Комментарии 152
После прочтения поста появилось много вопросов к ФСТЭК, которые выдали этому поделию сертификат. Что они там испытывали и сертифицировали если тут такие дыры?
ФСТЭК праздновали 50 лет ФСТЭК, недавно тут была статья.
есть вопрос к автору: можно ли продать другому покупателю и/или выкладывать в паблик то, за что платить отказались ?
Соглашусь. Тут большой вопрос. Как пример, они спокойно сертифицировали ViPNet для Windows, у которого исторически любому пользователю была разрешена запись в каталог установки. А там столько раздолья было для повышения прав. Уууух... Хоть в 4.5, если не ошибаюсь, от этого наконец отошли.
возможно глупый вопрос, но:
если закрутить права на директорию самостоятельно, то станет ли недействительным сертификат ФСТЭК ?
Что они там испытывали и сертифицировали если тут такие дыры?
А как вы себе представляете государственную сертификацию?
а) Зал с пентестерами, которым передают виртуалку с софтом, и они начинают там всячески пытаться её взломать, потом зал с профильными разработчиками, которые там репу анализируют, качество кода и т.д., и потом по утверждению руководителей обеих команд выдаётся сертификат
б) Отдел с чиновниками, которые читают документацию от производителя, и сравнивают заявленное там с тем, что написано в их нормативных требованиях. Если соответствует - выдаётся сертификат. Соответствие документации производителя тому, что производитель собственно производит - лежит на совести производителя.
Напомню, что задолго до появления Астра-Линукса сертификацию ФСТЭК прошла Windows XP SP2.
Ага, я даже ставил (хотя плохо помню, скорее WIN2000 даже была еще) ее на один проект тогда. Я тогда не понял как так, утверждалось что были переданы все исходные коды для изучения и фиксирования версии, ну звучало фантастикой.
У майкрософта действительно есть Government Security Program, которая является частью Shared Source Initiative: https://www.microsoft.com/en-us/sharedsource/
И вроде как это действительно не байка что ФСТЭК самостоятельно собирал сертифицированные образы и апдейты для винды из исходников. Думаю что у меня даже где-то в бекапах установочный образ от них сохранился.
XP можно хардэндить вручную (на win7 и более поздних у меня получалось, не вижу разницы). но при этом:
1) членом виндовс домена она быть не сможет. может быть членом керберос реалма с устаревшей и несертифицированной криптографией.
2) никаких "сетевых дисков" не будет.
3) проблема с отсутствием современного софта остается.
сомневаюсь что ФСТЭК выпускал документы по пп.1 и 2.
Лень лезть в сертификат, но скорее всего там написано про отсутствие незадекларированных возможностей. Т.е. если фича описана в документации, то это задекларированная возможность.
Назовешь мне хоть одну программу/ОС/ПО, в которых нет уязвимостей? В МакОС есть уязвимости, в Винде их тьма целая, в Slack, Дискорд (могу еще много перечислять). Нет идеально состряпанных технологий без уявимостей, сертификацию дают не по именно этому параметру а в целом. И то не все способны эти дыры залатать, даже разработчики этих самих ПО.
Ребята из астры делают хорошую ОС для оборонок, госов и тд. Да, пока не для физы, но нашему люду лишь бы накинуть на вентилятор и радоваться.
Судя по вашей истории комментариев у вас какая-то не нормальная фанатичность по астра линукс. Не надо так. Если 1000 высококвалифицированных разработчиков берут опенсорсный проект, протухший 19 лет назад, и используют его в качестве одного из центральных компонентов безопасности без должного аудита - значит надо макать их носом в это пока до них не дойдет почему так делать не надо.
все довольно просто, сначала изделие попадает в испытательную лабораторию или делается все своими силами при наличии оных.
как пример, когда это было первый раз для меня, очень удивился звонку из лаборатории, куда отправили свой продукт и там спрашивали, а как развернуть инфраструктуру для установки вашего продукта и что значит ESXi?
и тут я понял, как проходят проверки... в результате получаем то что получаем.
ну а про астру что тут скажешь, не каждому выдают миллиардные дотации из бюджета и не каждый может позволить писать приказы и прочие документы под себя, ибо у нас все сделано согласно этим документам, вот и сертификат готов, а остальные подтягивайтесь. в общем слышны звуки зубцов пилы
Если бы автору не притормозили бы выплаты, контора пошла бы по миру и сотрудники уже улицы подметали, что бы хоть как то расплатиться по программе поиска уязвимостей.
Если бы автору не притормозили бы выплаты, контора пошла бы по миру
не согласен. им достаются очень жирные гос и окологос заказы с тех пор как начались санкции. даже если процент кикбэка достигает 50, это выгодно. поэтому можно не жлобстовать так откровенно.
У меня сложилось впечатление, что там сплошная дыра, а не защищённая система. Если бы не жадность, была статья как автор стал миллионером.
И репутация конторы была бы тоже выше.
Астра1.7 на базе Debian10, значит ли это что Debian10 это тоже "одна сплошная дыра" а не защищенная система? или все дело в акцентах...
Нет, не значит. Найденные дефекты присущи только Астре, т.к. она содержит дополнительные компоненты, которых нет в Debian10.
ну то есть достаточно исправить нужные компоненты (как это делается во всех дистрибутивах регулярно) и одна сплошная дыра превратится в золушку?
по факту Линукс сделать без стороней защиты сложно, т.к если вставлять её в основу это сильно нагрузит систему и компоненты некоторые могут не состыковаться , так что понятна позиция Астры на самом деле, они заключают сторонние контракты с по защиты. Дыра на дыре это Винда ваша хваленая, кстати, там столько этих уязвимостей, что с ума сойти можно, они 10+ лет не могли починить на семерке WannaCry, о чем речь вообще)
Такое чувство, что рассматриватели багов из своей зарплаты вознаграждение выплачивают...
Кто-то из Астры читает таки, в опросе купить собирается данный опенсорс.
Есть те кому без шансов. Приходит какая-нибудь Рос-Рус-Гос-Мин-___ и говорит, все, с __тебря __ого года только Астра. Можно долго и упорно ругаться, шутить, отрицать, до победного сидеть на Windows\Ubuntu\Mint, но реальность такова, что ставить придется.
А значит с этим придется жить, чем раньше начнешь, тем проще будет к внедрению.
Нам вот ИБП надо с поддержкой Астры поставить. Казалось бы чего такого берем NUT, SNMP модуль и вперед... ага, вот только NUT из 1.7 Астры не поддерживает SNMPv3 в полном объеме, а отечественных ИБП со своим софтом не то чтобы дофига. Вот и получаем, что тот кто первый решит эту проблему и станет единственным поставщиком оборудования на туеву кучу объектов.
я считаю что snmp v1 вполне безопасен при условиях
1) IP адреса менеджеров фиксированы и кому попало агенты не отвечают (например фаерволл).
2) угроза "перехват трафика" отсутствует
3) имена community не словарные и подлиннее.
4) созданы только read-only communities
п.0 managment-vlan после которого, в принципе, остальное можно не делать.
Как заказчик, вы можете требовать все что угодно и считать что угодно - это правда. Как только вы становитесь корпоративным заказчиком, соседние отделы начинают от вас требовать всякое, например, юристы, договор на каждый чих и акт выполненных работ, а ИБ'шники вот захотели SNMPv3, потому что они сели, оценили риски, человеческий фактор и написали политики. Никому не интересно сидеть каждый раз и думать критично это или нет. Плюс на местах, кому-то покажется, что мер достаточно, а кому-то нет - унификация как она есть.
Да и не все сети в мире офисные, бывают всякие АСУ-ТП, бывают удаленные, автономные - где отчет о том что кто-то ткнулся ноутбуком, вы получите примерно через месяц (пока бригада доедет на плановый осмотр).
Ну и не стоит забывать, что ИБ это комплекс мер (а не какая-то одна мера), и если что-то можно закрыть паролем и шифрованием, то это надо закрывать паролем и шифрованием.
п.0 managment-vlan
отличная идея - туннелировать тот vlan внутри ip через пол-Интернета.
ИБ'шники вот захотели SNMPv3
ответ им очень простой:
1) тех возможность отсутствует из-за ... придумайте сами почему.
2) предлагаем вам разработать комплекс мер по защите snmp v1
2) угроза "перехват трафика" отсутствует
отличная идея - туннелировать тот vlan внутри ip через пол-Интернета.
Вы там как-нибудь определитесь про какую топологию речь идет.
ответ им очень простой:
1) тех возможность отсутствует из-за ... придумайте сами почему.
Не-не-не, это не так работает.
Вам не согласовывают служебку\ТЗ\документы на закупку оборудования\системы которое не соответствует правилам, требованиям и политикам компании.
А если вы ее таки закупили, то на вас же и прилетит служебка о том что вы не соблюдаете правила и нормы компании. Тогда уже в кабинете генерального (и хорошо если генерального, а не какого-нибудь коррупционного отдела) будете всем доказывать что была <причина_нейм>, вы никому о ней не сообщили по <другая_причина_нейм>.
---
Ну и в целом подход странный, вот работодатель гарантирует вам что-то согласно внутренним и не очень документам (ну там зарплата, рабочее место, печеньки, оплата переработок) и обязан это соблюдать, а вы почему-то, вдруг, решаете, что на те же правила, но неудобные вам, надо класть прибор и придумывать причины. ¯\_(ツ)_/¯
не соответствует правилам, требованиям и политикам компании.
в данном случае правила, требования и политики Компании (д.быть с большой буквы, чтобы продемонстрировать Лояльность) ведут к риску потерять сертификат ФСТЭК . потому что собрать и запихать пакеты libsnmp* из апстрима в астру - это не права на директории закрутить (см выше). если Компания в лице кого-то там отдаст письменный приказ и берет отвественность на себя - окей. если нет, то инфобезники выкидывают свой бумажный мусор и садятся писать новый.
вот работодатель гарантирует вам
где у меня совесть была там кое-что иное выросло. поэтому мораль читать мне бесполезно. просто смиритесь.
в данном случае правила, требования и политики Компании ведут к риску потерять сертификат ФСТЭК .
Невыполнение законных требований и распоряжений ген.директора, ведут к увольнению. И не важно, какие это требования ИБ или ТБ. Сказано ходить в каске на производстве, значит в каске, всем. Сказано, что любой кто открывает телекоммуникационный шкаф должен иметь допуск, значит все админы у кого в обязанностях есть открытие шкафов стройным шагом идут получать допуск по электробезопасности и плевать, что они туда только патч-кордами втыкаются. А все почему? потому что раз в 10 лет находится какой-нибудь дебил, который решит поссать сесть жопой на клеммный блок с 220 В.
ИБ свои документы тоже пишут не просто так и не потому, что ветер северный, а марс в третьем доме стаурна. Никто не будет предъявлять требование которое закроет уязвимость, вероятность которой 0.000000000(1)%, а цена единица деленая на эту вероятность. Т.е. когда стоимость аварии меньше ИБ то и ИБ туда не лезет по понятным причинам.
В АСУ например вообще есть крутая фраза - ИБ не должно влиять на тех. процессы. Ну т.е. в принципе все можно объявить тех. процессом и всю ИБ стройным шагом отправить курить офисные циски этех. Но все прекрасно понимают, что потери от какого-нибудь Stuxnet'а на АЭС, несопоставимы c сертификацией ФСТЭКом ПО для SNMPv3.
Невыполнение законных требований и распоряжений ген.директора, ведут к увольнению.
не пугайте ежа обнаженным афедроном.
Но все прекрасно понимают
дешевая манипуляция дешева.
потери от какого-нибудь Stuxnet'а на АЭС, несопоставимы c сертификацией ФСТЭКом ПО для SNMPv3.
письменный приказ будет (да, нет, не знаю) ?
если да то больше нет вопросов.
письменный приказ будет (да, нет, не знаю) ?
Вот вам рекурсия: ИБшники пишут политики которые ГД внедряет приказом - то с чего начали обсуждение.
Ну и вот другой пример - во всем мире, авиация летает по бумагам. Замена лампочки в сортире - 15 минут, а бумаг подписывать на пару тройку человеко-часов (я имею ввиду за весь жизненный цикл лампы). Один техник только в 6 документах расписывается.
Зато самый безопасный вид транспорта.
Ну и вот другой пример - во всем мире, авиация летает по бумагам. Замена лампочки в сортире - 15 минут, а бумаг подписывать на пару тройку человеко-часов (я имею ввиду за весь жизненный цикл лампы). Один техник только в 6 документах расписывается.
Зато самый безопасный вид транспорта.
Ну-ну. Боюсь капитан и бортпроводник рейса BA5390 с вами не согласятся. Хотя может "а бумаг подписывать на пару тройку человеко-часов" – только замены лампочек касается.
Коротко
Командир был выдернут потоком выходящего из самолёта воздуха из своего сиденья и вылетел через проём ветрового стекла из кабины самолёта.
На самолёт было установлено новое ветровое стекло и этот аварийный рейс был первым после замены. В ходе расследования было установлено, что 84 из 90 болтов, которыми было закреплено стекло, оказались меньшего диаметра, чем требовалось. Остальные болты были правильного диаметра, но короче на 2,5 миллиметра, чем нужно. Разница давления воздуха в кабине самолёта и снаружи во время полёта в итоге и выдавила ветровое стекло наружу.
Начальник смены базы технического обслуживания, вместо того, чтобы свериться с документацией, просто взял на складе такие же, как ему показалось, болты, при этом он ошибся на один размер.
оценили риски
поковыряли пальцем в носу
вот же проблема... соберите в своём решении под Астру свой nut с поддержкий snmpv3 в виде собственной библиотеки. вперед на захват рынка?
Подход в целом интересный, зачем закупать готовые ИБП если можно купить аккум, корпус и плату, правда надо организовать сборку (кадры, документы, места)? Да в целом и плату тоже можно напрямую у китайцев закупать, как и корпус и аккумы, доставкой правда надо заняться(кадры, документы, склады). А еще и софт для ИБП тоже можно самим написать, правда надо заняться программированием (кадры, документы, места). Да чё уж, можно взять опенсорсное ядро и запилить свой дистриб со ФСТЭКом и продавать сразу вместе с ИБП, правда надо...
---
Если я вам сейчас предложу собрать пакет, протестировать его, сертифицировать (тот же ФСТЭК пройти), подготовить всю сопроводительную документацию, а так же заниматься тех.поддержкой (ну там на вопросы пользователей отвечать) вы сделаете это бесплатно (ну или за символические 100 рублей)?
---
Вот и лично мне (нашей организации), не хочется заниматься, не профильной деятельностью, особенно в условиях кадрового голода, и кучи проектов.
Проблема в том, что установка пакета, присутствующего в репозитории Астры, но из другого источника, другой версии и с другими хешами файлов сразу приводит к несовпадению хешей дистрибутива. На практике это означает, что любой регулятор перестает считать эту систему Aстрой, аттестат и сертификация становятся недействительными.
Проверка хеш-сумм дистрибутива выполняется встроенными средствами Астры с использованием эталонного диска с репозиторием. Это действие явно прописано в любой методичке любого аттестатора.
ничего подобного. там проверяются хеш суммы? - да. но проверяются на свои системные пакеты. никто не запрещает вам добавить свой пакет, при условии что он не конфликтует с системным и не замещает его. Так же ни кто не запрещает запросить подпись разработчика для подписания собственного бинарника для работы в режиме ЗПС.
еще раз - если вы не замещаете системные библиотеки или системные программы, а ваша программа только все это использует - вы не нарушаете условия эксплуатации.
Именно.
=> "Не замещает системный".
Как это проверяется - Читается структура файлов и их хеши с base репозитория астры. После этого эти файлы и хеши сравниваются с текущей инсталляцией дистрибутива. Таким образом, если пакет присутствует в репозитории и он не совпадет по хешам с установленным то будет сразу забракован аттестатором.
И это логично, так как многие пакеты Астры пропатчены для работы с parsec, тот же postgresql, например. Так что вы не можете накатить 25-й докер в Астру или postgresql 17 и не потерять при этом сертификацию. Довольствуйтесь тем, что есть. В этой ветке речь про NUT, который в репозитории присутствует, так что любая новая его версия (с поддержкой snmp v3) ломает хеши.
Если же вы собрали свой пакет, которого нет в репозитории - тогда да, имеете полное право его ставить.
Если же вы собрали свой пакет, которого нет в репозитории - тогда да, имеете полное право его ставить.
ну так перечитайте еще раз что я предложил изначально - соберите в своём решении под Астру свой nut с поддержкий snmpv3 в виде собственной библиотеки
зачем вы мне приписываете свои же выдуманные проблемы? чтобы их успешно порешать..
Так что вы не можете накатить 25-й докер в Астру или postgresql 17 и не потерять при этом сертификацию.
в корне неверно - если в Астра нет postresql17 я его соберу и самостоятельно аттестую без проблем для своих же решаемых целей.
Астра дает для эксплуатации операционную систему включая и средства разработки.
Довольствуйтесь тем, что есть.
смешное утверждение, если перед этим задать вопрос от бизнеса типа нам нужен софт для мониторинга нефтяных скважин.
Прохожу сертификацию ПО для Астры, если сказать, что у них не читаемые документы, значит ничего не сказать. Контора просто огонь, в ответах перекидывают друг на друга задачи, искренне не понимаю, зачем это франкенштейна оживляют:/ он же страшен крив и скорее всего так и не станет полноценным человеком.
на убунте денег не отмыть)
По поводу их документации у меня также сложилось похожее мнение. Написано слишком заумно, не для людей.
Если писать просто и понятно, то всеж поймут, сделают, и кто в случае проблем отвечать будет? Вот! А так "вы не поняли и сделали все не так"
Написано для госструктур. Еще радует, что ответы на многие вопросы, типа создания точек восстановления, закрыты за платной техподдержкой.
Документация написана для того чтобы всё было разъяснено и понятно, охватив максимальный спектр инфы. В какой документации пишут для людей на понятном языке? Давно читали соглашения лицензионные те же? Для "Нажмите F, чтоб все работало" есть ютуб - там второкласник с шипящим микрофоном с радостью даст все просто и доступно?
её пишут специально обученные мастодонты с навыком бюрократии 78 lvl
Никто ничего не проверял, ибо священную корову импортозамещения нельзя тыкать палкой.
Все то, что связывает с гос. заказом превращается в тыкву, помимо разработчиков у кормушки ещё полно желающих.
На самом деле здорово, что продукт дозрел до состояния "ломай меня, а я тебе за это заплачу". Знаю мало отечественных проектов, которые готовы "вот так открываться".
Другое дело вопрос с выплатами. Насчет не согласного дубля солидарен с автором, а про конец года, как мне кажется, применимо практически ко всем компаниям.
В любо случае было интересно прочитать, спасибо.
RedHat любят за то что он баги исправляет а не зато что там нет багов!
В каком дистрибутиве нет багов? Кто безгрешен пусть кинет камень :)
Уважаемые хабровчане, мы очень внимательно относимся к задачам устранения уязвимостей и выражаем благодарность всем участникам нашей программы багбаунти.
Перед нами не стоит задача экономии средств: все подтвержденные уязвимости и векторы атак, которые не определены как дублирующие (в соответствии с публичными условиями программы), отработаны, выплаты проводятся в соответствии с установленными правилами. Мы работаем над повышением защищенности наших механизмов защиты как отдельно, так и в комплексе, а также над сокращением сроков рассмотрения отчетов.
Кроме того, считаем нужным отметить, что уровень защищенности ОС зависит от применения многочисленных механизмов обеспечения безопасности, реализуемых как базовыми средствами ОС семейства Linux, так и дополнительными средствами защиты (их более 30), включенными в состав ОС Astra Linux. При этом ЗПС — один из механизмов обеспечения безопасности, выполняющий конкретные функции, и является составной частью комплекса средств защиты от угроз безопасности информации. Для обеспечения требуемого уровня защищенности применение ЗПС должно рассматриваться в комплексе с такими дополнительными механизмами, как блокировка интерпретаторов, блокировка консолей, системный Киоск, регламентный контроль целостности, мандатный контроль целостности и др.
Касательно стенда, размещенного на площадке BugBounty. Мы стараемся соблюсти баланс между его защищенностью и нашими целями выхода на площадку BugBounty, так как заинтересованы в получении отчетов от исследователей для улучшения нашего продукта.
Развернутый технический анализ ситуации в настоящее время готовим, и он будет опубликован позднее.
Ждем ваших новых отчетов, спасибо!
Итого:
"всем всё платится" (с)
"если где-то есть дырка, то это только часть сложного механизма, так что в общем пофиг, он же сложный"
Если бы не огласка вашего бездействия, то автор бы так и сидел дальше
Впрочем, в России по другому не умеют
Зато Астру я никогда не поставлю нигде в здравом уме))
Не расскажете, как правильно организовывать багбаунти, человеку, очень далекому от темы? По сути, решается проблема координирования людей, работающих автономно. Допустим, есть некоторый очевидный вектор атаки, и его проверяют первым. Понятно, что если в качестве цели он не запрещен, никто не полезет читать все способы, которыми атака была проведена - очень просто загнаться, т.е. приоритет и уникальность должны проверяться уже после атаки, и скорее всего сотрудником компании, разместившей багбаунти. По идее, тут все держится на до доверии. Имеет ли смысл временно убирать из баунти цели, на которые проведена успешная атака, до фикса, и таким образом "сбрасывать" приоритет? И не размещать доказанно дырявые баунти (с внутренним баг-трекером было красиво)?
(I'm not a bugbounty hunter, but 50k is 50k :)
@milabsв целом для меня оплата была приемлема, ибо потратил больше времени на запуск их виртуалки, чем на поиск этого обхода.
В одном из популярных телеграм ИБ-чатов уже поднимался похожий вопрос (с участием многих представителей РФ Bugbounty программ), и пришли к заключению, что скрина тикета из Jira достаточно в качестве доказательства, что бага - дубликат (пусть даже и не была найдена другим исследователем на ББ-платформе) и вообще имели право не оплатить. Поэтому, участвуя в таких багбаунти программах вы заранее соглашаетесь на их "мировозрение" :)
Спасибо за комментарий. Но я всё же останусь при своём мнении основываясь на том, что в описании программы ГК Астра такого варианта развития событий отмечено не было.
и пришли к заключению, что скрина тикета из Jira достаточно в качестве доказательства, что бага - дубликат (пусть даже и не была найдена другим исследователем на ББ-платформе)
Кто-то предлагает игру - сто дверей, за пятью из которых - приз. За проверку одной двери игрок тратит свой некий ресурс. И вот игрок открывает дверь с призом и радостно собирается его забрать, но! организатор, нет-нет-нет, это особая дверь, приз за ней получить нельзя ( о чем в правилах не слова). И сообщество игроков такое - да, приходим к заключению, что организатору игры так можно поступать...
Компания платит не за то, что вы потратили свое время, а за результат - это стандартная политика bugbounty. Если компания может предоставить доказательство того, что ваш результат никакой пользы компании не принесет (в данном случае компания об обходе была в курсе), то и оплату ожидать не стоит. Согласен, что в текущей ситуации есть
Проблемы с бюрократией - но как показывает практика, всегда останутся лазейки и крайние случаи, не подходящие под официальное описание.
Проблема с доверием - что мешает компании подделать Jira-тикет ради того, чтобы не выплачивать награду?
Ответ и на первый, и на второй пункт один: приходится принимать, что в bugbounty все идет на доверии как к компании, так и к участнику программы.
Это позволяет компаниям также действовать не по регламенту и в лучшую сторону: есть множество примеров оплаты компаниями поощрений за уязвимости тем, чьи уязвимости были не критичными, но исследователь потратил большое количество времени на их поиск и долгое время до этого сотрудничал с компанией. Делается это с целью поощрения и привлечения других исследователей к конкретной программе оплаты уязвимостей.
Привет, хабровчане!
Меня зовут Саша, я представитель бренда BI.ZONE. Мы внимательно следим за всей активностью наших исследователей в паблике, поэтому немного прокомментирую ситуацию.
Увы, дубль есть дубль, это неизбежная реальность любого багхантера. Отдельно подметим, как подробно и аккуратно ты все описал. Будем читать еще)
Со своей стороны мы все перепроверили и подтверждаем, что на стороне вендора косяков нет, и все проведено корректно.
Багхантил ты все же не зря —выплата пришла.
Спасибо за интерес к программе и нашей платформе, удачи в дальнейших исследованиях)
Давайте я Вам расскажу сказки братцы:
Сказка 1 - страшная
Как то ночью решил я открыть я ядро астрочки, для того чтобы сделать оптимизацию для сетевой установочки
А гляжу то образ тяжеленький, не поднять то его мне нерадивому
Ну думаю буду Livecd делать придеться мне
И его МНЕ потом оптимизировать то
А как дело дошло до стяжательства, Я померил то милую астрочку
А она у нас СИЛЬНО толстая аж в 2 раза к дебу буржуйскому.
И прям как в душе что то екнет предательски
Дай залезу я внутрь что же там ТЯЖЕЛОЕ.
Взял старик 7-Zip с поддержкой системы сжатия LZMA, да и открыл старик initrd со слезой на глазах.
А ВНУТРИ ПАПОЧКА то Страшная аж 1.44 ГБ то лежит страшная.
А внутри ее клон ядра Deba буржуйского, да и указателей там кучушка с функ вызова.
И решил старый То срубить те указатели, чтоб не прошла сила черная.
Похудела то аструшка милая, да и с синечкой пригорюнилась.
Не летать, не считать то может то.
Силушка прям ушла кудато из ноженек.
Понял старый что графика астрочки, а работает то не с ядрышком, нашим то
А с буржуйским поганым, предательским.
И поплакал старик, пригорюнился
Да и понял что в нашей Матушке
А в России родной что везде все так
А кругом то одно НАЖЕВАЛОВО, да наклеечки делают милые, для чиновников то для начальников
А мораль то сей сказки стыдливая:
Не свое то ПО да не милая, не любимая красавица астрочка, а угрюмая ведьма буржуйская во вуали то FLYйной рисованной.
Где же Российские УМЫ то Светлые
Где же Вы спасители НАШи.
Сказка 2 - абсурдная
Как то ночью не спалось старому.
Да лежал он, да ворочался,
и решил он потестить юзеров
у любимой то астрочки миленькой.
Как открыл он системных юзеров
Как увидел что там малёвано,
Да не нашим то братом родименьким
А поганым буржуем, предателем
А особенно пользователь NTP
Что системный а вход то имееться
А вошли под ним в астрочку милую
как увидел что то видит он (NTP)
Обомлел аж старый то с испугу
А все может тот юзер предательский,
И что делать теперь нам не ведомо
Непонятно, почему автор, обладая такими знаниями и навыками, ещё так настойчиво переживает о судьбе найденных им уязвимостей. Спасение утопающих - дело рук самих утопающих.
Вообще, нужно было продать данную информацию за гораздо бОльшие деньги совсем другим людям. Либо сам написал бы вирус-шифровальщик для "защищенной" ОС...
Замечательная статья! Отдельный респект за отсылку на садового гнома.
Ну наконец-то! Топик-стартеру низкий поклон! Астру в утиль!
Ваши предложение по альтернативе?
Любая линуксподобнаяи удобная ОС (из реестра ОСей) +СЗИ+СКЗИ ( ОС должна быть в формулярах СЗИ и СКЗИ). Выбрать лучше СЗИ и СКЗИ с адекватными специалистами и техподдержкой. Причем, где-то ОС без СЗИ И СКЗИ, где-то только с СЗИ, где-то с СКЗИ, а где-то и то и то и то. Всё зависит от требований непосредственно к АРМ и в какой контур входит. А переплачивать за УГ типа всё в одном — история так себе. Что и показала данная статья и практика применения.
Критерии "Удобной ОС" озвучьте, хотелось бы понимать, какую я могу удобную ОС из реестра взять и забыть про проблемы. Не кажется ли вам, что у вас противоречие в двух последних предложениях про ОС с/без СЗИ/СКЗИ и УГ?
Коллега, критерии у каждого свои, также как они свои и у организации которая выбирает, а также они прописаны в нормативке и должны быть прописаны в доках которые должны уже у вас быть разработаны по этой нормативке. Рекламировать я никого не буду — так как это неэтично. По поводу противоречий — нет никаких. В моём комментарии есть все ответы которые можно развернуть подробно изучив нормативку. По поводу УГ — если поделие которое во весь голос и на всех перекрёстках славили как некий« комбайн» для всего не отвечает заявляемым требованиям, при этом выглядит как УГ, пахнет как УГ — наверное это УГ. По документам Астра устраивала всех так как обеспечивала «бумажную» безопасность — очень далёкую от реальной. За сим простите меня, но мне очень надо отлучиться и отвечать я вам не смогу.
Этика штука интересная конечно, "не позволяет" человеку обосновать свои выводы :(
Любопытно, что же с безопасностью у любой другой ОС из реестра?
Про личное отношение к АстраЛинукс тут все понятно, я хочу узнать про ваш личный опыт и отзыв по тому, что вы рекомендовали выше в разрезе с УГ. Не вся же реклама плохая, раз вы рекомендуете, то очевидно там есть, что рекомендовать, помогите людям :)
что же с безопасностью у любой другой ОС из реестра?
предполагаю то же что и у апстримов, но чуть похуже из-за отставания обновлений. но они и не претендуют на сертификаты, мандатный контроль доступа, ограниченную программную среду и вот это все.
Твоя любая линуксоподобная ОС точно так же будет иметь уязвимости, только не такие, как в Астре, а какие-нибудь другие. В каком розовом мире ты живешь, если думаешь, что все на свете, кроме Астры не имеет уязвимостей?
Залатают они эту дырочку, как и все другие, которые были или которые могли быть до этого
А вот что сейчас творилось в мире, если бы 30 лет не происходило массового растаскивания госсредств? Раньше я этого не понимал, а теперь думаю: «не мешайте!»
Главное сертификат ФСТЭК есть, кек, для галочки при проверке ИСПДн, ДСП, секретки и т.д.
Все эти поделия только для грабежа бюджета нужны
Зачем покупать Астру, когда есть свободный Slackware?
Это поделие предназначено строго для определенной ниши, где прямо запрещено использовать все другое. Эта ниша связана с органами власти, разными ведомствами и обработкой информации, как правило составляющей гостайну или связанной с ней. Больше это даром никому не надо.
Вот, пусть органы власти и закупают ;-) И побольше.
Не согласен. Это вещество на палочке закупается за счет бесплатной медицины, нормального образования, культуры, безопасности, нормальной промышленности, науки и т.д. Фуфло - только в утиль.
Вот, пусть они деньги на это фуфло тратят, а не на войну.
Сказано же - за счёт медицины, образования и науки, где здесь хоть слово про войну-то? Тут всё как в классике - "Папа, водка подорожала, ты будешь меньше пить? - Нет, сынок, ты будешь меньше есть".
Как-то был в РусБитТех на собесе, лет 5 назад, точно не помню. Поговорили, наступила сессия моих вопросов. Задал вопрос, а бывают ли задержки ЗП. Мне честно ответили, что ЗП за месяц полностью в срок не выплачивается, выплачивается частично - четверть, потом половина и как-то так. Так что не удивлен мутной реакции вендора. Работал еще в нескольких гос. организациях. Для себя давно и четко решил - с РФ-скими госкорпорациями и тем более госслужбой никакими трудовыми отношениями не связываться, ибо все равно обманут - прямо или косвенно.
БагБаунти с АстраЛинус или то, что нужно знать о защищённости защищённой ОС