Comments 62
а с «левой третью экрана» это они хорошо придумали.
Помнится мне все смеялись над школьником Поповым. А тут НПО вроде, серьезные люди ж по идее…
О них еще писали во времена апогия истории с дистрибутивом от Попова, и там в комментариях кто-то высказался что там таки не просто переименовывают и тупо под своим брендом выпускают обычный линукс, а все таки тестируют систему на соответсвия требованиям безопасности, возможно урезают/добавляют некоторый функционал.
В общем конечно гадать можно долго, но с первого взгляда конечно же да, похоже на очередной распил.
В общем конечно гадать можно долго, но с первого взгляда конечно же да, похоже на очередной распил.
Про нее ли? Это чудо природы совсем молодое (выпущено в октябре 10 года), тогда про Попова все позабывали.
гм… насколько я помню то про нее, так как по описанию один к одному.
Можно конечно пошерстить те тысячи комментов и найти, но 100% было и обсуждали.
Можно конечно пошерстить те тысячи комментов и найти, но 100% было и обсуждали.
А, вот кого: habrahabr.ru/blogs/copyright/95388/
Похожи же, по принципу.
Похожи же, по принципу.
Скачал, попробовал.
Из своих разработок ещё «поиск по диску», локальный аудит паролей и «гарантированное уничтожение информации» (фронтенд для shred).
Из своих разработок ещё «поиск по диску», локальный аудит паролей и «гарантированное уничтожение информации» (фронтенд для shred).
Я сижу на Сканер-ВС уже пол года и не видал более удобной операционки… Убунта курит в сторонке…
Зависимости никакой, рекомендую!
За державу обидно…
Где-то я уже слышал про «не просто дистрибутив» линукс
Ну, можно порадоваться, что эти GNU тулзы прошли сертификацию ФСТЭК (пусть и под другим именем).
UFO just landed and posted this here
Что значит нормальным? Тем кому нужна безопасность, а не ритуальные приседания с сертификатами?
Но у нас в стране такой клиентской базы днем с огнем не сыщешь.
Но у нас в стране такой клиентской базы днем с огнем не сыщешь.
UFO just landed and posted this here
Мною быть хорошо, честно.
Я не занимаюсь разработкой и продажей средств безопасности — мой взгляд со стороны и, естественно, я могу ошибаться.
Мне ситуация видится так: все клиенты, покупающие безопасность делятся на две неравные категории. Одной нужна безопасность, и их беспокоит риск потерять данные, и средства безопасности они используют те, чей функционал их максимально устраивает. Это хорошая, хоть и маленькая часть клиентов.
Вторая — гораздо более многочисленная часть попала под действие какой-нибудь бумажки, повелевающей защищать информацию. Риск у них получить санкции от регулятора, а посему к безопасности они подходят весьма формально. Берут самое дешёвое из сертифицированного и плевать на функционал и уровень безопасности инструментом обеспечиваемый: ответственность если инцидент случился, но все ритуалы соблюдены может и не наступить, а вот за неправильные приседания кара будет незамедлительной. Вот и несут они деньги (чаще всего, конечно, бюджетные) всяким шарлатанам.
Такие вот результаты корявого государственного регулирования.
Я не занимаюсь разработкой и продажей средств безопасности — мой взгляд со стороны и, естественно, я могу ошибаться.
Мне ситуация видится так: все клиенты, покупающие безопасность делятся на две неравные категории. Одной нужна безопасность, и их беспокоит риск потерять данные, и средства безопасности они используют те, чей функционал их максимально устраивает. Это хорошая, хоть и маленькая часть клиентов.
Вторая — гораздо более многочисленная часть попала под действие какой-нибудь бумажки, повелевающей защищать информацию. Риск у них получить санкции от регулятора, а посему к безопасности они подходят весьма формально. Берут самое дешёвое из сертифицированного и плевать на функционал и уровень безопасности инструментом обеспечиваемый: ответственность если инцидент случился, но все ритуалы соблюдены может и не наступить, а вот за неправильные приседания кара будет незамедлительной. Вот и несут они деньги (чаще всего, конечно, бюджетные) всяким шарлатанам.
Такие вот результаты корявого государственного регулирования.
Продукт конечно да.
А сайт вам чем не угодил? Для такой конторы вполне приличный, я ожидал чего-то подобного.
А сайт вам чем не угодил? Для такой конторы вполне приличный, я ожидал чего-то подобного.
UFO just landed and posted this here
Уж и не знаю смеяться или плакать. Эпичненько, как говорится.
Премиум | адаптированная под сеть предприятия | 1500000
Я хренею товарищи. Ладно, дистрибутив поставляется с ноутбуком и базами часто используемых паролей, но полтора миллиона?
Я хренею товарищи. Ладно, дистрибутив поставляется с ноутбуком и базами часто используемых паролей, но полтора миллиона?
а что ты причастен к этому?
Если зайдешь по ссылке, то найдешь много дорогого софта, русского и зарубежного. Тоже распил?
Но самое грустное в этой истории (хоть и не относящееся напрямую к НПО Эшелон ) то, что по российским законами открытыми инструментами безопасности пользоваться нельзя
А можно вот этот момент как-то прояснить?
А то я не спец в теме, но мне казалось, что в России нет запретов на пользование каким-либо легально приобретённым софтом. (Ну там к госструктурам, возможно, это не относится…)
А, да, вот этот адрес я просто оставлю здесь: license-violation@gnu.org
Нет пользоваться можно любым. Но что бы соответствовать нормативной базе по защите нужно пользоваться сертифицированным. Кстати смешно, что этот самый сканерВС сертифицирован не по функционалу, а по отсутствию НДВ т.е. бэкдоров, по-нашему. Т.е, как мне тут объясняли, всё, для чего нет методики оценки (а есть она из ПО только на файрволы и средства защиты от НСД вроде сонаты и secretnet) сертифицируют по НДВ.
>соответствовать нормативной базе по защите
Погодите, а что именно должно соответствовать этой самой нормативной базе?
Мой зоопарк из виндов-линуксов, или инструмент, которым я их безопасность обеспечиваю?
И для чего такое соответствие нормативной базе нужно?
Погодите, а что именно должно соответствовать этой самой нормативной базе?
Мой зоопарк из виндов-линуксов, или инструмент, которым я их безопасность обеспечиваю?
И для чего такое соответствие нормативной базе нужно?
Плохо значит объясняли. Извините, но ваш пост выглядит как сборник заблуждений:
поехали по списку:
>Кстати смешно, что этот самый сканерВС сертифицирован не по функционалу, а по отсутствию НДВ т.е. бэкдоров, по-нашему.
Открываем рееестр ФСТЭК: www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls
Читаем:
2204 13.11.2010 13.11.2013 Сканер-ВС Программный комплекс «Сканер-ВС» — по 4 уровню контроля отсутствия НДВ и ТУ.
Что такое ТУ объяснять надо? Можете спросить у ваших знающих :)
> Т.е, как мне тут объясняли, всё, для чего нет методики оценки (а есть она из ПО только на файрволы и средства защиты от НСД вроде сонаты и secretnet) сертифицируют по НДВ.
Это не совсем так, есть Общие критерии, есть профили защиты для различных систем (и операционные системы, и биллинговые системы, и СУБД, и удостоверяющие центры) на сайте того же ФСТЭКа:
www.fstec.ru/_licen/_m1.htm
Но в целом речь идёт о системе сертификации СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ в первую очередь, а не всего остального.
поехали по списку:
>Кстати смешно, что этот самый сканерВС сертифицирован не по функционалу, а по отсутствию НДВ т.е. бэкдоров, по-нашему.
Открываем рееестр ФСТЭК: www.fstec.ru/_doc/reestr_sszi/_reestr_sszi.xls
Читаем:
2204 13.11.2010 13.11.2013 Сканер-ВС Программный комплекс «Сканер-ВС» — по 4 уровню контроля отсутствия НДВ и ТУ.
Что такое ТУ объяснять надо? Можете спросить у ваших знающих :)
> Т.е, как мне тут объясняли, всё, для чего нет методики оценки (а есть она из ПО только на файрволы и средства защиты от НСД вроде сонаты и secretnet) сертифицируют по НДВ.
Это не совсем так, есть Общие критерии, есть профили защиты для различных систем (и операционные системы, и биллинговые системы, и СУБД, и удостоверяющие центры) на сайте того же ФСТЭКа:
www.fstec.ru/_licen/_m1.htm
Но в целом речь идёт о системе сертификации СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ в первую очередь, а не всего остального.
ТУ же заказчик пишет? Оно где-нибудь публикуется?
> ТУ же заказчик пишет? Оно где-нибудь публикуетcя?
ru.wikipedia.org/wiki/%D0%A2%D0%B5%D1%85%D0%BD%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D0%B5_%D1%83%D1%81%D0%BB%D0%BE%D0%B2%D0%B8%D1%8F
ТУ делает сам разработчик. но по требованиям заказчика.
Оно как правило поставляется с продуктом.
В ТУ прописываются все требования по функционалу и другим вещам, а также набор их проверок.
Но даже это не важно, ваш тезис был:
>кстати смешно, что этот самый сканерВС сертифицирован не по функционалу, а по отсутствию НДВ
Он неверен
Если речь идёт о каких-то стандартах, то да, открытых нормативных, методических, руководящих документов и стандартов для проверки допустим сканеров уязвимостей сейчас в России нет. Но насколько мне известно, во ФСТЭКе сейчас их пишут.
ru.wikipedia.org/wiki/%D0%A2%D0%B5%D1%85%D0%BD%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D0%B5_%D1%83%D1%81%D0%BB%D0%BE%D0%B2%D0%B8%D1%8F
ТУ делает сам разработчик. но по требованиям заказчика.
Оно как правило поставляется с продуктом.
В ТУ прописываются все требования по функционалу и другим вещам, а также набор их проверок.
Но даже это не важно, ваш тезис был:
>кстати смешно, что этот самый сканерВС сертифицирован не по функционалу, а по отсутствию НДВ
Он неверен
Если речь идёт о каких-то стандартах, то да, открытых нормативных, методических, руководящих документов и стандартов для проверки допустим сканеров уязвимостей сейчас в России нет. Но насколько мне известно, во ФСТЭКе сейчас их пишут.
Согласен. Кроме НДВ есть еще ТУ — не знал про них. Но смысл тезиса в том, что логичен был бы случай, когда сертификация гарантирует качество функциональной части, но по факту гарантируется непонятно что (с появлением скрытых от клиентов, толком не стандартизированных ТУ непонятность только возрастает)
Кстати, стоило бы представитья.
Здесь вот «Андрей Фадин (самая креативная личность НПО „Эшелон“ в области приложений)»
А единственное ваше сообщение на хабре кроме этого.
Здесь вот «Андрей Фадин (самая креативная личность НПО „Эшелон“ в области приложений)»
А единственное ваше сообщение на хабре кроме этого.
fadin.andrey@gmail.com
Заранее спасибо
> Кстати, стоило бы представитьcя.
Нет, не стоило, я человек скромный и предпочитаю сам предоставлять свои персональные данные, когда считаю нужным, а не жду это от других людей. Хотя бы потому, что это неприлично.
Пиарить или защищать любой из продуктов НПО Эшелон в этой теме я не планирую, здесь я скорей хочу внести ясность по некоторым вопросам (по поводу той же сертификации)
Нет, не стоило, я человек скромный и предпочитаю сам предоставлять свои персональные данные, когда считаю нужным, а не жду это от других людей. Хотя бы потому, что это неприлично.
Пиарить или защищать любой из продуктов НПО Эшелон в этой теме я не планирую, здесь я скорей хочу внести ясность по некоторым вопросам (по поводу той же сертификации)
> Кстати, стоило бы представитьcя.
Нет, не стоило, я человек скромный и предпочитаю сам предоставлять свои персональные данные, когда считаю нужным, а не жду это от других людей. Хотя бы потому, что это неприлично.
Пиарить или защищать любой из продуктов НПО Эшелон в этой теме я не планирую, здесь я скорей хочу внести ясность по некоторым вопросам (по поводу той же сертификации)
Соответственно в контексте ответов на эти вопросы, моя аффилированность/неаффилированность с НПО Эшелон роли не играет
Нет, не стоило, я человек скромный и предпочитаю сам предоставлять свои персональные данные, когда считаю нужным, а не жду это от других людей. Хотя бы потому, что это неприлично.
Пиарить или защищать любой из продуктов НПО Эшелон в этой теме я не планирую, здесь я скорей хочу внести ясность по некоторым вопросам (по поводу той же сертификации)
Соответственно в контексте ответов на эти вопросы, моя аффилированность/неаффилированность с НПО Эшелон роли не играет
Все эти наши сертификации и ФСТЭКи только тянут нас назад в каменный век.
Зато это отличная кормушка: если бы не государство, кому нужны были бы файрволы с шифрованием по ГОСТу?
Зато это отличная кормушка: если бы не государство, кому нужны были бы файрволы с шифрованием по ГОСТу?
На твоем месте, я бы поехал за границу жить. Там и травка зеленее и тянуть тебя будут только вперед в светлое будущее.
Любая проверка (ГИБДД, санэпидемслужба, пожарные, проверка строительных сооружений, СНИПы и прочее) помимо своих основных функций служат кормушкой для тех или иных групп людей.
Означает ли это, что никакой проверки не нужно?
Следует ли из этого, что все сертификации, лицензии и проверки нужно отменить?
Если считаете, что в «рашке» всегда все неправильно, то посмотрите за границу, на их Orange буки, Common Criteria и прочие стандарты.
В США чуть ли не у каждого ведомства свои подходы и документы.
Означает ли это, что никакой проверки не нужно?
Следует ли из этого, что все сертификации, лицензии и проверки нужно отменить?
Если считаете, что в «рашке» всегда все неправильно, то посмотрите за границу, на их Orange буки, Common Criteria и прочие стандарты.
В США чуть ли не у каждого ведомства свои подходы и документы.
НПО Эшелон отвечает на критику s3r.ru/04/03/2013/prikolyi/egocentricity/
Чуть не убил себя фейспалмом. Серьезные должны быть ребята, а реакция как у детей в песочнице — ad hominem наезды на автора и «мы любим опенсорс» мотивированный десятком огрызков на гитхабе. Особенно порадовал комментарий Шахалова ( он сотрудник НПО).
Но то, что обещают отдавать сорцы по GPL все же радует. Но интересно, где они были год назад? В комментариях к этому топику как минимум трое сотрудников Эшелона, и такого заявления, разрушившего бы большую часть негодования почему-то никто не сделал. Ну да ладно, и на том спасибо.
Но то, что обещают отдавать сорцы по GPL все же радует. Но интересно, где они были год назад? В комментариях к этому топику как минимум трое сотрудников Эшелона, и такого заявления, разрушившего бы большую часть негодования почему-то никто не сделал. Ну да ладно, и на том спасибо.
Only those users with full accounts are able to leave comments. Log in, please.
Сканер ВС — это не просто еще один дистрибутив linux