Насколько защищён астра-линукс

Поделиться12018-12-09 01:03:15

Автор: БудДен
Участник
Зарегистрирован: 2018-03-21
Приглашений: 0
Сообщений: 602
Уважение: [+1/-0]
Позитив: [+3/-0]
Провел на форуме:
3 дня 20 часов
Последний визит:
2024-11-03 09:09:32

Пытался выведать, подпал ли астра-линукс под уязвимость heartbleed. Самый интересный из ответов - здесь:

https://www.linux.org.ru/forum/security … d=14609152

А где то заявлялось об отсутствии уязвимостей в Астре? Посмотрите бюллетени безопасности с обновлениями для Астры, увидите там обычные CVE.

Я открыл один из бюллетеней. Что такое CVE, не знаю, но посмотрел про одну уязвимость - она впервые опубликована в RedHat.

https://wiki.astralinux.ru/pages/viewpa … Id=1212483 - бюллетень

https://access.redhat.com/security/cve/cve-2018-1312 - закрытая уязвимость.

Т.е. как я вижу сценарий: сидят себе «опен-сорсе разработчики» в погонах в офисе АНБ, коммитят в репы свои «улучшения» с закладками.
Лохи из России (тоже в погонах) скачивают этого троянского коня, вешают этикетку «астра-линукс», говорят много умных слов о защите и пускают в продакшен.

АНБ сидит, качает секретную инфу о запчастях для российской гиперзвуковой ракеты из системы оборонзаказа.

Потом какой-нибудь Че Ши Ли находит закладку, публикует её в интернете. В АНБ вздыхают и выпускают патч. Остаётся не 10000 дыр в линуксе, а 9999, но это не страшно - ведь продукт развивается и добавить закладки всегда можно.

Я, конечно, огрубляю, упрощаю и даже гиперболизирую. Но думается, что суть именно такова. Очень интересно узнать, насколько это правда. Там есть какие-то системы контроля доступа, но я что-то думаю, что они не от всего могут помогать.

0

Поделиться22018-12-09 02:15:50

Автор: Сандро
Участник
Зарегистрирован: 2017-03-25
Приглашений: 0
Сообщений: 241
Уважение: [+5/-0]
Позитив: [+4/-0]
Провел на форуме:
15 дней 5 часов
Последний визит:
2022-11-21 00:07:16

CVE (англ. Common Vulnerabilities and Exposures) — база данных общеизвестных уязвимостей информационной безопасности.
Каждой уязвимости присваивается идентификационный номер вида CVE-год-номер, описание и ряд общедоступных ссылок с описанием.

0

Поделиться32018-12-09 03:25:07

Автор: Лис [О]
Сочувствующий
Зарегистрирован: 2017-03-25
Приглашений: 0
Сообщений: 1030
Уважение: [+0/-3]
Позитив: [+1/-0]
Провел на форуме:
4 дня 23 часа
Последний визит:
2019-07-17 09:23:07

Бу: Астра незащищена -> Нужна новая ОС
Чи: Ок, сколько денег нужно (смету приготовили?)
Бу: Нет
Чи: Очень жаль, всего вам доброго, хорошего настроения

Отредактировано Лис (2018-12-09 03:29:35)

0

Поделиться42018-12-09 12:06:29

Автор: БудДен
Участник
Зарегистрирован: 2018-03-21
Приглашений: 0
Сообщений: 602
Уважение: [+1/-0]
Позитив: [+3/-0]
Провел на форуме:
3 дня 20 часов
Последний визит:
2024-11-03 09:09:32

Прохождение диалога зависит от того, по какую сторону томагавков находятся дети этого Чи. Если по ту, то это коллаборционист и участник окупационного правительства. Его из-за угла подстеречь и кирпичом. А если по сю, то от новости о незащищённости астры у него должны волосы зашевелиться на голове.

Почему, собственно, это я должен готовить смету? Дети-то его.

Но на самом деле на данном этапе достаточно выяснить, действительно ли астра не защищена. Допустим, уязвимости в конкретных программах могут
не действовать ввиду низких полномочий этих программ. Я, правда, скептически к этому отношусь. Например, уязвимость в апаче позволяет сделать бяку, не заходя на сам защищённый компьютер, а пользуясь законным веб-интерфейсом.

0

Поделиться52018-12-09 12:07:41

Автор: БудДен
Участник
Зарегистрирован: 2018-03-21
Приглашений: 0
Сообщений: 602
Уважение: [+1/-0]
Позитив: [+3/-0]
Провел на форуме:
3 дня 20 часов
Последний визит:
2024-11-03 09:09:32

Но вопрос про смету тоже хорош, конечно.

0

Поделиться62018-12-09 12:17:11

Автор: Павиа
Участник
Зарегистрирован: 2017-10-23
Приглашений: 0
Сообщений: 386
Уважение: [+3/-0]
Позитив: [+2/-3]
Провел на форуме:
18 дней 1 час
Последний визит:
2021-04-01 13:43:30

БудДен

БудДен написал(а):

АНБ сидит, качает секретную инфу о запчастях для российской гиперзвуковой ракеты из системы оборонзаказа.

Так эта информация была доступна пару лет назад на госзакупках. Любой мог найти если знать, что искать.

БудДен написал(а):

Пытался выведать, подпал ли астра-линукс под уязвимость heartbleed. Самый интересный из ответов - здесь:

Напишите в поддержку они вам ответят.

БудДен написал(а):

Лохи из России (тоже в погонах) скачивают этого троянского коня, вешают этикетку «астра-линукс», говорят много умных слов о защите и пускают в продакшен.

Ну не так. Софт там не абы какой, а отобранный наиболее надёжный. Тот у кого по статистики за 10 лет не более одного бюлютеня от CVE. У обычного софта таких бюлютений десятки в год.

Во-вторых софт проходит проверку. По крайней мере я надеюсь.
Есть такая вещь как угрозы и уязвимости. Это два разных понятия. Уязвимости это конкретные дыры в реализации кода. Их очень много, но так как по своей своей природе происходят от общих угроз, которых мало, то найти их не составляет труда.
Фактически у нас есть угрозы коих порядка 200, а уязвимости это это же число помноженное на количество программ.
А проверить угрозы просто достаточно иметь сканер с 200 методов под каждую угрозу.
Проблема в том что процесс этот плохо автоматизируется. Но как говорится на безрыбье и рак рыба.

БудДен написал(а):

Я, конечно, огрубляю, упрощаю и даже гиперболизирую. Но думается, что суть именно такова. Очень интересно узнать, насколько это правда. Там есть какие-то системы контроля доступа, но я что-то думаю, что они не от всего могут помогать.

Это примерно так:
Кухня. Тишина. Открывается дверь холодильника. Оттуда вываливается пузатая огромная мышь. На шее у нее намотаны сосиски, в одной лапе кусок сыра, в другой-окорок. Подходит к своей норке. Там стоит мышеловка и в ней маленький засохший кусочек сыра. Мышь смотрит на это и говорит: "Ну чеснэ слово, як диты".

0

Поделиться72018-12-09 12:23:23

Автор: Павиа
Участник
Зарегистрирован: 2017-10-23
Приглашений: 0
Сообщений: 386
Уважение: [+3/-0]
Позитив: [+2/-3]
Провел на форуме:
18 дней 1 час
Последний визит:
2021-04-01 13:43:30

БудДен написал(а):

Например, уязвимость в апаче позволяет сделать бяку, не заходя на сам защищённый компьютер, а пользуясь законным веб-интерфейсом.

Тут всё от настроек зависит. Нужно знать архитектуру ИС, тогда можно будет настроить грамотно политику безопасности. А благодаря связки pam и sudo можно будет обезопасить ОС от апача.

Отредактировано Павиа (2018-12-09 12:29:44)

0

Поделиться82018-12-09 13:13:21

Автор: Сандро
Участник
Зарегистрирован: 2017-03-25
Приглашений: 0
Сообщений: 241
Уважение: [+5/-0]
Позитив: [+4/-0]
Провел на форуме:
15 дней 5 часов
Последний визит:
2022-11-21 00:07:16

БудДен написал(а):

Но на самом деле на данном этапе достаточно выяснить, действительно ли астра не защищена.

Где-то читал, что серьёзные (UNIX) системы строятся на строгом разделении эталонных и исполнительных частей.
Эталонная часть доступна только для чтения. Нужные для работы элементы, (ось, дрова, батики, библиотеки) по мере необходимости в них, копируются в песочницы, где и происходят сами вычисления.
(также хранение результатов таблиц и данных, полученных в процессе работы).
В фоновом режиме такие системы циклично мониторят сами себя, сравнивая эталонные части с их дубликатами в песочнице и, в случае их несовпадения бьют тревогу, одновременно включая анализ последних событий, приведших к критической ситуации. Такую систему уронить невозможно в принципе, если при ней нет криворукого админа.

0

Поделиться92018-12-09 15:18:57

Автор: БудДен
Участник
Зарегистрирован: 2018-03-21
Приглашений: 0
Сообщений: 602
Уважение: [+1/-0]
Позитив: [+3/-0]
Провел на форуме:
3 дня 20 часов
Последний визит:
2024-11-03 09:09:32

По крайней мере я надеюсь.

Вот надо как-то эту надежду превратить в знание или разбить. Кто может это сделать? Хотя я не представляю себе даже в теории, как отличить реально произведённую проверку от попила бабла за проверку.

0