Всем привет! С вами сегодня команда ГК «Астра».
После завершения приватной программы Bug Bounty и отсутствия валидных репортов мы приняли решение вывести ее в публичное пространство, чтобы увеличить охват и количество исследователей подсистемы безопасности Astra Linux Special Edition. Площадкой для размещения программы стала платформа нашего партнера BI.ZONE. Посмотреть условия участия можно здесь.
Это первая на территории России и вообще одна из немногих в мире программа Bug Bounty для дистрибутивов на базе ядра Linux. Связано это со сложностью операционных систем и высокими требованиями к квалификации исследователей.
Понятно, что часть дистрибутива Astra Linux Special Edition является заимствованным исходным кодом, и работа над ним фактически ведется всем сообществом.
Предупреждая вопросы о лицензии, которая у Astra Linux Special Edition проприетарная, хочется отметить, что она не распространяется на компоненты, которые нами заимствованы. Они остаются под своими лицензиями.
Более того, эффективная поверхность атаки на системные компоненты в Astra Linux Special Edition сужена механизмами защиты до небольшого количества значимых системных процессов, таких как openSSH, apache2, cups, systemd, cups, libvirt и ряд других, а также до непосредственно самого ядра и его модулей. В этой связи объявлять Bug Bounty на весь опенсорс было бы не продуктивно, поскольку он и так активно проверяется и дорабатываться, а кроме того, вектор атаки на не ключевые компоненты не эффективен.
В силу того, что разработанные командой ГК «Астра» СЗИ, а именно модули ядра parsec и digsig_verif, как раз являются основным эшелоном защиты, мы решили предоставить опытным специалистам возможность получить доступ для исследования наших авторских механизмов защиты и продемонстрировать наиболее эффективные техники атаки за вознаграждение.
На данном этапе Bug Bounty мы предлагаем атаковать два наиболее значительных механизма защиты, реализованных в Astra Linux Special Edition: подсистему мандатного управления доступом и замкнутую программную среду.
В дальнейшем планируется расширение области действия программы, мы добавим в нее подсистему мандатного контроля целостности, режим системного киоска и другие механизмы. При этом будет расширяться не только область действия программы, но и дополнительно включаться различные подсистемы безопасности, которые на данный момент отключены.
Как уже было сказано, за функционирование механизмов мандатного управления доступом и замкнутой программной среды отвечают два модуля ядра: parsec и digsig_verif.
Краткая информация о них доступна в этой статье, а более детальная в документации.
Еще мы подготовили большую подборку документации и информации по реализации наших средств защиты, она тоже может быть полезна.
Представленный для исследований образ Astra Linux Special Edition уже минимально настроен для защиты информации:
Этот образ мы будем автоматически актуализировать по мере выхода обновлений безопасности.
Итак, с чем вы столкнетесь при исследовании?
Для получения вознаграждения необходимо добиться наступления недопустимых событий, которые, грубо говоря, можно разделить на 2 блока:
Получение доступа к конфиденциальной информации (обход мандатного управления доступом).
Запуск недоверенного приложения (обход замкнутой программной среды).
Для того чтобы воздействовать на процессы и настройки мандатного управления доступом или замкнутой программной среды, вам, скорее всего, необходимо будет повысить привилегии пользователя user.
При этом вы обнаружите, что механизм мандатного контроля целостности, который также реализуется модулем ядра parsec (даже в случае успешной эксплуатации CVE или 0day-уязвимости), будет помечать вашего пользователя или процесс как низкоцелостный (то есть недоверенный) и не позволит ему влиять на процессы, даже если его UID равен 0.
По этой причине наша программа фокусируется именно на недопустимых событиях, а не на уязвимостях, так как даже наличие эксплуатируемой уязвимости далеко не во всех случаях приводит к возможности отключения механизма замкнутой программной среды или нарушению правил мандатного управления доступом.
На наш взгляд, именно механизм мандатного контроля целостности должен стать основным препятствием на пути атакующего. При этом сам этот механизм в область исследований не включен по причине его активной доработки. После ее завершения он также будет добавлен в сферу действия программы.
Иными словами, выделение только двух механизмов защиты для оценки их эффективности не означает, что в системе не будут включены другие подсистемы безопасности, например, мандатный контроль целостности, которые в том числе обеспечивают дополнительную эшелонированную защиту от недопустимых событий. В связи с этим мы и не принимаем отчеты просто об уязвимостях даже при наличии для них PoC для ОС семейств Linux, включая Debian. Нам важна демонстрация реализации заданного недопустимого события в конкретном сценарии эксплуатации системы, описанном в программе.
Если выявленная вами уязвимость выходит за область действия программы, но вы считаете ее достаточно серьезной, направляйте нам информацию. Мы в любом случае ее рассмотрим и отблагодарим вас, если она действительно позволит повысить защищенность системы.
При этом хочется отметить, что у нас выстроены процесс безопасной разработки и своевременный мониторинг всех CVE со всех доступных ресурсов: NIST, БДУ ФСТЭК и др. Поэтому нет смысла информировать нас об уже публичных CVE, потому что, скорее всего, в этом случае вы просто получите статус Informative или Double, и ваш рейтинг исследователя расти не будет.
Вкратце это все, что бы хотелось отметить. Мы описали основные механизмы защиты, указали основные векторы атак и предоставили ссылки на документацию. Желаем успехов в исследованиях и ждем ваших отчетов.
