Новости рынков

Новости рынков | Аналитический центр США призвал задействовать разведку для оценки перспектив взлома Astra Linux

Аналитики в США и в странах-союзниках Америки должны использовать средства разведки на основе открытых источников, чтобы понять, как Россия задействует [при импортозамещении] технологии наподобие операционной системы Astra Linux; соответствующий призыв размещён в опубликованной в понедельник статье Совета по международным отношениям (Council on Foreign Relations, CFR).

Как утверждается в материале, Astra Linux широко используется в военных и разведывательных [информационных] системах, причём разработка базируется на open source. «Возможно, это приводит к внедрению уязвимостей, которыми можно воспользоваться в должном масштабе», – подчёркивается в статье.

d-russia.ru/analiticheskij-centr-ssha-prizval-zadejstvovat-razvedku-dlja-ocenki-perspektiv-vzloma-astra-linux.html?utm_source=telegram

ОТВЕТ АСТРЫ:

  • Призывы со стороны иностранных агитационных ресурсов в очередной раз подтвердили верность нашей бизнес-стратегии, ориентированной в первую очередь на создание безопасных решений, усиленных собственными СЗИ.
  • Информационная безопасность зашита в ДНК «Астры» — это наш ключевой приоритет. Мы располагаем достаточными ресурсами для тестирования кода, оперативного устранения уязвимостей, уделяем большое внимание таким технологиям, как мандатное разграничение доступа и контроль целостности, замкнутая программная среда и другим средствам защиты. В связи со сложившейся международной обстановкой также усилены меры по выявлению вредоносных включений в ПО, проводится дополнительный антивирусный контроль с применением нескольких специализированных средств.
  • Российские регуляторы, осознавая важность информационной безопасности и технологического суверенитета, накладывают достаточно жесткие требования для разработчиков СЗИ. ОС Astra Linux сертифицирована ФСТЭК России по первому уровню доверия и классу защиты. Это подтверждает высокие результаты нашей деятельности по обеспечению ИБ.
  • Защищенность ИТ-инфраструктуры зависит от всего комплекса средств ИБ, который применяется в организации. Поэтому мы рекомендуем заказчикам использовать весь комплекс СЗИ, необходимый для защиты информации с учетом конкретной модели угроз, правильно выбирать режимы функционирования, внимательно следовать рекомендациям и методическим инструкциям по настройке безопасности средств защиты информации, в том числе ОС Astra Linux, и своевременно применять обновления, направленные на устранение потенциальных уязвимостей.


t.me/astragroup

5 комментариев
+3
Что за безграмотный бред? Это рассчитано на менеджеров из юристов и экономистов которые как дураки с умным видом ходят на  ИТ-презентациях и неспособны подобрать себе спецов чтобы проконсультироваться.

Астра, как и любое ПО использует кучу сторонних библиотек и зависимостей. 99% разработчиков этих библиотек доступны для западных спецслужб и элементарно склоняются к сотрудничеству. При каждом новом обновлении любой библиотеки в ПО АНБ одни бэкдоры вам закрывает, другие открывает.

Чем делать аудит кода проще и надёжнее написать своё на rust под risc-v что то типа redox. и закрыть исходники.

Для более менее безопасной ОО Астре необходимо переписать ядро + хотя бы основные системные утилиты типа sudo/ ssl/ Login + командную оболочку + стек tcp/ip + межсетевой экран +  SELinux/ AppArmor на Rust причём реализовать это для RISC-V благо разработчик risc-v ядер в России есть.

Пример проекта переписывания системных утилит на rust 
«Проект Prossimo перепишет sudo и su на Rust» habr.com/ru/news/732524/

Все желающие могут оценить подход спецов к проблеме. И объём работ. Это не поменять интерфейс и ядро как в последней версии Астры — но хорошо хоть что то сделали. Будем надеяться ещё поменяют командную оболочку на zsh (как в МакОС) — всё рано основная масса новых админов астры не знают bash — так зачем туда тянуть это старьё. 

Если у них есть грамотные маркетологи как в 1С, то возможно они ещё сделают скриптовой язык с русскими операторами и терминологией (просто добавив синонимы в Питон, Котлин или Lua) чтобы привязать к себе пользователей как сделала 1С/майкрософт по аналогии с perfolenta.net/ — русским C#/VB  (который написал и довёл до товарного вида один человек) возможно будет какая то перспектива.

Вообще в Астре толпа народу, непонятно что они там делают если даже штатные manы до конца не перевели.
avatar
Максим
Такая проверка на взлом сильно поможет Астре устранить уязвимости.
И сделает ее продукцию намного лкчше.
avatar
sergik99
sergik99, нет там никакой проверки, им достаточно посмотреть из каких исходников собирается конкретная версия Астра линукса и какие библиотеки при этом используются, и посмотреть где АНБ внедрила бэк доры а затем втихаря эксплуатировать уязвимости. Весь шум на западе по поводу «защищённости» Астра Линукс которая явно имеет архитектурные уязвимости очень подозрителен и скорей всего является операцией прикрытия. Единственное что у неё своё это мандатное управление доступом — аналог SELinux написанное лет 10 назад. SELinux — это на самом деле плохо оптимизированная альфа версия утилиты всего лишь для оценки возможности написания мандатного управления доступом поверх обычного дистрибутива линукс написанная АНБ. (это всё равно что на пикап поставить пулёмёт — лучше чем ничего, эффект есть но БТР или БМП я явно не заменит.)

Характерный штрих: РедХат когда ему понадобилось оптимизировать SELinux чтобы встроить в свои дистрибутивы частично переписал еёсилами 1-2 х программистов — и некоторые участки ускорил в 10-40 раз. Если даже такие небольшие  усилия дали такой эффект можно представить качество кода SELinux. В нём не бекдоры АНБ, а элементарные баги и кривой код. Для нормальных защищённых систем в США и КНР используется другие ОС у которых аналог SELinux очевидно встроен в ядро/Файловую Систему.
avatar
Максим
посмотреть где АНБ внедрила бэк доры а затем втихаря эксплуатировать уязвимости

В открытом тексте исходнике для Астра линукс это вполне читается. А вот уже продукт Астра линукс открытых исходников может и не быть. Придется дисассемблировать и искать уязвимости. Тут будет уже работа для АНБ.
Найдут уязвимости, так им спасибо. Иначе бы пришлось самим искать.
avatar
sergik99
sergik99, Есть гораздо более простые способы — поставить дистрибутив АСЛ и протестировать его на работоспособность своих бек доров. Китайцы и западные хакеры массово сканируют интернет на наличие уязвимостей у установленного оборудования по перечню. Перечень АНБ на несколько порядков больше.
Вы реально считаете что АНБ расскажет кому то про найденные уязвимости?
avatar
Максим

полезные записи за 24 часа

★24 30 Bылeчил QUIK
★14 21 Запустил продажу товаров на маркетплейсах в 2022г за 100 000 рублей
★10 25 ⭐️ Всё, что нужно знать о российском рынке акций в одной картинке
★6 9 Доходность акций компаний из индекса Мосбиржи за 5 лет. Какая средняя дивидендная доходность? Часть 3
★6 2 Святой рандом августа. RTKM — акции Ростелекома
★5 24 Ипотека по данным РБК Недвижимость полетела в тартарары
★4 25 Можно ли научить искусственный интеллект предсказывать цены на бирже?
★4 42 50 млн. профита за 3 месяца?
★4 7 Я же говорил!
★3 31 Зачем инвестировать в акции, если облигации и вклады дают 17-22%?
+139 41 🆘 Обращение к Московской бирже 🆘
+123 4 Доллар ВСЁ🔥Акции и инвестиции
+116 29 Причины остановки торгов акциями на Мосбирже
+115 22 Ситуация на текущий момент
+86 28 +11% в карман меньше чем за месяц на этой инвест идее
+80 175 "Цель она есть". Где логика (S&P500).
+79 60 Силуанов сегодня посоветовал физикам вкладываться в ОФЗ
+78 4 Индекс МБ сегодня
+78 39 Доллар стабилизировался, вокруг 92
+75 30 Bылeчил QUIK

самые обсуждаемые сегодня

28к Азия. Четверг.
22к Ситуация на текущий момент
19к Шорт
Россия обложалась.
🔥Сколько стоит рублевая 🛢бочка нефти, что с долларом💰 и какие перспективы рубля?🌲
18 лкт на рынке
Сегодня еду кремировать маму....
BRICS-->BASIC
ЦБ РФ. Инфляция в июле возросла
Сбер по 60

теги блога Nordstream

....все тэги



UPDONW
Новый дизайн