Новости рынков

Новости рынков | Аналитический центр США призвал задействовать разведку для оценки перспектив взлома Astra Linux

Аналитики в США и в странах-союзниках Америки должны использовать средства разведки на основе открытых источников, чтобы понять, как Россия задействует [при импортозамещении] технологии наподобие операционной системы Astra Linux; соответствующий призыв размещён в опубликованной в понедельник статье Совета по международным отношениям (Council on Foreign Relations, CFR).

Как утверждается в материале, Astra Linux широко используется в военных и разведывательных [информационных] системах, причём разработка базируется на open source. «Возможно, это приводит к внедрению уязвимостей, которыми можно воспользоваться в должном масштабе», – подчёркивается в статье.

d-russia.ru/analiticheskij-centr-ssha-prizval-zadejstvovat-razvedku-dlja-ocenki-perspektiv-vzloma-astra-linux.html?utm_source=telegram

ОТВЕТ АСТРЫ:

  • Призывы со стороны иностранных агитационных ресурсов в очередной раз подтвердили верность нашей бизнес-стратегии, ориентированной в первую очередь на создание безопасных решений, усиленных собственными СЗИ.
  • Информационная безопасность зашита в ДНК «Астры» — это наш ключевой приоритет. Мы располагаем достаточными ресурсами для тестирования кода, оперативного устранения уязвимостей, уделяем большое внимание таким технологиям, как мандатное разграничение доступа и контроль целостности, замкнутая программная среда и другим средствам защиты. В связи со сложившейся международной обстановкой также усилены меры по выявлению вредоносных включений в ПО, проводится дополнительный антивирусный контроль с применением нескольких специализированных средств.
  • Российские регуляторы, осознавая важность информационной безопасности и технологического суверенитета, накладывают достаточно жесткие требования для разработчиков СЗИ. ОС Astra Linux сертифицирована ФСТЭК России по первому уровню доверия и классу защиты. Это подтверждает высокие результаты нашей деятельности по обеспечению ИБ.
  • Защищенность ИТ-инфраструктуры зависит от всего комплекса средств ИБ, который применяется в организации. Поэтому мы рекомендуем заказчикам использовать весь комплекс СЗИ, необходимый для защиты информации с учетом конкретной модели угроз, правильно выбирать режимы функционирования, внимательно следовать рекомендациям и методическим инструкциям по настройке безопасности средств защиты информации, в том числе ОС Astra Linux, и своевременно применять обновления, направленные на устранение потенциальных уязвимостей.


t.me/astragroup

5 комментариев
+3
Что за безграмотный бред? Это рассчитано на менеджеров из юристов и экономистов которые как дураки с умным видом ходят на  ИТ-презентациях и неспособны подобрать себе спецов чтобы проконсультироваться.

Астра, как и любое ПО использует кучу сторонних библиотек и зависимостей. 99% разработчиков этих библиотек доступны для западных спецслужб и элементарно склоняются к сотрудничеству. При каждом новом обновлении любой библиотеки в ПО АНБ одни бэкдоры вам закрывает, другие открывает.

Чем делать аудит кода проще и надёжнее написать своё на rust под risc-v что то типа redox. и закрыть исходники.

Для более менее безопасной ОО Астре необходимо переписать ядро + хотя бы основные системные утилиты типа sudo/ ssl/ Login + командную оболочку + стек tcp/ip + межсетевой экран +  SELinux/ AppArmor на Rust причём реализовать это для RISC-V благо разработчик risc-v ядер в России есть.

Пример проекта переписывания системных утилит на rust 
«Проект Prossimo перепишет sudo и su на Rust» habr.com/ru/news/732524/

Все желающие могут оценить подход спецов к проблеме. И объём работ. Это не поменять интерфейс и ядро как в последней версии Астры — но хорошо хоть что то сделали. Будем надеяться ещё поменяют командную оболочку на zsh (как в МакОС) — всё рано основная масса новых админов астры не знают bash — так зачем туда тянуть это старьё. 

Если у них есть грамотные маркетологи как в 1С, то возможно они ещё сделают скриптовой язык с русскими операторами и терминологией (просто добавив синонимы в Питон, Котлин или Lua) чтобы привязать к себе пользователей как сделала 1С/майкрософт по аналогии с perfolenta.net/ — русским C#/VB  (который написал и довёл до товарного вида один человек) возможно будет какая то перспектива.

Вообще в Астре толпа народу, непонятно что они там делают если даже штатные manы до конца не перевели.

PS Вот ещё 
* habr.com/ru/articles/782112/ — про взлом защищённого Астра Линукс начинающим хакером. Больно читать:
цитаты ...
"

 возвращаюсь к анализу ЗПС. Хочу реализовать исполнение неподписанного ELF-файла, т.к. на тот момент казалось, что эта задача выглядит более чем достойно.

Начинаю разбираться как же реализован этот механизм и через некоторое время выясняю следующее:

  • ЗПС реализован в ядре

  • ЗПС реализован на базе проекта digsig

Свежие исходники проекта digsig мне найти не удалось. Как оказалось, его развитие прекратилось 19 (!) лет назад. ...


"

"… для исполнения неподписанного ELF-файла на защищённой ОС СпецНазначения Astra Linux SE требовалось выполнить в консоли 3 команды! ..."

Выводы :
"... Реализованные мной недопустимые события показали, что базовые механизмы защиты ОС СН Astra Linux SE содержат дефекты, эксплуатация которых может привести к трагическим последствиям, ведь данная ОС является сертифицированной, а значит примеряется в тех местах, где вопросам защиты информации и информационной безопасности отводится важнейшая роль.

Особо стоит отметить механизм ЗПС, который фактически был заимствован из публичных источников (проект digsig) и не претерпел существенных изменений, по крайней мере в части защищённости, аж с 2006 года (!!!111).

То есть ещё раз. Базовый механизм защиты — замкнутая программная среда — взят из Интернета в 2006 году и с того времени функционально не изменился и более того, кажется что аудит безопасности данного компонента вовсе не проводился! Хотя, может и проводился, кто его знает...

Также, усугубляет ситуацию и тот факт, что практически все проведённые атаки являются по сути своей простейшими и не требуют для их проведения каких-либо сложных манипуляций (три команды на баше, чтобы выполнить ELF-файл). ..."

Ну и вишенка на торте про сертификаты справки за бабло ФСТЭК:
«Успешно прошла комплекс испытаний в системе сертификации СЗИ ФСТЭК России по первому, высочайшему, уровню доверия

Печалька… не вздумайте это дерьмо использовать для защиты своих ИТ систем, тем более платить за него свои деньги ...

avatar
Максим
Такая проверка на взлом сильно поможет Астре устранить уязвимости.
И сделает ее продукцию намного лкчше.
avatar
sergik99
sergik99, нет там никакой проверки, им достаточно посмотреть из каких исходников собирается конкретная версия Астра линукса и какие библиотеки при этом используются, и посмотреть где АНБ внедрила бэк доры а затем втихаря эксплуатировать уязвимости. Весь шум на западе по поводу «защищённости» Астра Линукс которая явно имеет архитектурные уязвимости очень подозрителен и скорей всего является операцией прикрытия. Единственное что у неё своё это мандатное управление доступом — аналог SELinux написанное лет 10 назад. SELinux — это на самом деле плохо оптимизированная альфа версия утилиты всего лишь для оценки возможности написания мандатного управления доступом поверх обычного дистрибутива линукс написанная АНБ. (это всё равно что на пикап поставить пулёмёт — лучше чем ничего, эффект есть но БТР или БМП я явно не заменит.)

Характерный штрих: РедХат когда ему понадобилось оптимизировать SELinux чтобы встроить в свои дистрибутивы частично переписал еёсилами 1-2 х программистов — и некоторые участки ускорил в 10-40 раз. Если даже такие небольшие  усилия дали такой эффект можно представить качество кода SELinux. В нём не бекдоры АНБ, а элементарные баги и кривой код. Для нормальных защищённых систем в США и КНР используется другие ОС у которых аналог SELinux очевидно встроен в ядро/Файловую Систему.
avatar
Максим
посмотреть где АНБ внедрила бэк доры а затем втихаря эксплуатировать уязвимости

В открытом тексте исходнике для Астра линукс это вполне читается. А вот уже продукт Астра линукс открытых исходников может и не быть. Придется дисассемблировать и искать уязвимости. Тут будет уже работа для АНБ.
Найдут уязвимости, так им спасибо. Иначе бы пришлось самим искать.
avatar
sergik99
sergik99, Есть гораздо более простые способы — поставить дистрибутив АСЛ и протестировать его на работоспособность своих бек доров. Китайцы и западные хакеры массово сканируют интернет на наличие уязвимостей у установленного оборудования по перечню. Перечень АНБ на несколько порядков больше.
Вы реально считаете что АНБ расскажет кому то про найденные уязвимости?
avatar
Максим

полезные записи за 24 часа

★12 35 🌊 Флоатеры тихо тонут. Почему инструмент, считавшийся "умным выбором", теряет привлекательность?
★8 14 Уведомил налоговую о трансформации ИИС в ИИС-3го типа
★7 2 6 способов как оплатить налоги со скидкой
★7 23 95,1% российских семей не хватает денег на всё. Хватает только на ой всё
★7 8 Мой портфель облигаций на 21 ноября
★6 10 Пять акций с самыми высоким дивидендами
★6 6 Итоги недели 21.11.2024. Предел эскалации. Курс доллара и нефть
★5 47 Максимальный уровень подоходного налога в странах Европы
★5 90 Если мы скатимся в гипер..
★4 0 Ростелеком (RTKM). Отчет 3Q 2024. Дивиденды. Перспективы.
+243 277 Ситуация на текущий момент
+146 74 Декларирую медвежий рынок века!📉 Весь мир в труху! IMOEX = 1000
+144 86 Азия. Четверг.
+137 25 Под санкции США попали более 50 банков РФ🔥Акции и инвестиции
+110 32 Мосбиржа опять в крови: когда покупать акции?
+104 58 Откуда возьмутся 101 млрд руб?
+98 81 Медвежий рынок вернулся?
+87 46 Не могу понять, почему люди до сих пор ждут рост
+82 35 🌊 Флоатеры тихо тонут. Почему инструмент, считавшийся "умным выбором", теряет привлекательность?
+78 90 Если мы скатимся в гипер..

самые обсуждаемые сегодня

277к Ситуация на текущий момент
169к Больше половины российских самолетов Airbus не летают.
157к Метод Геллы. Дно рядом (индекс МБ)
90к Если мы скатимся в гипер..
86к Азия. Четверг.
81к Медвежий рынок вернулся?
74к Декларирую медвежий рынок века!📉 Весь мир в труху! IMOEX = 1000
53к Не ужели что то меняется?
48к В такие дни как сегодня у меня возникает покупательская лихорадка.
46к Не могу понять, почему люди до сих пор ждут рост

теги блога Nordstream

....все тэги



UPDONW
Новый дизайн