А зачем её обновлять? Замкнутые системы (ничего не подключить, Интернет только за криптошлюзом, тоесть его нет). Внутренних злоумышленников на бумаге нет (только индивиды «подзарядить мобильник»). В качестве злоумышленника рассматривается организации с максимальными возможностями. В таких условиях разницы между известной и не известной уязвимостью нет. Плюс навесная система ИБ, плюс орг. меры.
к клиенту, которого фактически еще силой обязывают использовать.
В случае с астрой главный киент МО (оно же пишет требования, сертифицырует и платит деньги). Желание промежуточных разработчиков использовать мейнстрим решения в создаваемых системах не нужны главному заказчику.
А альтернатив существующей системе сертификации нет. И никто предложить не сможет.
Отзывать сертификат за найденную уязвимость не выход. Потому что всё встанет. Проверять патчи на совместимость со всеми приложениями никто не даст. Да и сертификация на 4 класс НДВ это ничто (по сути проверка комплекта документов на соответствие функционалу). А провести сертификацию современного софта на 3-1 классы не возможно. У нас банально нет доверенного компилятора. Да и тестировать там можно годами.
Может нужно менять правила сертификации, причем взывать к этому должны как раз разработчики сертифицированных систем.
Зачем? Разработчики и сейчас без особого труда зарабатывают на хорошее пропитание.
Как специалисту по ИБ — система которую не обновляют по 3-5 лет, это ок?
Вы не сталкивались с СУБД Oracle в живых системах. Они могут и по 10 лет без патчей жить. Вас никто к ней с патчем на пушечный выстрел не подпустит.
Мы живём не в идеальном мире. И приходя в ИБ надо с этим мириться.
Разработчики? Джуниор, который вышел побалтать в пейсбук? Он и не знает почему нет тех или иных пакетов. А грубость — это только показатель отсутствия воспитания у отдельных индивидов.
Выкинуты те пакеты которые работают с высокими привилегиями и не совместимы с системой мандатного разграничения прав доступа входящей в дистрибутив (не надо путать с доступными на рынке SELinux и т.д.).
Также выкинуты пакеты которые не будут использоваться в изолированных системах, например OpenSSL. Это не ГОСТ криптография.
Вообще системы с данной ОС создаются, настраиваются и потом работают 3-5 лет. Их никто не обновляет, не перенастраивает. Они просто работают.
По поводу патчей. Они выходят редко, так как каждый патч это пересертификация всей ОС. А это минимум пол года и трата денег. Плюс они не нужны эксплуатантам. Принцип «Работает не трогай» никто не отменял. Малоли как криворукие разработчики создали дополнительный софт для закрытых систем. Обновишь, а оно и рухнет.
Для понимания почему нет тех или иных пакетов надо смотреть в сторону сертификации и области применения.
Не всё там связано с кривыми руками разработчиков.
Вопрос с кадрами в России один из самых больных. И связан он с несколькими моментами:
1) убитая совецкая система образования (по разным причинам, в оснавном отсутствие денег у вузов и производные);
2) отсутствие качественного отсева людей с плохим образованием при найме (лиш бы корочка была);
3) не желание молодежи работать, а желание получать космическое бабло за просто так.
К сожалению, не принять проекты товарищи из МО не могли (и дело не совсем в откатах, хотя они наверняка присутствовали). Просто, деньги убиты, время убито, значит должен быть результат. Если его нет, кто то лишится должности…
У МО своя сертификация, за исключением криптографии, которая для всех ведомст и почти всех отраслей под ФСБ.
И вообще. Сертификат штука интересная. Надо не заголовки новостей про сертификацию читать, а смотреть текст сертификата и ТУ на изделее. Можно много нового для себя открыть.
О какой безопасности можно говорить, когда на Хабре и подобных ему ресурсах, «недо Сноудены» рассказывают про устройство различных систем военных кораблей… Рассказывают как они ломали программки во время срочки… И ещё много чего…
Паранойя. Просто часть профессиональной деформации людей занимающихся безопасностью чего либо.
Например, меня откровенно коробит продвижение всяких странных локальных дистрибутивов, вместо Debian.
А что Вас коробит? Создание локальных рабочих мест? Сертификация специфического продукта с заданными характеристиками? Разработка навесных систем контроля от НСД, которые могут не взлететь на сторонних дистрибутивах?
«При наличии свободного ПО, это проблему решить легче, чем зависеть от элементной аппаратной базы» — это миф! И последние громкие уязвимости в мире опен сорс это подтверждают.
Доступ к исходникам у наших специальных служб уже есть. Microsoft передаёт исходники ФГУП «Научно-технический центр Атлас» аж с 2002 года. Только это не решает задачу, и не решит никогда.
Переход на новое «безопасное ПО» это огромные денежные затраты. А денег в бюджете нет. Плюс, как показывает появление вредоносного ПО в прошивках аппаратных компонентов, необходимо разрабатывать вообще всё, а это вообще космические суммы и неподъёмная задача.
P.S.
Короче, качаем Shodan и тренируемся тестировать госсистемы на прочность.
Подстрекательство — часть 4 ст. 33 УК РФ. Неправомерный доступ к компьютерной информации — 272 УК РФ.
6. Вы ссылаетесь на документ о разъяснениях РКН по биометрии. Совсем недавно РКН пошел на попятную по крайней мере в плане отнесения фото- и видео-изображений к биометрии. Об этом я писал совсем недавно.
А вот тут совсем не понятно, какой из документов более легитимен, тот что опубликован на сайте РКН или тот что выпустило издательство РГ. Новости о публикации обоих документов весьма расплывчаты. Тем более, «комментарий» не имеет юридической силы, а это значит, что решать будут сотрудники РКН на местах…
А вот тут представлены реестры граждан и организаций, привлекаемых в качестве экспертов и экспертных организаций в ходе проверок в области персональных данных.
Которые осуществлют:
«Обследование и определение уровня защищенности негосударственных информационных систем персональных данных, используемых оператором при осуществлении своей непосредственной деятельности.
Оценка соответствия применяемых технических средств защиты информации.
Оценка достаточности и эффективности принимаемых оператором технических мер по обеспечению безопасности персональных данных при их обработке в негосударственных информационных системах персональных данных.
Проведение исследований, а также проведение экспертиз и расследований, направленных на установление причинно-следственной связи выявленного нарушения обязательных требований законодательства Российской Федерации в области персональных данных.»
42.1. Для оценки эффективности принимаемых Оператором технических мер по обеспечению безопасности персональных данных при их обработке в негосударственных информационных системах персональных данных Служба или ее территориальный орган в рамках проверки привлекают экспертов, экспертные организации, включенные в установленном порядке в реестр граждан и организаций, привлекаемых Службой в качестве экспертов, экспертных организаций к проведению мероприятий по контролю.
(Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденный приказом Минкомсвязи России от 14.11.2011 N 312, rkn.gov.ru/chamber-of-commerce/administrative-reglament/doc843.htm)
РКН может привлекать экспертов, которые будут смотреть техническую часть, а не бумагу.
РД замечательный, но ни один современный антивирус не будет соответствовать приведённым требованиям, если их применять формально при сертификации.Плюс указанный функционал не нужен подавляющему большинству пользователей и организаций, а это значит, что разрабатывать его не выгодно. Отсутствие антивирусов подходящих для сертификации приведёт к коллапсу. Требования по обязательной сертификации есть, ИС где надо их использовать есть, а сертифицированных антивирусов нет.
Тем более, как показывает пример взлома Hacking Team (У которых украли несколько «полицейских троянов». И ни один из них не ловится современными антивирусами). Антивирусное средство не панацея, и должен использоваться совместно с другими средствами защиты.
Также например утилита nikto (вообще выкидывает ошибку плана «portableshell» не является внутренней или внешней
командой).
Ошибка в файле C:\PentestBox\config\init.bat в переменной PATH. В куске "%pentestbox_ROOT\bin\Perl\c\bin" пропущен символ %. Должно быть "%pentestbox_ROOT%\bin\Perl\c\bin"
Также Приказ ФСТЭК №31 от 14.03.2014г.«Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».
В случае с астрой главный киент МО (оно же пишет требования, сертифицырует и платит деньги). Желание промежуточных разработчиков использовать мейнстрим решения в создаваемых системах не нужны главному заказчику.
А альтернатив существующей системе сертификации нет. И никто предложить не сможет.
Отзывать сертификат за найденную уязвимость не выход. Потому что всё встанет. Проверять патчи на совместимость со всеми приложениями никто не даст. Да и сертификация на 4 класс НДВ это ничто (по сути проверка комплекта документов на соответствие функционалу). А провести сертификацию современного софта на 3-1 классы не возможно. У нас банально нет доверенного компилятора. Да и тестировать там можно годами.
Зачем? Разработчики и сейчас без особого труда зарабатывают на хорошее пропитание.
Вы не сталкивались с СУБД Oracle в живых системах. Они могут и по 10 лет без патчей жить. Вас никто к ней с патчем на пушечный выстрел не подпустит.
Мы живём не в идеальном мире. И приходя в ИБ надо с этим мириться.
Выкинуты те пакеты которые работают с высокими привилегиями и не совместимы с системой мандатного разграничения прав доступа входящей в дистрибутив (не надо путать с доступными на рынке SELinux и т.д.).
Также выкинуты пакеты которые не будут использоваться в изолированных системах, например OpenSSL. Это не ГОСТ криптография.
Вообще системы с данной ОС создаются, настраиваются и потом работают 3-5 лет. Их никто не обновляет, не перенастраивает. Они просто работают.
По поводу патчей. Они выходят редко, так как каждый патч это пересертификация всей ОС. А это минимум пол года и трата денег. Плюс они не нужны эксплуатантам. Принцип «Работает не трогай» никто не отменял. Малоли как криворукие разработчики создали дополнительный софт для закрытых систем. Обновишь, а оно и рухнет.
Так что, сертифицированная ОС это другой мир.
Не всё там связано с кривыми руками разработчиков.
Интересно, данные «разъяснения» будут совпадать с аналогичными РКН…
1) убитая совецкая система образования (по разным причинам, в оснавном отсутствие денег у вузов и производные);
2) отсутствие качественного отсева людей с плохим образованием при найме (лиш бы корочка была);
3) не желание молодежи работать, а желание получать космическое бабло за просто так.
К сожалению, не принять проекты товарищи из МО не могли (и дело не совсем в откатах, хотя они наверняка присутствовали). Просто, деньги убиты, время убито, значит должен быть результат. Если его нет, кто то лишится должности…
И вообще. Сертификат штука интересная. Надо не заголовки новостей про сертификацию читать, а смотреть текст сертификата и ТУ на изделее. Можно много нового для себя открыть.
Выше по ссылке правильно написано про глупость…
Паранойя. Просто часть профессиональной деформации людей занимающихся безопасностью чего либо.
А что Вас коробит? Создание локальных рабочих мест? Сертификация специфического продукта с заданными характеристиками? Разработка навесных систем контроля от НСД, которые могут не взлететь на сторонних дистрибутивах?
Доступ к исходникам у наших специальных служб уже есть. Microsoft передаёт исходники ФГУП «Научно-технический центр Атлас» аж с 2002 года. Только это не решает задачу, и не решит никогда.
Переход на новое «безопасное ПО» это огромные денежные затраты. А денег в бюджете нет. Плюс, как показывает появление вредоносного ПО в прошивках аппаратных компонентов, необходимо разрабатывать вообще всё, а это вообще космические суммы и неподъёмная задача.
P.S.
Подстрекательство — часть 4 ст. 33 УК РФ. Неправомерный доступ к компьютерной информации — 272 УК РФ.
А вот тут совсем не понятно, какой из документов более легитимен, тот что опубликован на сайте РКН или тот что выпустило издательство РГ. Новости о публикации обоих документов весьма расплывчаты. Тем более, «комментарий» не имеет юридической силы, а это значит, что решать будут сотрудники РКН на местах…
Указанные изменения вступают в силу с 1 сентября 2015 г.
Которые осуществлют:
«Обследование и определение уровня защищенности негосударственных информационных систем персональных данных, используемых оператором при осуществлении своей непосредственной деятельности.
Оценка соответствия применяемых технических средств защиты информации.
Оценка достаточности и эффективности принимаемых оператором технических мер по обеспечению безопасности персональных данных при их обработке в негосударственных информационных системах персональных данных.
Проведение исследований, а также проведение экспертиз и расследований, направленных на установление причинно-следственной связи выявленного нарушения обязательных требований законодательства Российской Федерации в области персональных данных.»
(Административный регламент исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных, утвержденный приказом Минкомсвязи России от 14.11.2011 N 312, rkn.gov.ru/chamber-of-commerce/administrative-reglament/doc843.htm)
РКН может привлекать экспертов, которые будут смотреть техническую часть, а не бумагу.
Тем более, как показывает пример взлома Hacking Team (У которых украли несколько «полицейских троянов». И ни один из них не ловится современными антивирусами). Антивирусное средство не панацея, и должен использоваться совместно с другими средствами защиты.
Ошибка в файле C:\PentestBox\config\init.bat в переменной PATH. В куске "%pentestbox_ROOT\bin\Perl\c\bin" пропущен символ %. Должно быть "%pentestbox_ROOT%\bin\Perl\c\bin"