Новости рынков

Новости рынков | Аналитический центр США призвал задействовать разведку для оценки перспектив взлома Astra Linux

Аналитики в США и в странах-союзниках Америки должны использовать средства разведки на основе открытых источников, чтобы понять, как Россия задействует [при импортозамещении] технологии наподобие операционной системы Astra Linux; соответствующий призыв размещён в опубликованной в понедельник статье Совета по международным отношениям (Council on Foreign Relations, CFR).

Как утверждается в материале, Astra Linux широко используется в военных и разведывательных [информационных] системах, причём разработка базируется на open source. «Возможно, это приводит к внедрению уязвимостей, которыми можно воспользоваться в должном масштабе», – подчёркивается в статье.

d-russia.ru/analiticheskij-centr-ssha-prizval-zadejstvovat-razvedku-dlja-ocenki-perspektiv-vzloma-astra-linux.html?utm_source=telegram

ОТВЕТ АСТРЫ:

  • Призывы со стороны иностранных агитационных ресурсов в очередной раз подтвердили верность нашей бизнес-стратегии, ориентированной в первую очередь на создание безопасных решений, усиленных собственными СЗИ.
  • Информационная безопасность зашита в ДНК «Астры» — это наш ключевой приоритет. Мы располагаем достаточными ресурсами для тестирования кода, оперативного устранения уязвимостей, уделяем большое внимание таким технологиям, как мандатное разграничение доступа и контроль целостности, замкнутая программная среда и другим средствам защиты. В связи со сложившейся международной обстановкой также усилены меры по выявлению вредоносных включений в ПО, проводится дополнительный антивирусный контроль с применением нескольких специализированных средств.
  • Российские регуляторы, осознавая важность информационной безопасности и технологического суверенитета, накладывают достаточно жесткие требования для разработчиков СЗИ. ОС Astra Linux сертифицирована ФСТЭК России по первому уровню доверия и классу защиты. Это подтверждает высокие результаты нашей деятельности по обеспечению ИБ.
  • Защищенность ИТ-инфраструктуры зависит от всего комплекса средств ИБ, который применяется в организации. Поэтому мы рекомендуем заказчикам использовать весь комплекс СЗИ, необходимый для защиты информации с учетом конкретной модели угроз, правильно выбирать режимы функционирования, внимательно следовать рекомендациям и методическим инструкциям по настройке безопасности средств защиты информации, в том числе ОС Astra Linux, и своевременно применять обновления, направленные на устранение потенциальных уязвимостей.


t.me/astragroup

5 комментариев
Что за безграмотный бред? Это рассчитано на менеджеров из юристов и экономистов которые как дураки с умным видом ходят на  ИТ-презентациях и неспособны подобрать себе спецов чтобы проконсультироваться.

Астра, как и любое ПО использует кучу сторонних библиотек и зависимостей. 99% разработчиков этих библиотек доступны для западных спецслужб и элементарно склоняются к сотрудничеству. При каждом новом обновлении любой библиотеки в ПО АНБ одни бэкдоры вам закрывает, другие открывает.

Чем делать аудит кода проще и надёжнее написать своё на rust под risc-v что то типа redox. и закрыть исходники.

Для более менее безопасной ОО Астре необходимо переписать ядро + хотя бы основные системные утилиты типа sudo/ ssl/ Login + командную оболочку + стек tcp/ip + межсетевой экран +  SELinux/ AppArmor на Rust причём реализовать это для RISC-V благо разработчик risc-v ядер в России есть.

Пример проекта переписывания системных утилит на rust 
«Проект Prossimo перепишет sudo и su на Rust» habr.com/ru/news/732524/

Все желающие могут оценить подход спецов к проблеме. И объём работ. Это не поменять интерфейс и ядро как в последней версии Астры — но хорошо хоть что то сделали. Будем надеяться ещё поменяют командную оболочку на zsh (как в МакОС) — всё рано основная масса новых админов астры не знают bash — так зачем туда тянуть это старьё. 

Если у них есть грамотные маркетологи как в 1С, то возможно они ещё сделают скриптовой язык с русскими операторами и терминологией (просто добавив синонимы в Питон, Котлин или Lua) чтобы привязать к себе пользователей как сделала 1С/майкрософт по аналогии с perfolenta.net/ — русским C#/VB  (который написал и довёл до товарного вида один человек) возможно будет какая то перспектива.

Вообще в Астре толпа народу, непонятно что они там делают если даже штатные manы до конца не перевели.

PS Вот ещё 
* habr.com/ru/articles/782112/ — про взлом защищённого Астра Линукс начинающим хакером. Больно читать:
цитаты ...
"

 возвращаюсь к анализу ЗПС. Хочу реализовать исполнение неподписанного ELF-файла, т.к. на тот момент казалось, что эта задача выглядит более чем достойно.

Начинаю разбираться как же реализован этот механизм и через некоторое время выясняю следующее:

  • ЗПС реализован в ядре

  • ЗПС реализован на базе проекта digsig

Свежие исходники проекта digsig мне найти не удалось. Как оказалось, его развитие прекратилось 19 (!) лет назад. ...


"

"… для исполнения неподписанного ELF-файла на защищённой ОС СпецНазначения Astra Linux SE требовалось выполнить в консоли 3 команды! ..."

Выводы :
"... Реализованные мной недопустимые события показали, что базовые механизмы защиты ОС СН Astra Linux SE содержат дефекты, эксплуатация которых может привести к трагическим последствиям, ведь данная ОС является сертифицированной, а значит примеряется в тех местах, где вопросам защиты информации и информационной безопасности отводится важнейшая роль.

Особо стоит отметить механизм ЗПС, который фактически был заимствован из публичных источников (проект digsig) и не претерпел существенных изменений, по крайней мере в части защищённости, аж с 2006 года (!!!111).

То есть ещё раз. Базовый механизм защиты — замкнутая программная среда — взят из Интернета в 2006 году и с того времени функционально не изменился и более того, кажется что аудит безопасности данного компонента вовсе не проводился! Хотя, может и проводился, кто его знает...

Также, усугубляет ситуацию и тот факт, что практически все проведённые атаки являются по сути своей простейшими и не требуют для их проведения каких-либо сложных манипуляций (три команды на баше, чтобы выполнить ELF-файл). ..."

Ну и вишенка на торте про сертификаты справки за бабло ФСТЭК:
«Успешно прошла комплекс испытаний в системе сертификации СЗИ ФСТЭК России по первому, высочайшему, уровню доверия

Печалька… не вздумайте это дерьмо использовать для защиты своих ИТ систем, тем более платить за него свои деньги ...

avatar
Такая проверка на взлом сильно поможет Астре устранить уязвимости.
И сделает ее продукцию намного лкчше.
avatar
sergik99, нет там никакой проверки, им достаточно посмотреть из каких исходников собирается конкретная версия Астра линукса и какие библиотеки при этом используются, и посмотреть где АНБ внедрила бэк доры а затем втихаря эксплуатировать уязвимости. Весь шум на западе по поводу «защищённости» Астра Линукс которая явно имеет архитектурные уязвимости очень подозрителен и скорей всего является операцией прикрытия. Единственное что у неё своё это мандатное управление доступом — аналог SELinux написанное лет 10 назад. SELinux — это на самом деле плохо оптимизированная альфа версия утилиты всего лишь для оценки возможности написания мандатного управления доступом поверх обычного дистрибутива линукс написанная АНБ. (это всё равно что на пикап поставить пулёмёт — лучше чем ничего, эффект есть но БТР или БМП я явно не заменит.)

Характерный штрих: РедХат когда ему понадобилось оптимизировать SELinux чтобы встроить в свои дистрибутивы частично переписал еёсилами 1-2 х программистов — и некоторые участки ускорил в 10-40 раз. Если даже такие небольшие  усилия дали такой эффект можно представить качество кода SELinux. В нём не бекдоры АНБ, а элементарные баги и кривой код. Для нормальных защищённых систем в США и КНР используется другие ОС у которых аналог SELinux очевидно встроен в ядро/Файловую Систему.
avatar
посмотреть где АНБ внедрила бэк доры а затем втихаря эксплуатировать уязвимости

В открытом тексте исходнике для Астра линукс это вполне читается. А вот уже продукт Астра линукс открытых исходников может и не быть. Придется дисассемблировать и искать уязвимости. Тут будет уже работа для АНБ.
Найдут уязвимости, так им спасибо. Иначе бы пришлось самим искать.
avatar
sergik99, Есть гораздо более простые способы — поставить дистрибутив АСЛ и протестировать его на работоспособность своих бек доров. Китайцы и западные хакеры массово сканируют интернет на наличие уязвимостей у установленного оборудования по перечню. Перечень АНБ на несколько порядков больше.
Вы реально считаете что АНБ расскажет кому то про найденные уязвимости?
avatar

теги блога Nordstream

....все тэги



UPDONW
Новый дизайн