«Группа Астра» ответила на угрозы экспертов CFR задействовать спецслужбы и специалистов Open Source против Astra Linux

[ProKn1fe]

Россия дополнительно теряет доступ к талантам в области кибербезопасности в США, Западной Европе, Японии и других странах

К таким великолепным талантам как у crowdstrike с возможностью положить пару миллионов компов в стране 1 обновлением?

[Apv__013]

Этож Хабр.

[galaganovvv]

А может ли человек без таланта положить 8,5 млн компьютеров по всему миру? Вот и думайте

[rukhi7]

таланты разные бывают.

[Shaman_RSHU]

Может, если другие "таланты" вовремя ему не "закрутили гайки"

[kenomimi]

Пока образы закрыты и выдаются под роспись в конторы - там будет 9000 дырищ - невозможно протестировать такого монстра без сообщества. Что навесили СБ, это хорошо, но мало толку - одинокая калитка в поле с крутым замком все равно бесполезна :)

Закрытость вообще не понимаю. Они продают, фактически, услугу, так как образ без сертификата применять в бизнесе/госах нельзя. Плюс там пачка своего серверного софта, без которого дистрибутив на предприятии бесполезен. Зачем прятать сами образы и репы? Пусть хомячки их качают, сколько хотят, играют в них и привыкают. Не хотите свои ресурсы тратить на поддержку - сделайте официальный тред на рутрекере...

[firej]

а это разве не оно? https://www.comss.ru/page.php?id=6158

[MountainGoat]

Два года назад у них была публичная и закрытая версии, и они по устройству и составу пакетов отличались как Федоре от РХЕЛ. Как сейчас не знаю, и - особенности национального линуксостроения - забесплатно разбираться не хочу.

[navion]

CE вроде уже забросили, а SE в виде готовых образов лежит прямо на сайте.

Наверняка их нельзя использовать в КИИ и возможно не подключены репозитории, но хоть что-то.

[webhamster]

По ссылке лежат образы виртуалок в разных форматах:

• Образы виртуальных машин

• Образы контейнеров

• Боксы Vagrant

Это не образы установочных компакт-дисков.

А исходников ядра ты не получишь даже если будешь официальным пользователем.

[navion]

Это хорошее дополнение, в ЛК исходников тоже нет.

[Knightt]

на специальности "информационная безопасность" нам всегда говорили, что внутреннюю структуру лучше тоже держать в секрете... но так же и говорили, что защищенность никак не должна от этого зависеть

[JHD]

У меня такая же специальность. очень многое из того чему там учили можно выкинуть на помойку и заменить информацией из ISO, NIST и прочих публичных фреймворков (главное не брать СТО БР)

[georgevp]

главное не брать СТО БР

Если не планируете работать в российском банковском IT, то, возможно, вы правы.

[JHD]

По сугубо личным ощущениям - ISO и NIST хотя бы какой-то реальный процесс помогают построить. От работы со стобром ощущение одно - спишем у них но по-своему, да так что в итоге получилась бумага ради бумаги без привязки к реальному миру.

[rukhi7]

Закрытость вообще не понимаю. Они продают, фактически ...

так это основной способ защиты. Микрософт придумал продавать бинарники без исходников, у нас пошли дальше - продают историю о том как они делают свою

ОС ещё более удобной, производительной и защищённой.

[GidraVydra]

Бинарники без исходников продавали задолго до Microsoft. В каком-то смысле бинарники как класс информационных объектов для этого и создавали, чтобы исходники не светить.

[Vladjmir]

Пусть протестируют. В конечном счёте это будет полезно для Астры.

[JHD]

Как бы астре не пришлось с нуля переписывать исходники после нормального исследования.

[TwentyThree]

Всегда можно сказать, что это атака со стороны спецслужб недружественных стран, что уязвимостей на самом деле никаких нет, вон, сертификат ФСТЭК же есть.

[JHD]

от факта эксплуатации этих уязвимостей как спецслужбами так и неспецслужбами это не спасет

[IIopy4uk]

Вангую, что результаты тестирования они скроют или откроют частично, оставив вкусненькое для себя.

[Bardakan]

ничего не понял. Вы пишете, что кто-то там угрожает что-то проверить. А в чем суть угрозы и последствия для Астры?

[GidraVydra]

Будут поклепывать и наветывать, чем нанесут страшный удар импортозамещенноспособности сверхдержавы.

[Alexsey]

Информационная безопасность зашита в ДНК «Астры» — это наш ключевой приоритет.

Я просто оставлю это здесь: https://habr.com/ru/articles/782112/

Особенно феерично использование digsig с последними изменениями в исходниках лет эдак 20 назад.

[JHD]

Раньше трава была зеленее, а софт безопаснее. Вы сравните количество репортов об инцидентах кибербезопасности тогда и сейчас!

[andnotor]

Т.е. уважаемые господа призывают к совершению киберпреступления? Как минимум говорят о его подготовке.

[MakeYourVision]

Киберпреступления совершаются только со стороны России и её союзников, а у них - исследование, не путайте.

[trabl]

Провоцируют комьюнити на бесплатный пентест?

[JumpinCarrot]

Open Source Intelligence не имеет отношения к Open Source Software. Этот термин означает сбор данных из открытых источников.