Аналитики в США и в странах-союзниках Америки должны использовать средства разведки на основе открытых источников, чтобы понять, как Россия задействует [при импортозамещении] технологии наподобие операционной системы Astra Linux; соответствующий призыв размещён в опубликованной в понедельник статье Совета по международным отношениям (Council on Foreign Relations, CFR).
Как утверждается в материале, Astra Linux широко используется в военных и разведывательных [информационных] системах, причём разработка базируется на open source. «Возможно, это приводит к внедрению уязвимостей, которыми можно воспользоваться в должном масштабе», – подчёркивается в статье.
d-russia.ru/analiticheskij-centr-ssha-prizval-zadejstvovat-razvedku-dlja-ocenki-perspektiv-vzloma-astra-linux.html?utm_source=telegram
ОТВЕТ АСТРЫ:
- Призывы со стороны иностранных агитационных ресурсов в очередной раз подтвердили верность нашей бизнес-стратегии, ориентированной в первую очередь на создание безопасных решений, усиленных собственными СЗИ.
- Информационная безопасность зашита в ДНК «Астры» — это наш ключевой приоритет. Мы располагаем достаточными ресурсами для тестирования кода, оперативного устранения уязвимостей, уделяем большое внимание таким технологиям, как мандатное разграничение доступа и контроль целостности, замкнутая программная среда и другим средствам защиты. В связи со сложившейся международной обстановкой также усилены меры по выявлению вредоносных включений в ПО, проводится дополнительный антивирусный контроль с применением нескольких специализированных средств.
- Российские регуляторы, осознавая важность информационной безопасности и технологического суверенитета, накладывают достаточно жесткие требования для разработчиков СЗИ. ОС Astra Linux сертифицирована ФСТЭК России по первому уровню доверия и классу защиты. Это подтверждает высокие результаты нашей деятельности по обеспечению ИБ.
- Защищенность ИТ-инфраструктуры зависит от всего комплекса средств ИБ, который применяется в организации. Поэтому мы рекомендуем заказчикам использовать весь комплекс СЗИ, необходимый для защиты информации с учетом конкретной модели угроз, правильно выбирать режимы функционирования, внимательно следовать рекомендациям и методическим инструкциям по настройке безопасности средств защиты информации, в том числе ОС Astra Linux, и своевременно применять обновления, направленные на устранение потенциальных уязвимостей.
t.me/astragroup
Астра, как и любое ПО использует кучу сторонних библиотек и зависимостей. 99% разработчиков этих библиотек доступны для западных спецслужб и элементарно склоняются к сотрудничеству. При каждом новом обновлении любой библиотеки в ПО АНБ одни бэкдоры вам закрывает, другие открывает.
Чем делать аудит кода проще и надёжнее написать своё на rust под risc-v что то типа redox. и закрыть исходники.
Для более менее безопасной ОО Астре необходимо переписать ядро + хотя бы основные системные утилиты типа sudo/ ssl/ Login + командную оболочку + стек tcp/ip + межсетевой экран + SELinux/ AppArmor на Rust причём реализовать это для RISC-V благо разработчик risc-v ядер в России есть.
Пример проекта переписывания системных утилит на rust
«Проект Prossimo перепишет sudo и su на Rust» habr.com/ru/news/732524/
Все желающие могут оценить подход спецов к проблеме. И объём работ. Это не поменять интерфейс и ядро как в последней версии Астры — но хорошо хоть что то сделали. Будем надеяться ещё поменяют командную оболочку на zsh (как в МакОС) — всё рано основная масса новых админов астры не знают bash — так зачем туда тянуть это старьё.
Если у них есть грамотные маркетологи как в 1С, то возможно они ещё сделают скриптовой язык с русскими операторами и терминологией (просто добавив синонимы в Питон, Котлин или Lua) чтобы привязать к себе пользователей как сделала 1С/майкрософт по аналогии с perfolenta.net/ — русским C#/VB (который написал и довёл до товарного вида один человек) возможно будет какая то перспектива.
Вообще в Астре толпа народу, непонятно что они там делают если даже штатные manы до конца не перевели.
PS Вот ещё
* habr.com/ru/articles/782112/ — про взлом защищённого Астра Линукс начинающим хакером. Больно читать:
цитаты ...
"
возвращаюсь к анализу ЗПС. Хочу реализовать исполнение неподписанного ELF-файла, т.к. на тот момент казалось, что эта задача выглядит более чем достойно.
Начинаю разбираться как же реализован этот механизм и через некоторое время выясняю следующее:
ЗПС реализован в ядре
ЗПС реализован на базе проекта digsig
Свежие исходники проекта digsig мне найти не удалось. Как оказалось, его развитие прекратилось 19 (!) лет назад. ...
"
"… для исполнения неподписанного ELF-файла на защищённой ОС СпецНазначения Astra Linux SE требовалось выполнить в консоли 3 команды! ..."
Выводы :
"... Реализованные мной недопустимые события показали, что базовые механизмы защиты ОС СН Astra Linux SE содержат дефекты, эксплуатация которых может привести к трагическим последствиям, ведь данная ОС является сертифицированной, а значит примеряется в тех местах, где вопросам защиты информации и информационной безопасности отводится важнейшая роль.
Особо стоит отметить механизм ЗПС, который фактически был заимствован из публичных источников (проект digsig) и не претерпел существенных изменений, по крайней мере в части защищённости, аж с 2006 года (!!!111).
То есть ещё раз. Базовый механизм защиты — замкнутая программная среда — взят из Интернета в 2006 году и с того времени функционально не изменился и более того, кажется что аудит безопасности данного компонента вовсе не проводился! Хотя, может и проводился, кто его знает...
Также, усугубляет ситуацию и тот факт, что практически все проведённые атаки являются по сути своей простейшими и не требуют для их проведения каких-либо сложных манипуляций (три команды на баше, чтобы выполнить ELF-файл). ..."
Ну и вишенка на торте про сертификаты справки за бабло ФСТЭК:
«Успешно прошла комплекс испытаний в системе сертификации СЗИ ФСТЭК России по первому, высочайшему, уровню доверия.»
Печалька… не вздумайте это дерьмо использовать для защиты своих ИТ систем, тем более платить за него свои деньги ...
И сделает ее продукцию намного лкчше.
Характерный штрих: РедХат когда ему понадобилось оптимизировать SELinux чтобы встроить в свои дистрибутивы частично переписал еёсилами 1-2 х программистов — и некоторые участки ускорил в 10-40 раз. Если даже такие небольшие усилия дали такой эффект можно представить качество кода SELinux. В нём не бекдоры АНБ, а элементарные баги и кривой код. Для нормальных защищённых систем в США и КНР используется другие ОС у которых аналог SELinux очевидно встроен в ядро/Файловую Систему.
В открытом тексте исходнике для Астра линукс это вполне читается. А вот уже продукт Астра линукс открытых исходников может и не быть. Придется дисассемблировать и искать уязвимости. Тут будет уже работа для АНБ.
Найдут уязвимости, так им спасибо. Иначе бы пришлось самим искать.
Вы реально считаете что АНБ расскажет кому то про найденные уязвимости?