Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 72
«При наличии свободного ПО, это проблему решить легче, чем зависеть от элементной аппаратной базы» — это миф! И последние громкие уязвимости в мире опен сорс это подтверждают.
Доступ к исходникам у наших специальных служб уже есть. Microsoft передаёт исходники ФГУП «Научно-технический центр Атлас» аж с 2002 года. Только это не решает задачу, и не решит никогда.
Переход на новое «безопасное ПО» это огромные денежные затраты. А денег в бюджете нет. Плюс, как показывает появление вредоносного ПО в прошивках аппаратных компонентов, необходимо разрабатывать вообще всё, а это вообще космические суммы и неподъёмная задача.
P.S.
Подстрекательство — часть 4 ст. 33 УК РФ. Неправомерный доступ к компьютерной информации — 272 УК РФ.
Доступ к исходникам у наших специальных служб уже есть. Microsoft передаёт исходники ФГУП «Научно-технический центр Атлас» аж с 2002 года. Только это не решает задачу, и не решит никогда.
Переход на новое «безопасное ПО» это огромные денежные затраты. А денег в бюджете нет. Плюс, как показывает появление вредоносного ПО в прошивках аппаратных компонентов, необходимо разрабатывать вообще всё, а это вообще космические суммы и неподъёмная задача.
P.S.
Короче, качаем Shodan и тренируемся тестировать госсистемы на прочность.
Подстрекательство — часть 4 ст. 33 УК РФ. Неправомерный доступ к компьютерной информации — 272 УК РФ.
Короче, качаем Shodan и тренируемся тестировать госсистемы на прочность (в учебных целях, естественно, и заблаговременно уведомив необходимых лиц).
Здравый смысл говорит о том что закрытые исходники переданные спец-ФГУП, открытыми не становятся. Т.е. сравнивать надо вендор+ответственные лица и вендор+ответственные лица+сообщество. Где больше глаз и независимых экспертов? Где меньше вероятность протащить закладку?
А проблемы есть и будут всегда и в любом софте, это очевидно. Вопрос как с ними бороться — максимально эффективно насколько получается в прицнипе или доверится спец-ФГУП/маркетингу вендора.
А проблемы есть и будут всегда и в любом софте, это очевидно. Вопрос как с ними бороться — максимально эффективно насколько получается в прицнипе или доверится спец-ФГУП/маркетингу вендора.
здравый смысл говорит о том, что если софт прошел определенный уровень ФСТЭК, значит где-то в лаборатории у человека, получающего маленькую зарплату, лежат исходники.
Пример bash и openssl показывает: «обасрались все» и не раз.
Я так понимаю что Вы знаете софт, особенно закрытый, в котором никто и никогда не совершал Вами именованное? Полно. Не о том речь. Лучше иметь возможность изучения кода и знать что в него хоть изредка, но смотрит сообщество (помимо тех кто обязан), чем нет. Темболее в реально критических системах, о которых речь в топике.
Я написал все! И сообщество и куча вендоров и сертифицирующие компании (в астре тоже bash был дырявый), возможно только спец-службы знали и пользовались (опять паранойя разыгралась).
Вот вы говорите. Сообщество посмотрит. Да накой этому вашему сообществу что то смотреть? Проверка кода это тяжкий труд. Проверка кривого кода (чтоб работал) без нормальной документации это вдвойне тяжкий труд. Максимум хакеры посмотрят, найдут дырки и продадут эксплойт за кучу денег спец-службам.
Сообщество посмотрит, сообщество проверит, в опен сорс (свободном ПО и сколько его там типов ещё есть) нет дырок, опен сорс бесплатный. Это всё мифы.
Ни одна страна в мире не надеется на «сообщество». Сегодня оно есть, а завтра нет. Например как с утилитой mc.
Надо смотреть на вещи здраво! Виндовс наверное плохо! Но на данный момент альтернатив, чтоб было много специалистов и пользователей, нет. В школе Виндовс. В институте Виндовс. Всё. Тю Тю. Остальные решения при массовом внедрении слишком дороги.
А если учесть наличие специфического ПО только под отдельные платформы получается совсем плохо…
Вот вы говорите. Сообщество посмотрит. Да накой этому вашему сообществу что то смотреть? Проверка кода это тяжкий труд. Проверка кривого кода (чтоб работал) без нормальной документации это вдвойне тяжкий труд. Максимум хакеры посмотрят, найдут дырки и продадут эксплойт за кучу денег спец-службам.
Сообщество посмотрит, сообщество проверит, в опен сорс (свободном ПО и сколько его там типов ещё есть) нет дырок, опен сорс бесплатный. Это всё мифы.
Ни одна страна в мире не надеется на «сообщество». Сегодня оно есть, а завтра нет. Например как с утилитой mc.
Надо смотреть на вещи здраво! Виндовс наверное плохо! Но на данный момент альтернатив, чтоб было много специалистов и пользователей, нет. В школе Виндовс. В институте Виндовс. Всё. Тю Тю. Остальные решения при массовом внедрении слишком дороги.
А если учесть наличие специфического ПО только под отдельные платформы получается совсем плохо…
Какойто странный черно-белый подход. Если проблемы есть у всех, значит пользоваться надо тем что ближе лежит? Сообщство это как минимум лучше чем его отсутствие. И открытый код обьективно надежнее, доказательства живут на cvedetails. А то что и в нем есть пробемы — ну да, но их же меньше.
А что касается «вездевинда», это я бы сказал нормально. В борьбе за умы выигрывает бабло… И тоже странно — или винда или линь? А какже мы все тут живем и на винде и на лине и на макоси и на андроиде и на иос и на тд и на тп. Многобразие это хорошо. И что в нем перемены (гдето винду вытесняет опенсорс) — тоже. Мир в котором везде Linux невообразимо скучен, несмотря на его преимущества. Собственно Linux там где он сейчас только потому что реально пытается (и местами небезуспешно) конкурировать с виндой.
Возвращаясь к теме топика — так для критических систем почему Linux (даже в дырявом варианте убогой астры) не лучше чем винда? Из-за дырки в bash и еще 3-4 критических уязвимости в год? Я за всех говорить не буду, но выбор между 3-4 и «десятки» для меня очевиден. Опятьже чтобы не быть голословным, особенно колоночка 2015 — Gain Privileges радует.
А что касается «вездевинда», это я бы сказал нормально. В борьбе за умы выигрывает бабло… И тоже странно — или винда или линь? А какже мы все тут живем и на винде и на лине и на макоси и на андроиде и на иос и на тд и на тп. Многобразие это хорошо. И что в нем перемены (гдето винду вытесняет опенсорс) — тоже. Мир в котором везде Linux невообразимо скучен, несмотря на его преимущества. Собственно Linux там где он сейчас только потому что реально пытается (и местами небезуспешно) конкурировать с виндой.
Возвращаясь к теме топика — так для критических систем почему Linux (даже в дырявом варианте убогой астры) не лучше чем винда? Из-за дырки в bash и еще 3-4 критических уязвимости в год? Я за всех говорить не буду, но выбор между 3-4 и «десятки» для меня очевиден. Опятьже чтобы не быть голословным, особенно колоночка 2015 — Gain Privileges радует.
Я несколько потерял нить размышлений данной ветки. Возможно возникло недопонимание.
В разрезе топика, не важно что будет стоять Линукс или Винда.
Главная дырка критичных систем — это прокладка между монитором и клавиатурой. В качестве примера замечательный доклад. 7 смертных грехов наше всё!
После понимания что всё дуршлаг, начинаем смотреть требования специфического софта, требования регуляторов, считать деньги и т.д.
В данном вопросе только опосредовано смотрят на наличие сообщества. И то государство все поливают помоями за попытки создать сообщество в виде «Национальной ОС». У всех розовые очки евангелистов свободного и открытого ПО. Всем дебиан подавай…
cvedetails не показатель, и вот почему. Здесь работает принцип «неуловимого джо» дырок в открытом не популярном ПО находят меньше, потому что ищут меньше. Зачем злоумышленнику искать дырки в фоксит ридере, если можно найти в адоб ридере и срубить бабла (в фоксит ридере кстати есть дырки и эксплойты к ним). Это рынок. Будет спрос, будет и предложение. Плюс в базу не всё попадает. Вот например эксплойт на повышение привилегий в убунту (заметьте популярный дистрибутив) в базе cve только зарезервированный номер. А есть дырки вообще без cve номера. Или с не адекватной оценкой критичности.
Вообще тема ИБ очень многогранна. Я вот много упираю на деньги. Это в основном западный подход. Цена рисков и цена защиты. В России действует принцип выполнения требований регулятора. Что лучше? Вопрос сложный. Смотря как считать потери в трупах, штрафах или годах заключения…
Например требования по защите персональных данных все считают излишними. А сменить парадигму. Например назначить штраф за утечку данных по 1000 рублей за душу и все сразу зачешутся. И требования свои нарисуют, по круче текущих…
В разрезе топика, не важно что будет стоять Линукс или Винда.
Главная дырка критичных систем — это прокладка между монитором и клавиатурой. В качестве примера замечательный доклад. 7 смертных грехов наше всё!
После понимания что всё дуршлаг, начинаем смотреть требования специфического софта, требования регуляторов, считать деньги и т.д.
В данном вопросе только опосредовано смотрят на наличие сообщества. И то государство все поливают помоями за попытки создать сообщество в виде «Национальной ОС». У всех розовые очки евангелистов свободного и открытого ПО. Всем дебиан подавай…
cvedetails не показатель, и вот почему. Здесь работает принцип «неуловимого джо» дырок в открытом не популярном ПО находят меньше, потому что ищут меньше. Зачем злоумышленнику искать дырки в фоксит ридере, если можно найти в адоб ридере и срубить бабла (в фоксит ридере кстати есть дырки и эксплойты к ним). Это рынок. Будет спрос, будет и предложение. Плюс в базу не всё попадает. Вот например эксплойт на повышение привилегий в убунту (заметьте популярный дистрибутив) в базе cve только зарезервированный номер. А есть дырки вообще без cve номера. Или с не адекватной оценкой критичности.
Вообще тема ИБ очень многогранна. Я вот много упираю на деньги. Это в основном западный подход. Цена рисков и цена защиты. В России действует принцип выполнения требований регулятора. Что лучше? Вопрос сложный. Смотря как считать потери в трупах, штрафах или годах заключения…
Например требования по защите персональных данных все считают излишними. А сменить парадигму. Например назначить штраф за утечку данных по 1000 рублей за душу и все сразу зачешутся. И требования свои нарисуют, по круче текущих…
Я со всем согласен кроме Linux в роли неуловимого Джо. На серверах его парититно винде, а то какбы и не больше. Отчегоже тогда оценка cvedetails по Win Server распоследней некорректна? На десктопах таки да — его нет почти.
Изоляция наше все, изолированный АРМ с автоматчиком заглядывающим через плечо, что может быть прекраснее? :)
Но вот внезапно руководство ставит задачу «хочу интернета», начинают блуждать мысли что-же поставить…
Сертифицированное и дырявое отечественное СЗИ слепленное на коленке методом Дениса Попова из распространенного дистрибутива линупса, с православными же бэкдорами?
Не сертифицированное и энтерпрайзненькое циско, с бэкдорами от анб?
Или же что-то нейтральное, без привязок и компаниям и странам?
Но вот внезапно руководство ставит задачу «хочу интернета», начинают блуждать мысли что-же поставить…
Сертифицированное и дырявое отечественное СЗИ слепленное на коленке методом Дениса Попова из распространенного дистрибутива линупса, с православными же бэкдорами?
Не сертифицированное и энтерпрайзненькое циско, с бэкдорами от анб?
Или же что-то нейтральное, без привязок и компаниям и странам?
На счет проверки мифической проверки «сообществом», просто оставлю эту ссылку здесь…
Ну да. Молодцы. 2 месяца и 2 года. Это значительно лучше, чем 25 лет для поиска Shellshock.
К сожалению, это не отменяет непостоянство сообщества. Сегодня проект в мейнстриме, его смотрят, завтра он сообществу не нужен и тю тю. Я мало слежу за деятельностью сообществ в открытом ПО. Так что пример непостоянства у меня только один (mc). Мы получаем недокументированное нечто без поддержки. А это большие риски. Они не выгодны.
К сожалению, это не отменяет непостоянство сообщества. Сегодня проект в мейнстриме, его смотрят, завтра он сообществу не нужен и тю тю. Я мало слежу за деятельностью сообществ в открытом ПО. Так что пример непостоянства у меня только один (mc). Мы получаем недокументированное нечто без поддержки. А это большие риски. Они не выгодны.
Это исследование не показательно ведь. Там был кусок зашифрованного текста, который у любопытных обязательно вызовет интерес. В тоже время код реальных уязвимостей и даже просто ошибок это обычно незаметные ошибки либо просто тяжело читаемый код. Помимо этого исследования на тему ИБ это специфические процедуры и многие вещи просто так не выявить, так что просто надеяться только на сообщество в этом вопросе совершенно бессмысленно.
Заголовок статьи: «Уязвимости систем безопасности Министерства Обороны, ФСБ, ФСИН, АЭС, метрополитена и федеральных автодорог». Честно говоря, рассчитывал их увидеть.
По личному опыту — там проблема совсем-совсем не в ПО, которое закупается, а в отсутствии управления проектами/попилы/отсутствие специалистов на местах
По личному опыту — там проблема совсем-совсем не в ПО, которое закупается, а в отсутствии управления проектами
Вы у меня оставляете сложное впечатление. С одной стороны, линукс, опенсорс, хорошо. С другой стороны синдром «враги вокруг» — плохо.
Например, меня откровенно коробит продвижение всяких странных локальных дистрибутивов, вместо Debian.
Например, меня откровенно коробит продвижение всяких странных локальных дистрибутивов, вместо Debian.
«враги вокруг»
Паранойя. Просто часть профессиональной деформации людей занимающихся безопасностью чего либо.
Например, меня откровенно коробит продвижение всяких странных локальных дистрибутивов, вместо Debian.
А что Вас коробит? Создание локальных рабочих мест? Сертификация специфического продукта с заданными характеристиками? Разработка навесных систем контроля от НСД, которые могут не взлететь на сторонних дистрибутивах?
Поясняю, что коробит. Все эти локальные конторки в лучшем случае перепаковывают rhel, в худшем — изобретают уродливые велосипеды. Их уродство делится на три уровня:
1. Массовая прихватизация всех возможных копирайтов (вы не можете без нашего разрешения бла-бла-бла). В Debian для этого есть публичный договор и довольно суровая полиси, охраняющая свободу дистрибутива.
2. Перевод govenrnance с комьюнити в руки наёмных менеджеров. Которые будут менять проект под нужды компании (в лучшем случае) или будут некомпетентными (в худшем). В сравнении с этим Debian придерживается модели технократической демократии, когда решения принимаются только теми, кто в вопросе разбирается.
3. Ни один из этих дистрибутивов не может ясно сформулировать цель своего существования (если отмахнуться от «отчественное» и прочих ватников с баянами под водочку с танцующими на ярмарке медведями). У Debian цель очень спокойная и глобальная — получить стабильную и свободную ОС. У арча — быть на bleeding edge, etc. У кучи коммерческих дистрибутивов (включая бубунту) — нахапать себе пользователей и начать продавливать платные решения (landscape, ага, ага), или даже честно — зарабатывать на саппорте (RH/RHEL).
Если мы говорим про то, как это должно быть правильно, то это должна быть некоммерческая организация, которая ставит своей целью не получение прибыли а обеспечение работы дистрибутива, а её существование осуществляется за счёт благотворительности. Почему у меня по описанию получается SPI?
Рабочие же места должны появляться не в «отделах распила бюджета» а в режиме scratch your own itch. Нужно — делаем. Кому нужно за это платит, остальное дотягивает сообщество.
1. Массовая прихватизация всех возможных копирайтов (вы не можете без нашего разрешения бла-бла-бла). В Debian для этого есть публичный договор и довольно суровая полиси, охраняющая свободу дистрибутива.
2. Перевод govenrnance с комьюнити в руки наёмных менеджеров. Которые будут менять проект под нужды компании (в лучшем случае) или будут некомпетентными (в худшем). В сравнении с этим Debian придерживается модели технократической демократии, когда решения принимаются только теми, кто в вопросе разбирается.
3. Ни один из этих дистрибутивов не может ясно сформулировать цель своего существования (если отмахнуться от «отчественное» и прочих ватников с баянами под водочку с танцующими на ярмарке медведями). У Debian цель очень спокойная и глобальная — получить стабильную и свободную ОС. У арча — быть на bleeding edge, etc. У кучи коммерческих дистрибутивов (включая бубунту) — нахапать себе пользователей и начать продавливать платные решения (landscape, ага, ага), или даже честно — зарабатывать на саппорте (RH/RHEL).
Если мы говорим про то, как это должно быть правильно, то это должна быть некоммерческая организация, которая ставит своей целью не получение прибыли а обеспечение работы дистрибутива, а её существование осуществляется за счёт благотворительности. Почему у меня по описанию получается SPI?
Рабочие же места должны появляться не в «отделах распила бюджета» а в режиме scratch your own itch. Нужно — делаем. Кому нужно за это платит, остальное дотягивает сообщество.
Например, меня откровенно коробит продвижение всяких странных локальных дистрибутивов, вместо Debian.
Меня откровенно коробит продвижение всяких странных дистрибутивов, вместо CentOS.
Я понял ваш поинт, но упор тут был не на конкретный дистрибутив, а на комьюнити с публичным договором и отсутствием «коммерческого интереса» за ним.
Центос, кстати, по этому критерию больше не проходит, т.к. был куплен Рэдхэтом и полностью следует их политики.
Центос, кстати, по этому критерию больше не проходит, т.к. был куплен Рэдхэтом и полностью следует их политики.
Данный пост не про «Отечественную ОС». А про безопасность.
В разрезе темы ИБ, комьюнити с публичным договором никого не интересует. Нет никаких гарантий. Нет юр. лица для судебного иска. Ничего нет, кроме, возможно, «качественного ПО».
А Астра линукс это отдельная, управляемая ветка дебиан. Которая соответствует ряду требований регулирующих органов. Поддерживается отечественным производителем.
Создание «Отечественной ОС», на мой взгляд, это химера.
В разрезе темы ИБ, комьюнити с публичным договором никого не интересует. Нет никаких гарантий. Нет юр. лица для судебного иска. Ничего нет, кроме, возможно, «качественного ПО».
А Астра линукс это отдельная, управляемая ветка дебиан. Которая соответствует ряду требований регулирующих органов. Поддерживается отечественным производителем.
Создание «Отечественной ОС», на мой взгляд, это химера.
Судебного иска? Смешно. Вы когда последний раз EULA читали на тему ответственности поставщика?
Если кто-то служит сертификационной прокладкой для нормального дистрибутива, то ок. «Типа бизнес». Суть бизнеса состоит в том, чтобы в случае чего чинуша или менеджер имел прикрытую сертификацией задницу.
Если кто-то служит сертификационной прокладкой для нормального дистрибутива, то ок. «Типа бизнес». Суть бизнеса состоит в том, чтобы в случае чего чинуша или менеджер имел прикрытую сертификацией задницу.
Иметь бумажки для суда и соответствовать требованиям регуляторов — это тоже задача, которую надо решать.
Как хорошо ложится обсуждаемый здесь вопрос на колбасу в магазине. Все евангелисты открытого ПО за продукты бабы Мани из соседнего села. Без сертификатов санпина.
Вроде всё натурально и вкусно. Но когда траванёшся, поздно будет.
Как хорошо ложится обсуждаемый здесь вопрос на колбасу в магазине. Все евангелисты открытого ПО за продукты бабы Мани из соседнего села. Без сертификатов санпина.
Вроде всё натурально и вкусно. Но когда траванёшся, поздно будет.
Ну, «бумажки для суда» это важно, но с технарской стороны — это другой волшебный мир с другими волшебными метриками. Для технаря важно, что работает и насколько хорошо, для «бумажки для суда» важно чтобы бумажки, а что там внутри — да хоть неонка, главное, с сертификатом.
Насчёт «бабы Мани» — скорее, проверенный бренд. И да, я живу на Кипре, так что тут без «сертификатов санпина» количество пищевых отравлений на тысячу съеденных килограммов существенно меньше. Настолько меньше, что у меня возникает подозрение, не ядовитые ли сертификаты санпина, если с ними травишься, а без них — нет.
Насчёт «бабы Мани» — скорее, проверенный бренд. И да, я живу на Кипре, так что тут без «сертификатов санпина» количество пищевых отравлений на тысячу съеденных килограммов существенно меньше. Настолько меньше, что у меня возникает подозрение, не ядовитые ли сертификаты санпина, если с ними травишься, а без них — нет.
Человечеству вообще как-то плохо даются сложные системы. Куда ни глянь, дыры, лапша, труха, помойка. Почему так?
Лень.
Куда не глянь — оно рок солид. А речь идёт про единичные дыры, крайне редкие (но от этого не менее болезненные). Проблема с ошибками в безопасности, что достаточно «хотя бы одной» для компрометации. А сколько при этом «не ошибки» никого не волнует. То есть если у нас на миллиард строк кода одна дыра вида heartbleed, то всё плохо. И если строк станет сто миллиардов, а ошибка будет такого же размера, то никого не будет интересовать, что частота ошибок на строку кода упала в сто раз.
По поводу heartbleed, можно побыть немножко «хакером», постаить себя на место злоумышленника и представить, что что у тебя очень высокая квалификация и нужно не найти, а создать массовую уязвимость, затрагивающую как можно большее количество хостов.
Как бы вы это сделали, если у вас есть приличные человеческие, временные, финансовые и репутационные ресурсы? Сравните ваш теоретический сценарий с историей возникновения heartbleed.
Как бы вы это сделали, если у вас есть приличные человеческие, временные, финансовые и репутационные ресурсы? Сравните ваш теоретический сценарий с историей возникновения heartbleed.
Я бы попробовал пропихнуть криптоалгоритм с бэкдором, как делала это NSA. Ну и активно бы пользовался системами с закрытым кодом — ipmi, SMM в соверменном x86, ACPI, etc.
Добиться complience в отношении железа куда проще, а эффект будет куда как более долгосрочный, потому что HB просто пропатчили и всё.
Добиться complience в отношении железа куда проще, а эффект будет куда как более долгосрочный, потому что HB просто пропатчили и всё.
Потому что математически невозможно даже однозначно определить стойкость популярных шифров, не то что провалидировать сотни миллионов процессорных комманд.
Остальное лишь последствия не очень детерменированного процесса.
Еще можно предположить, что выявление количества уязвимостей большего на порядок потребует на десять порядков больше ресурсов, чем сейчас на это тратится. Все вращается вокруг некого разумного оптимума. И лично для меня это весьма комфортный оптимум.
А актуальной проблемой безопасности сейчас является скорее медленное смещения tradeoff между ней и комфортом использования.
Остальное лишь последствия не очень детерменированного процесса.
Еще можно предположить, что выявление количества уязвимостей большего на порядок потребует на десять порядков больше ресурсов, чем сейчас на это тратится. Все вращается вокруг некого разумного оптимума. И лично для меня это весьма комфортный оптимум.
А актуальной проблемой безопасности сейчас является скорее медленное смещения tradeoff между ней и комфортом использования.
OpenSource тоже не спасения от всех бед, уязвимости в Openssl вон активно использовали втихаря, не смотря на открытость. Хотите надежно — выбирайте версию софта, проводите полный аудит кода и пользуйтесь. А еще лучше залейте свинцом все порты и отрубите все интерфейсы. В конце концов остается уровень контроллеров, который тоже вполне уязвим.
Просто к слову про линуксовые системы безопасности: довелось поработать в госконторке которая занималась установкой систем видеонаблюдения на военные корабли (в том числе и на корветы проектов 20380+20385), делалось все на дебиане, ставился он в стандартной поставке, не удалялись ни демоны блютуза, ни почтовые клиенты, ни гном (нужно было только ядро и v4l2+systemV). На мой робкий вопрос «какого хрена» было сказано что система изолирована, а заниматься этим некому. Вообще работало все на честном слове, даже базовые службы безопасности линукса были не настроены, на всех машинах один пароль на рута и нерута. Вся безопасность держится на основании того что на корабле посторонних нет:)
Просто к слову про линуксовые системы безопасности: довелось поработать в госконторке которая занималась установкой систем видеонаблюдения на военные корабли (в том числе и на корветы проектов 20380+20385), делалось все на дебиане, ставился он в стандартной поставке, не удалялись ни демоны блютуза, ни почтовые клиенты, ни гном (нужно было только ядро и v4l2+systemV). На мой робкий вопрос «какого хрена» было сказано что система изолирована, а заниматься этим некому. Вообще работало все на честном слове, даже базовые службы безопасности линукса были не настроены, на всех машинах один пароль на рута и нерута. Вся безопасность держится на основании того что на корабле посторонних нет:)
О какой безопасности можно говорить, когда на Хабре и подобных ему ресурсах, «недо Сноудены» рассказывают про устройство различных систем военных кораблей… Рассказывают как они ломали программки во время срочки… И ещё много чего…
Выше по ссылке правильно написано про глупость…
Выше по ссылке правильно написано про глупость…
Проблема не в том что рассказывают про «безопасность», а про ее отсутствие. Тут нет никаких сверхъестественных способов вторжения, все дыры в безопасности обычно на уровне ленивой домохозяйки с убунтой.
Опасность заключается скорее в бездарных кадрах и отсутствии контроля со стороны органов. Год назад заговорили о том что на объекты минобороны можно будет ставить только лицензированную в ФСБ систему, может это бы избавило от проблем ленивых начальников проекта. Насколько я знаю никаких сподвижек в эту сторону до сих пор нет, да и вопрос — какие умельцы и как в ФСБ занимаются лицензированием того же альтлинукса.
Опасность заключается скорее в бездарных кадрах и отсутствии контроля со стороны органов. Год назад заговорили о том что на объекты минобороны можно будет ставить только лицензированную в ФСБ систему, может это бы избавило от проблем ленивых начальников проекта. Насколько я знаю никаких сподвижек в эту сторону до сих пор нет, да и вопрос — какие умельцы и как в ФСБ занимаются лицензированием того же альтлинукса.
У МО своя сертификация, за исключением криптографии, которая для всех ведомст и почти всех отраслей под ФСБ.
И вообще. Сертификат штука интересная. Надо не заголовки новостей про сертификацию читать, а смотреть текст сертификата и ТУ на изделее. Можно много нового для себя открыть.
И вообще. Сертификат штука интересная. Надо не заголовки новостей про сертификацию читать, а смотреть текст сертификата и ТУ на изделее. Можно много нового для себя открыть.
Я не настолько долго проработал в отрасли чтобы заинтересоваться сертифицированием, к сожалению на данном конкретном проекте все предпринималось для текучки кадров, что приводило к выпаданию в осадок постоянных членов коллектива с нулевой квалификацией. Большая часть увольняющихся уходила только из-за того что было стыдно за результат перед приемщиками, проекты сдавались с 5-6 попытки с просрочкой более года, удивительно как их вообще предоставляли (я так подозреваю за откат).
Вопрос с кадрами в России один из самых больных. И связан он с несколькими моментами:
1) убитая совецкая система образования (по разным причинам, в оснавном отсутствие денег у вузов и производные);
2) отсутствие качественного отсева людей с плохим образованием при найме (лиш бы корочка была);
3) не желание молодежи работать, а желание получать космическое бабло за просто так.
К сожалению, не принять проекты товарищи из МО не могли (и дело не совсем в откатах, хотя они наверняка присутствовали). Просто, деньги убиты, время убито, значит должен быть результат. Если его нет, кто то лишится должности…
1) убитая совецкая система образования (по разным причинам, в оснавном отсутствие денег у вузов и производные);
2) отсутствие качественного отсева людей с плохим образованием при найме (лиш бы корочка была);
3) не желание молодежи работать, а желание получать космическое бабло за просто так.
К сожалению, не принять проекты товарищи из МО не могли (и дело не совсем в откатах, хотя они наверняка присутствовали). Просто, деньги убиты, время убито, значит должен быть результат. Если его нет, кто то лишится должности…
По 3 пункту хочу сказать что это не так, работать хотели, работали много и на совесть. Но благодаря ключевым кадрам просто опускались руки, т.к. все делалось через *опу, несмотря на благие намерения наивных сотрудников. Про откаты — отдельная тема, т.к. у директора была тачка за 7 лямов при среднем окладе сотрудников 25к. С приемом проектов все ясно, не понятно как один и тот же заказчик приходил за одной и той же ненадежной, кривой и дорогой системой, при том что были вполне рабочие решения у конкурентных фирм.
По первым 2 пунктам- собеседование заключалось в следующем:
-«Вы согласны у нас работать?»
-«Да»
-«Вы нам подходите, первый день завтра».
Мои профессиональные навыки и дипломы никого не интересовали.
По первым 2 пунктам- собеседование заключалось в следующем:
-«Вы согласны у нас работать?»
-«Да»
-«Вы нам подходите, первый день завтра».
Мои профессиональные навыки и дипломы никого не интересовали.
Что за истерика? Windows в госслужбах у нас везде. А там, где Linux, в 99% случаев его ставят те же виндовые админы, и в результате дыр в системе еще больше, просто из-за неправильной настройки. Проблема не в ОС, а системе, которой совершенно плевать на ИБ и, в особенности, на ЗП у безопасников.
Да что за бред, использование Windows и Java само по себе не является какой то брешью в безопасности. Если правильно все настроить то все будет хорошо, а уязвимости везде есть, в том числе в open source
Упоминается Astra. Вот интересная дискуссия и не менее интересное поведение лиц причастных к Astra. Мерзко, знаете ли…
Мде, очередной BolgenOS, только еще и косячный. Не знал, думал хоть там все серьезно.
Для понимания почему нет тех или иных пакетов надо смотреть в сторону сертификации и области применения.
Не всё там связано с кривыми руками разработчиков.
Не всё там связано с кривыми руками разработчиков.
Только разработчики в грубой форме так и не смогли объяснить ни позиционирование системы, ни отсутствие пакетов, ни наличие уязвимостей.
Разработчики? Джуниор, который вышел побалтать в пейсбук? Он и не знает почему нет тех или иных пакетов. А грубость — это только показатель отсутствия воспитания у отдельных индивидов.
Выкинуты те пакеты которые работают с высокими привилегиями и не совместимы с системой мандатного разграничения прав доступа входящей в дистрибутив (не надо путать с доступными на рынке SELinux и т.д.).
Также выкинуты пакеты которые не будут использоваться в изолированных системах, например OpenSSL. Это не ГОСТ криптография.
Вообще системы с данной ОС создаются, настраиваются и потом работают 3-5 лет. Их никто не обновляет, не перенастраивает. Они просто работают.
По поводу патчей. Они выходят редко, так как каждый патч это пересертификация всей ОС. А это минимум пол года и трата денег. Плюс они не нужны эксплуатантам. Принцип «Работает не трогай» никто не отменял. Малоли как криворукие разработчики создали дополнительный софт для закрытых систем. Обновишь, а оно и рухнет.
Так что, сертифицированная ОС это другой мир.
Выкинуты те пакеты которые работают с высокими привилегиями и не совместимы с системой мандатного разграничения прав доступа входящей в дистрибутив (не надо путать с доступными на рынке SELinux и т.д.).
Также выкинуты пакеты которые не будут использоваться в изолированных системах, например OpenSSL. Это не ГОСТ криптография.
Вообще системы с данной ОС создаются, настраиваются и потом работают 3-5 лет. Их никто не обновляет, не перенастраивает. Они просто работают.
По поводу патчей. Они выходят редко, так как каждый патч это пересертификация всей ОС. А это минимум пол года и трата денег. Плюс они не нужны эксплуатантам. Принцип «Работает не трогай» никто не отменял. Малоли как криворукие разработчики создали дополнительный софт для закрытых систем. Обновишь, а оно и рухнет.
Так что, сертифицированная ОС это другой мир.
Да, я никак не аффилированн с русбиттехом. Просто ИБ моя основная сфера работы и интересов.
Там не разработчики, там руководство. Отсутствие воспитания у руководства — показатель херового отношения к клиенту, которого фактически еще силой обязывают использовать.
Как специалисту по ИБ — система которую не обновляют по 3-5 лет, это ок?
Что-то опасный этот «другой мир». Может нужно менять правила сертификации, причем взывать к этому должны как раз разработчики сертифицированных систем.
Как специалисту по ИБ — система которую не обновляют по 3-5 лет, это ок?
Что-то опасный этот «другой мир». Может нужно менять правила сертификации, причем взывать к этому должны как раз разработчики сертифицированных систем.
А зачем её обновлять? Замкнутые системы (ничего не подключить, Интернет только за криптошлюзом, тоесть его нет). Внутренних злоумышленников на бумаге нет (только индивиды «подзарядить мобильник»). В качестве злоумышленника рассматривается организации с максимальными возможностями. В таких условиях разницы между известной и не известной уязвимостью нет. Плюс навесная система ИБ, плюс орг. меры.
В случае с астрой главный киент МО (оно же пишет требования, сертифицырует и платит деньги). Желание промежуточных разработчиков использовать мейнстрим решения в создаваемых системах не нужны главному заказчику.
А альтернатив существующей системе сертификации нет. И никто предложить не сможет.
Отзывать сертификат за найденную уязвимость не выход. Потому что всё встанет. Проверять патчи на совместимость со всеми приложениями никто не даст. Да и сертификация на 4 класс НДВ это ничто (по сути проверка комплекта документов на соответствие функционалу). А провести сертификацию современного софта на 3-1 классы не возможно. У нас банально нет доверенного компилятора. Да и тестировать там можно годами.
Зачем? Разработчики и сейчас без особого труда зарабатывают на хорошее пропитание.
Вы не сталкивались с СУБД Oracle в живых системах. Они могут и по 10 лет без патчей жить. Вас никто к ней с патчем на пушечный выстрел не подпустит.
Мы живём не в идеальном мире. И приходя в ИБ надо с этим мириться.
к клиенту, которого фактически еще силой обязывают использовать.
В случае с астрой главный киент МО (оно же пишет требования, сертифицырует и платит деньги). Желание промежуточных разработчиков использовать мейнстрим решения в создаваемых системах не нужны главному заказчику.
А альтернатив существующей системе сертификации нет. И никто предложить не сможет.
Отзывать сертификат за найденную уязвимость не выход. Потому что всё встанет. Проверять патчи на совместимость со всеми приложениями никто не даст. Да и сертификация на 4 класс НДВ это ничто (по сути проверка комплекта документов на соответствие функционалу). А провести сертификацию современного софта на 3-1 классы не возможно. У нас банально нет доверенного компилятора. Да и тестировать там можно годами.
Может нужно менять правила сертификации, причем взывать к этому должны как раз разработчики сертифицированных систем.
Зачем? Разработчики и сейчас без особого труда зарабатывают на хорошее пропитание.
Как специалисту по ИБ — система которую не обновляют по 3-5 лет, это ок?
Вы не сталкивались с СУБД Oracle в живых системах. Они могут и по 10 лет без патчей жить. Вас никто к ней с патчем на пушечный выстрел не подпустит.
Мы живём не в идеальном мире. И приходя в ИБ надо с этим мириться.
А зачем её обновлять? Замкнутые системы (ничего не подключить, Интернет только за криптошлюзом, тоесть его нет)
То есть вся защищенность системы строится на том что ее никто не будет пытаться взломать? В чем в таком случае смысл платить за сертификат, если от известных уязвимостей система не защитит, а от неизвестных не спастись?
Я не троллю, я просто пытаюсь понять логику не с точки зрения растрат на сертификаты, а с точки зрения практической ИБ.
А вы почитайте тред по ссылке. Там примерно об этом и говорится: сертифицированный дистрибутив нельзя выставлять в интернет, поэтому по объяснению инженера и по решению ответственного лица, берется не сертифицированный.
Всё равно никто не верит в то, что можно защитить софтом всё на 100% и сделать доступ в интернет, сохранив полную защищенность.
Всё равно никто не верит в то, что можно защитить софтом всё на 100% и сделать доступ в интернет, сохранив полную защищенность.
Я уже писал. Читайте сертификат, читайте требования к сертификации, читайте ТУ. Там всё написано. Сертификат это не панацея. Он не спасает от всех проблем. Он просто сообщает о соответствии продукта заданным требованиям. Всё. Есть желание. Создайте НКО Дебиан. Отсыпте бабла. Напишите комплект документов по ГОСТ и пройдите сертификацию. И раздавайте его бесплатно. Многие Вам спасибо скажут. Многие останутся без работы.
Плюс упомянутые сертифицированные дистрибутивы работают из коробки с техническими средствами ИБ (электронные замки и т.д.). Небольшой бонус от разработчиков.
Вообще сертификация у нас присутствует везде, но не все об этом задумываются. Какая разница между колбасой с комбината и из соседней деревни от бабы Мани? Серым и белым мобильником? Наличие бумажки! Если вдруг окажется, что продукт не соответствует бумажке, можно подать в суд.
Не верная постановка вопроса. Защита подавляющего числа критических систем строится на изолированности, а также орг. и тех. мерах, ограничевающих доступ и не правомерные действия персонала.
Плюс упомянутые сертифицированные дистрибутивы работают из коробки с техническими средствами ИБ (электронные замки и т.д.). Небольшой бонус от разработчиков.
Вообще сертификация у нас присутствует везде, но не все об этом задумываются. Какая разница между колбасой с комбината и из соседней деревни от бабы Мани? Серым и белым мобильником? Наличие бумажки! Если вдруг окажется, что продукт не соответствует бумажке, можно подать в суд.
То есть вся защищенность системы строится на том что ее никто не будет пытаться взломать?
Не верная постановка вопроса. Защита подавляющего числа критических систем строится на изолированности, а также орг. и тех. мерах, ограничевающих доступ и не правомерные действия персонала.
Речь же не только о замкнутых системах. Как с «офисом» быть?
Я понял. Разработчики зарабатывают на хорошее пропитание. Совести и ответственности нет. Сертифицируют продукты же
Это какое-то преимущество? Т.е. если известно про проблему, особенно связанную с безопасностью, то надо успокоится и никого не пускать. Ибо «работает — не трогай». Только вот и поломаться может. История со Сбером еще жива в памяти.
И рано или поздно, подобные системы заставят воздвигнуть на рабочие станции, фактически торчащие наружу. Потому что защищаются они теми же не обновляемыми средствами. Ну может, кроме залитых эпоксидкой USB портов.
Вас, как специалиста по ИБ, устраивает участь смирившигося? Не западло нести ответственность за чью-то халатность?
Зачем? Разработчики и сейчас без особого труда зарабатывают на хорошее пропитание.
Я понял. Разработчики зарабатывают на хорошее пропитание. Совести и ответственности нет. Сертифицируют продукты же
Вы не сталкивались с СУБД Oracle в живых системах. Они могут и по 10 лет без патчей жить.
Это какое-то преимущество? Т.е. если известно про проблему, особенно связанную с безопасностью, то надо успокоится и никого не пускать. Ибо «работает — не трогай». Только вот и поломаться может. История со Сбером еще жива в памяти.
И рано или поздно, подобные системы заставят воздвигнуть на рабочие станции, фактически торчащие наружу. Потому что защищаются они теми же не обновляемыми средствами. Ну может, кроме залитых эпоксидкой USB портов.
Вас, как специалиста по ИБ, устраивает участь смирившигося? Не западло нести ответственность за чью-то халатность?
Не путайте кислое с красным и мягким.
1) Систему создали, поставили, настроили и она работает. В условиях России не заложили при разработке тестовый стенд. Криворукие программисты и инженеры не написали качественной документации (ни по госту, ни просто).
2) В системе нашли уязвимость. встаёт выбор:
— накатить патч и возможно угробить систему (без документации) в которой решаются критические задачи;
— не накатывать патч и пусть себе живёт;
— ввести компенсирующие меры (межсетевой экран, бумажка, антивирус, дополнительный админ с бубном и т.д.).
В каждом случае задача решается поразному. Зависит от бюджета. Наличия кадров. Дурость руководства. И ещё много чего.
1) Систему создали, поставили, настроили и она работает. В условиях России не заложили при разработке тестовый стенд. Криворукие программисты и инженеры не написали качественной документации (ни по госту, ни просто).
2) В системе нашли уязвимость. встаёт выбор:
— накатить патч и возможно угробить систему (без документации) в которой решаются критические задачи;
— не накатывать патч и пусть себе живёт;
— ввести компенсирующие меры (межсетевой экран, бумажка, антивирус, дополнительный админ с бубном и т.д.).
В каждом случае задача решается поразному. Зависит от бюджета. Наличия кадров. Дурость руководства. И ещё много чего.
И рано или поздно, подобные системы заставят воздвигнуть на рабочие станции, фактически торчащие наружу. Потому что защищаются они теми же не обновляемыми средствами. Ну может, кроме залитых эпоксидкой USB портов.
Дураки есть везде. И в России и за рубежом.
При этом есть дураки особенные. Которым нужен мейнстрим и айфон в критических системах. Вот с ними только бумажкой можно бороться. В бумажке написано: сертифицировать, аттестовать, опломбировать, никаких подключений к Интернету + автоматчик с инструкцией около каждого оператора. По другому никак.
Как с «офисом» быть
Пост про критичные системы.
В офисе совсем другие законы. Хотя тоже про деньги.
У нас ( Эрливидео / Flussonic ) всё на линуксе + html.
Я про нас говорю, потому что мы, например, на тендере без особых проблем выдавили milestone.
Я про нас говорю, потому что мы, например, на тендере без особых проблем выдавили milestone.
Вопросы по выводу:
> Windows, JAVA и другое системное ПО не допустимо использовать в контурах систем безопасности
1. Что подразумевается под «системным ПО»?
2. Почему Windows и Java перечислены через запятую? Существует несколько реализаций виртуальной машины Java, в том числе и с открытыми исходными кодами.
> Windows, JAVA и другое системное ПО не допустимо использовать в контурах систем безопасности
1. Что подразумевается под «системным ПО»?
2. Почему Windows и Java перечислены через запятую? Существует несколько реализаций виртуальной машины Java, в том числе и с открытыми исходными кодами.
1. Системное ПО — операционные системы, СУБД, средств виртуализации и удаленного администрирования. То есть то, что обычно не разрабатывается в составе прикладного ПО.
2. Отечественные системы безопасности на JAVA, приведенные в статье используют реализации с закрытым кодом. Возможно, реализации машины Java с открытым кодом имеют ограниченный функционал или недостаточную стабильность. Так в состав Astra Linux включен OpenJDK 7, выпущенного в 2011 г.
2. Отечественные системы безопасности на JAVA, приведенные в статье используют реализации с закрытым кодом. Возможно, реализации машины Java с открытым кодом имеют ограниченный функционал или недостаточную стабильность. Так в состав Astra Linux включен OpenJDK 7, выпущенного в 2011 г.
Вёрстка статьи — жесть, конечно.
Причина нынешних кризисов с безопасностью — усложнение программного обеспечения, причём усложнение часто неоправданное.
Люди делятся и всегда делились на несколько каст. Например, «разработчики» софта и «пользователи» софта. Что требуют «пользователи»? MS Word. Что требуют «разработчики»? Notepad+Markdown. При этом «пользователи» в Word создают, в массе своей, тривиальные документы, плохо структурированные и с разъезжающимся форматированием. Но они тратят на это ресурсы мегасложной программы, ресурсы тратят, а пользоваться ими всё равно не умеют. Та же история и с дистрибутивами — для огромного слоя системных администраторов от дистрибутива требуется немного — запустить ssh, bind, postfix, postgresql — и всё. А приходится ставить Debian на 5(?) DVD.
Решение проблемы безопасности софта (ну или информационных систем) может быть только одно — упрощение софта и его расслоение по уровню сложности. Уменьшение размера серверных дистрибутивов, изоляция рабочих мест, на которых используются пользовательские программы сложнее Notepad, написанного на тестируемом языке. Каждая программа должна иметь индекс риска быть небезописной, каждый протокол должен иметь базовую безопасную версию.
На всё это потребуются ресурсы, казалось бы. На самом деле не так. Пример — усложнение протокола HTTP, предложенное (и уже отозванное, но не в этом дело) google для загрузки страниц с кучей графики. Но просто не надо загружать кучу скриптов и картинок — простой интерфейс этого не требует — и окажется, что HTTP/1.0 достаточно.
Как пример, реализация информационной системы в браузере — обычный сайт. Сейчас хороший сайт оптимизирован для телефона, десктопа, wap. Несколько уровней сложности. Это должно быть внедрено повсеместно, на законодательном уровне. Хочешь безопасности — пользуйся упрощённым сайтом, для просмотра которого требуется упрощённый браузер, работающий в упрощённой операционной системе. И это единстввенный вариант построить защищённую среду. Сложный софт защищён быть не может.
Люди делятся и всегда делились на несколько каст. Например, «разработчики» софта и «пользователи» софта. Что требуют «пользователи»? MS Word. Что требуют «разработчики»? Notepad+Markdown. При этом «пользователи» в Word создают, в массе своей, тривиальные документы, плохо структурированные и с разъезжающимся форматированием. Но они тратят на это ресурсы мегасложной программы, ресурсы тратят, а пользоваться ими всё равно не умеют. Та же история и с дистрибутивами — для огромного слоя системных администраторов от дистрибутива требуется немного — запустить ssh, bind, postfix, postgresql — и всё. А приходится ставить Debian на 5(?) DVD.
Решение проблемы безопасности софта (ну или информационных систем) может быть только одно — упрощение софта и его расслоение по уровню сложности. Уменьшение размера серверных дистрибутивов, изоляция рабочих мест, на которых используются пользовательские программы сложнее Notepad, написанного на тестируемом языке. Каждая программа должна иметь индекс риска быть небезописной, каждый протокол должен иметь базовую безопасную версию.
На всё это потребуются ресурсы, казалось бы. На самом деле не так. Пример — усложнение протокола HTTP, предложенное (и уже отозванное, но не в этом дело) google для загрузки страниц с кучей графики. Но просто не надо загружать кучу скриптов и картинок — простой интерфейс этого не требует — и окажется, что HTTP/1.0 достаточно.
Как пример, реализация информационной системы в браузере — обычный сайт. Сейчас хороший сайт оптимизирован для телефона, десктопа, wap. Несколько уровней сложности. Это должно быть внедрено повсеместно, на законодательном уровне. Хочешь безопасности — пользуйся упрощённым сайтом, для просмотра которого требуется упрощённый браузер, работающий в упрощённой операционной системе. И это единстввенный вариант построить защищённую среду. Сложный софт защищён быть не может.
Хорошая попытка, но… «патриотизм» зашкаливает. В следующий раз будьте объективнее.
О господи. Реклама Альтлинукса. Надо сказать, что это та ещё мерзотная пакость.
Конечно, это не МСВС. Но…
Конечно, это не МСВС. Но…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Уязвимости систем безопасности Министерства Обороны, ФСБ, ФСИН, АЭС, метрополитена и федеральных автодорог