Уязвимость блокировщика экрана в Astra Linux Special Edition (Смоленск)

[Dganic]

Круто, теперь наблюдаем за скоростью попадания этой уязвимости в БДУ ФСТЭК и ща скоростью ее закрытия Русбитехом.
И кстати у вас во втором пункте немного ошибка, теперь на Астре разрешена обработка сведений с грифом "особой важности"

[W_Hacker]

На официальном сайте даже написано, что до степени “совершенно секретно” включительно

[zonek]

Соответствует требованиям документов: Профиль защиты ОС(А первого класса защиты. ИТ.ОС.А1.ПЗ), Профиль защиты ОС(А второго класса защиты. ИТ.ОС.А2.ПЗ), Требования к ОС

1,2,3 используются для АС обрабатывающие гос. тайну
Как понимаю 1класс это ОВ далее СС и С
А — это ОС общего назначения.

[specblog]

Уже в БДУ: bdu.fstec.ru/vul/2019-02442
И заявлено исправление: wiki.astralinux.ru/pages/viewpage.action?pageId=53644505
В качестве источника в БДУ указана эта статья. Интересно, пытался ли автор статьи сообщить об уязвимости какими-либо другими способами.

[Sleuthhound]

Это не уязвимость, а доступ для «гражданина майора», но ничего, раз раскрыли, то создадут новый вариант.

[androidovshchik]

Больше похоже на баг, а не фичу

[BoogieMan75]

странная уязвимость…

[Gutt]

Раз-ре-ше-ни-е! Resolution, а не Extension. Но бага, безусловно, серьёзная. Хотя я вот однажды компьютер для СС на Windows 2000 готовил, и ничего. Даже диск не шифровался, и при этом был съёмным для возможности быстрого уничтожения. Хотя, казалось бы, ОС производства потенциального противника.

[amarao]

Такого рода уязвимости для скринсейверов, к сожалению, не пройдут без перехода на wayland. X'ы слишком долбанутые, чтобы там хоть что-то можно было сделать точно так, как задумывалось. И modeset — это один из кошмариков.

[Jerry88]

Интересно, а дополнения VirtualBox или VmWare, которые непосредственно и меняют разрешение включены в AstraLinux или установлены отдельно?
Если отдельно, то на таком экземпляре ОС уже нельзя гарантировать сохранность чего-либо.
Так можно и кучу своего ПО поставить, которое будет отсылать видео с экрана, а потом кричать на Русбитех, что они не исправляют ошибки.

[Abir4eg]

У русбитеха есть платформы виртуализации. ПК «ВиУ» и ПАК «Брест»
Допиленные qemu/kvm для совместимости с СЗИ, встроенные в астру

[NaClO]

Дополнения VirtualBox и VmWare не входят в поставку Смоленска. Установить их штатными средствами, так же, не представляется возможным. (Но возможно при наличии диска разработчика.)

[kpvf2d]

Подтверждаю на версии 1.6 ровно такое же поведение, происходит даже при переходе из «текстового» режима в графический.

[4ekin]

Ни разу не сотрудник РБТ, но почему автор отклоняет их комментарии?

Скриншот под спойлером

[W_Hacker]

Данная учетная запись никак не идентифицировалась под представителей РБТ. Тест, проводился на свежих дистрибутивах, скачанных с официальных источников буквально пол недели назад, интересно как это было пофикшено

[zartarn]

Дистры не собираются постоянно вроде как. Официально SE только по запросу, и никто не обещает там прям актуальную версию, вроде как.
Но у них там веселее, чтоб что то обновить на пк проверенном и сертефицированным и тд, надо в этом убедить тех же ЗГТ (я про случай SE версии), а им нужна бумажка с печатью о том что это Необходимо. Но вот получить такую бумажку — прям таки анрил.
Другое дело что SE версия Должна быть только в специализированных местах не в виртуалках без интернетов и тд, так что абы кто еще и не получит физически доступ.
А вот он CE обновления кажется оперативно прилетали через интернет, там вот пожалуй будет реально убедиться исправили и как исправили.

[kpvf2d]

Так эта проблема есть именно в SE и никак не на виртуалках, а на «реальных» рабочих местах.

[rkfg]

Так это только для виртуалки работает? Или разрешение можно поменять, когда система стоит на реальном железе? Как-то мне с трудом представляется вариант использования защищённой ОС внутри совсем не защищённой. Зачем?

[roboter]

Возможно есть вариант получение информации и с физических машин, путем использования нескольких мониторов с разным разрешением.

[rkfg]

Вот это было бы интереснее. А ещё круче видео с демонстрацией уязвимости с помощью мониторного свича и двух мониторов. В целом, такие проблемы относятся к нюансам иксов или композитора, потому что блокировщик — это просто полноэкранное окно поверх всех, захватывающее на себя ввод. Более надёжно было бы сворачивать (или скрывать) все окна при блокировке и разворачивать их обратно, но наверно некоторые программы могут некорректно на это отреагировать. Хотя оконные менеджеры как-то справляются, создавая виртуальные рабочие столы и теги.

[gnomeby]

У меня подобное на Gentoo и Plasma без всякого отчественного софта. И также проявляется при отрытии крышки ноутбука.

[Protos]

Коллеги, такое и у windows 10, недавно мне в usb воткнули переборку пароля купленную на ali, так вот она настолько быстро перебирает что экран ввода мерцает и среди мерцаний чуть ли не на постояннку видно рабочий стол

[The_Kf]

На Windows 10 Mobile такое же почти было: после смахивания экрана блокировки, до появления экрана ввода пин-кода, на долю секунды было видно экран с приложениями.

[cogniter]

Ранее на различных сайтах была опубликована информация о уязвимости в Astra Linux, связанной с возможностью получения доступа к конфиденциальным данным в результате манипуляций с разрешением экрана виртуальной машины с операционной системой Astra Linux.

Сведения об указанной уязвимости включены в БДУ ФСТЭК России, базовая оценка опасности по CVSS 3.0 составляет 4 балла.

bdu.fstec.ru/vul/2019-02442

Для устранения указанной уязвимости опубликованы методические рекомендации с обновлением для устранения данной проблемы.

для версии 1.6

wiki.astralinux.ru/pages/viewpage.action?pageId=53644505

для версии 1.5

wiki.astralinux.ru/pages/viewpage.action?pageId=1212483#id-%D0%9E%D0%B1%D0%BD%D0%BE%D0%B2%D0%BB%D0%B5%D0%BD%D0%B8%D1%8F%D0%B1%D0%B5%D0%B7%D0%BE%D0%BF%D0%B0%D1%81%D0%BD%D0%BE%D1%81%D1%82%D0%B8%D0%B8%D0%BC%D0%B5%D1%82%D0%BE%D0%B4%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%B8%D0%B5%D1%83%D0%BA%D0%B0%D0%B7%D0%B0%D0%BD%D0%B8%D1%8FAstraLinuxSpecialEdition1.5-%D0%91%D0%AE%D0%9B%D0%9B%D0%95%D0%A2%D0%95%D0%9D%D0%AC%E2%84%9620190712SE15MD

[Zloeuho]

Я, возможно, наивный вопрос задаю, но как можно изменить разрешение на заблокированном ПК? Т.е. не на виртуальной машине.

[Yursan]

Проблема есть, но воспроизвести ее с ходу на версии 1.6 SE и последними обновлениями, — не удалось. Проблема связана с неким «кешем», который используется при создании интерфейса нового окна. Сначала происходит восстановления изображения последнего экрана, а потом уже поверх отрисовывается новый интерфейс. На скриншоте изображен процесс открытия (отрисовки) «Панели управления». Перед открытием «Панели управления» была завершена работа с LibreOffice Writer.