшелон“ в области приложений)»
                                                                А единственное ваше сообщение на хабре кроме этого.
                                                                fadin.andrey@gmail.com
                                                                Заранее спасибо
                                                                  0
                                                                  > Кстати, стоило бы представитьcя.
                                                                  Нет, не стоило, я человек скромный и предпочитаю сам предоставлять свои персональные данные, когда считаю нужным, а не жду это от других людей. Хотя бы потому, что это неприлично.

                                                                  Пиарить или защищать любой из продуктов НПО Эшелон в этой теме я не планирую, здесь я скорей хочу внести ясность по некоторым вопросам (по поводу той же сертификации)

                                                                    0
                                                                    > Кстати, стоило бы представитьcя.
                                                                    Нет, не стоило, я человек скромный и предпочитаю сам предоставлять свои персональные данные, когда считаю нужным, а не жду это от других людей. Хотя бы потому, что это неприлично.

                                                                    Пиарить или защищать любой из продуктов НПО Эшелон в этой теме я не планирую, здесь я скорей хочу внести ясность по некоторым вопросам (по поводу той же сертификации)

                                                                    Соответственно в контексте ответов на эти вопросы, моя аффилированность/неаффилированность с НПО Эшелон роли не играет
                                                              +1
                                                              Все эти наши сертификации и ФСТЭКи только тянут нас назад в каменный век.
                                                              Зато это отличная кормушка: если бы не государство, кому нужны были бы файрволы с шифрованием по ГОСТу?
                                                                –2
                                                                На твоем месте, я бы поехал за границу жить. Там и травка зеленее и тянуть тебя будут только вперед в светлое будущее.
                                                                  0
                                                                  Любая проверка (ГИБДД, санэпидемслужба, пожарные, проверка строительных сооружений, СНИПы и прочее) помимо своих основных функций служат кормушкой для тех или иных групп людей.

                                                                  Означает ли это, что никакой проверки не нужно?
                                                                  Следует ли из этого, что все сертификации, лицензии и проверки нужно отменить?

                                                                  Если считаете, что в «рашке» всегда все неправильно, то посмотрите за границу, на их Orange буки, Common Criteria и прочие стандарты.

                                                                  В США чуть ли не у каждого ведомства свои подходы и документы.
                                                                  0
                                                                  НПО Эшелон отвечает на критику s3r.ru/04/03/2013/prikolyi/egocentricity/
                                                                    0
                                                                    Чуть не убил себя фейспалмом. Серьезные должны быть ребята, а реакция как у детей в песочнице — ad hominem наезды на автора и «мы любим опенсорс» мотивированный десятком огрызков на гитхабе. Особенно порадовал комментарий Шахалова ( он сотрудник НПО).
                                                                    Но то, что обещают отдавать сорцы по GPL все же радует. Но интересно, где они были год назад? В комментариях к этому топику как минимум трое сотрудников Эшелона, и такого заявления, разрушившего бы большую часть негодования почему-то никто не сделал. Ну да ладно, и на том спасибо.

                                                                  Only users with full accounts can post comments. Log in, please.