Русскоязычное программирование

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.


Вы здесь » Русскоязычное программирование » Астра-линукс » Насколько защищён астра-линукс


Насколько защищён астра-линукс

Сообщений 1 страница 11 из 11

1

Пытался выведать, подпал ли астра-линукс под уязвимость heartbleed. Самый интересный из ответов - здесь:

https://www.linux.org.ru/forum/security … d=14609152

А где то заявлялось об отсутствии уязвимостей в Астре? Посмотрите бюллетени безопасности с обновлениями для Астры, увидите там обычные CVE.

Я открыл один из бюллетеней. Что такое CVE, не знаю, но посмотрел про одну уязвимость - она впервые опубликована в RedHat.

https://wiki.astralinux.ru/pages/viewpa … Id=1212483 - бюллетень

https://access.redhat.com/security/cve/cve-2018-1312 - закрытая уязвимость.

Т.е. как я вижу сценарий: сидят себе «опен-сорсе разработчики» в погонах в офисе АНБ, коммитят в репы свои «улучшения» с закладками.
Лохи из России (тоже в погонах) скачивают этого троянского коня, вешают этикетку «астра-линукс», говорят много умных слов о защите и пускают в продакшен.

АНБ сидит, качает секретную инфу о запчастях для российской гиперзвуковой ракеты из системы оборонзаказа.

Потом какой-нибудь Че Ши Ли находит закладку, публикует её в интернете. В АНБ вздыхают и выпускают патч. Остаётся не 10000 дыр в линуксе, а 9999, но это не страшно - ведь продукт развивается и добавить закладки всегда можно.

Я, конечно, огрубляю, упрощаю и даже гиперболизирую. Но думается, что суть именно такова. Очень интересно узнать, насколько это правда. Там есть какие-то системы контроля доступа, но я что-то думаю, что они не от всего могут помогать.

0

2

CVE (англ. Common Vulnerabilities and Exposures) — база данных общеизвестных уязвимостей информационной безопасности.
Каждой уязвимости присваивается идентификационный номер вида CVE-год-номер, описание и ряд общедоступных ссылок с описанием.

0

3

Бу: Астра незащищена -> Нужна новая ОС
Чи: Ок, сколько денег нужно (смету приготовили?)
Бу: Нет
Чи: Очень жаль, всего вам доброго, хорошего настроения

Отредактировано Лис (2018-12-09 03:29:35)

0

4

Прохождение диалога зависит от того, по какую сторону томагавков находятся дети этого Чи. Если по ту, то это коллаборционист и участник окупационного правительства. Его из-за угла подстеречь и кирпичом. А если по сю, то от новости о незащищённости астры у него должны волосы зашевелиться на голове.

Почему, собственно, это я должен готовить смету? Дети-то его.

Но на самом деле на данном этапе достаточно выяснить, действительно ли астра не защищена. Допустим, уязвимости в конкретных программах могут
не действовать ввиду низких полномочий этих программ. Я, правда, скептически к этому отношусь. Например, уязвимость в апаче позволяет сделать бяку, не заходя на сам защищённый компьютер, а пользуясь законным веб-интерфейсом.

0

5

Но вопрос про смету тоже хорош, конечно.

0

6

БудДен

БудДен написал(а):

АНБ сидит, качает секретную инфу о запчастях для российской гиперзвуковой ракеты из системы оборонзаказа.

Так эта информация была доступна пару лет назад на госзакупках. Любой мог найти если знать, что искать.

БудДен написал(а):

Пытался выведать, подпал ли астра-линукс под уязвимость heartbleed. Самый интересный из ответов - здесь:

Напишите в поддержку они вам ответят.

БудДен написал(а):

Лохи из России (тоже в погонах) скачивают этого троянского коня, вешают этикетку «астра-линукс», говорят много умных слов о защите и пускают в продакшен.

Ну не так. Софт там не абы какой, а отобранный наиболее надёжный.  Тот у кого по статистики за 10 лет не более одного бюлютеня от CVE. У обычного софта таких бюлютений десятки в год.

Во-вторых софт проходит проверку. По крайней мере я надеюсь.
Есть такая вещь как угрозы и уязвимости. Это два разных понятия. Уязвимости это конкретные дыры в реализации кода. Их очень много, но так как по своей своей природе происходят от общих угроз, которых мало, то найти их не составляет труда.
Фактически у нас есть угрозы коих порядка 200, а уязвимости это это же число помноженное на количество программ.
А проверить угрозы просто достаточно иметь сканер с 200 методов под каждую угрозу.
Проблема в том что процесс этот плохо автоматизируется. Но как говорится на безрыбье и рак рыба.

БудДен написал(а):

Я, конечно, огрубляю, упрощаю и даже гиперболизирую. Но думается, что суть именно такова. Очень интересно узнать, насколько это правда. Там есть какие-то системы контроля доступа, но я что-то думаю, что они не от всего могут помогать.

Это примерно так:
Кухня. Тишина. Открывается дверь холодильника. Оттуда вываливается пузатая огромная мышь. На шее у нее намотаны сосиски, в одной лапе кусок сыра, в другой-окорок. Подходит к своей норке. Там стоит мышеловка и в ней маленький засохший кусочек сыра. Мышь смотрит на это и говорит: "Ну чеснэ слово, як диты".

0

7

БудДен написал(а):

Например, уязвимость в апаче позволяет сделать бяку, не заходя на сам защищённый компьютер, а пользуясь законным веб-интерфейсом.

Тут всё от настроек зависит. Нужно знать архитектуру ИС, тогда можно будет настроить грамотно политику безопасности. А благодаря связки pam и sudo можно будет обезопасить ОС от апача.

Отредактировано Павиа (2018-12-09 12:29:44)

0

8

БудДен написал(а):

Но на самом деле на данном этапе достаточно выяснить, действительно ли астра не защищена.

Где-то читал, что серьёзные (UNIX) системы строятся на строгом разделении эталонных и исполнительных частей.
Эталонная часть доступна только для чтения. Нужные для работы элементы, (ось, дрова, батики, библиотеки) по мере необходимости в них, копируются в песочницы, где и происходят сами вычисления.
(также хранение результатов таблиц и данных, полученных в процессе работы).
В фоновом режиме такие системы циклично мониторят сами себя, сравнивая эталонные части с их дубликатами в песочнице и, в случае их несовпадения бьют тревогу, одновременно включая анализ последних событий, приведших к критической ситуации. Такую систему уронить невозможно в принципе, если при ней нет криворукого админа.

0

9

По крайней мере я надеюсь.

Вот надо как-то эту надежду превратить в знание или разбить. Кто может это сделать? Хотя я не представляю себе даже в теории, как отличить реально произведённую проверку от попила бабла за проверку.

0

10

Сандро
Думаю это приувеличение. Но не суть Астра не поддерживает виртуализацию. Хотя вроде в 1٫6 обещали сделать.

БудДен
Дык элементарно проверяется. Только мне ещё работать в этой системе. Поэтому вы как нибудь без меня.

0

11

Павиа, ваш намёк звучит довольно мммм пессимистично.

0


Вы здесь » Русскоязычное программирование » Астра-линукс » Насколько защищён астра-линукс