LINUX.ORG.RU

вопрос о гостайне

 


2

1

Скажите пожалуйста, допускаются ли блобы с закрытым кодом для линуксов, предназначенных для работы с гостайной? Тот же вопрос касается закрытых прошивок у железа. Если да, то как обеспечивается безопасность в данном случае?


Аудитом исходного кода независимыми (от компании-разработчика/производителя) специалистами непосредственно в компаниях, в которых такой исходный код был написан.

В таком случае – да.

Macrocosm ()
Последнее исправление: Macrocosm (всего исправлений: 1)

Скорее всего какими-нибудь дополнительными аппаратно-программными средствами, независимо от используемой ос. Про аудит кода уже сказали.

Как на самом деле кто ж его знает - т.к. по должностным инструкциям, наверняка, об этом нельзя подробно рассказывать.

grem ★★★★★ ()
Ответ на: комментарий от Macrocosm

Ну ты прямо размечтался!

В России все делается так, как сказал ephecaff — откатами и распилами. И никак иначе. И всем наплевать на безопасность кода. Пусть там хоть тонна закладок и код сегфолтится в рандомное время, всем наплевать!

OnlyAsk ()

Никак, лол, КГБ уже не тот. Все их «мероприятия» по защите гостайны жутко не эффективны. ФСТЭК сертифицирует все, за что достаточно заплатят. Только изолированая сеть и залитые эпоксидкой порты хоть как-то помогают.

anonymous ()
Ответ на: комментарий от anonymous

ФСТЭК сертифицирует все, за что достаточно заплатят

Лорчую этого.

Работаю в конторе с лицензиями на работу с гостайной.

Что такое сертификаты и центры сертификации не знает ни один сотрудник. На компах куча софта без подписей, накачанного с инета. Корпоративная почта на гмейле, но все пересылают рабочую документацию с личной почты с мейлру. Документация лежит на мейловском облаке, с доступом по ссылке. Генеральный считает, что электронная подпись, это когда лист распечатан, подписан ручкой, и отсканирован. На компах в браузерах сохранены пароли к банкам, и платёжные реквизиты личных банковских карт. Про то, что авторизовываться где-либо по http не стоит, никому не объяснить.

И переучить их невозможно.

anonymous ()
Ответ на: комментарий от Macrocosm

Чувак в начале темы задал вопрос про фирмварь и железо. Аудит чего некоторые юзеры собрались производить? Вам Интел и другие корпорации так и разбежалось свою фирмарь с потрохами отдавать? Вам АНБ прямо так и выложит на стол свои бэкдуры и закладки? Какой толк от того, что Astra Linux Special Edition прошёл сертификацию, если он может быть запущен на недоверенном железе (что наблюдается в гос. структурах сплошь и рядом)? Толку от всех этих сертификаций, если компоненты биос/уефи (да любая другая аппаратная часть) неподконтрольны? Объясните плз, может я чего не понимаю.

anonymous ()
Ответ на: комментарий от dimh

Там Эльбрусы, произведенные на отечественных мощностях.

По поводу разгильдяйства, которое сплошь и рядом по поводу соблюдения гостайны, а также коррупции. Все эти моменты в равной степени (это не точно) имеют место быть в разных странах. От этого никуда не деться, это следствие человеческой психологии. То, что все печально, это бесспорно, также бесспорно, что с этим нужно бороться. Но кричать, что все пропало и все знают все наши секреты - вот этого точно не стоит. Все эти военные системы, использующие оборудование интел с закладками анб, сами военные не всегда могут толком эксплуатировать. Более того, разработчики сами не всегда понимают пределы возможностей своих детищ - тут и качество разработчиков резко упало и сложность систем еще возросла значительно. Так что все это хозяйство (я имею в виду закладки) не так то просто попытаться использовать. Особенно если система стоит где-нибудь на Анадыре и у нее канал связи - ТЧ. С проприетарным протоколом на который документация утеряна вместе с советским НИИ. А то и вообще нет никаких каналов автоматической связи. И что вы там взломаете?

yetanother ()
Последнее исправление: yetanother (всего исправлений: 1)
Ответ на: комментарий от dimh

я там был в начале 2000х, компы были первые пни, вин 95, что-то лучше уже роскошь и то личное, но на них не было инета, штабные доки возили на уазике, а в технике было все оборудование это герметичные бронированые ящики по 50кг, хоть с 10 этажа сбрасывай, соединяемые кабелями, не пашет блок, ставь другой и ехай воевать, внутри с простейшими микрухами (кх, уд, ул), транзисторами кт, лампами гу и контактными реле, где все это было залито лаком и прочим дерьмом что с трудом зубилом расколешь.

deep-purple ★★★★★ ()

Для начала смотри всякие инструкции по защите ПД. Там есть различные уровни сертификации в зависимости от количества обрабатываемых ПД. В них написано о НДВ (не документирование возможности), это значит проверка исходных текстов на предмет отсутствия недокументированные возможностей.

Есть спец лицензированые организации которые занимаются сертифткацией в том числе и НДВ.

Кому необходимо, и есть куча денег, те покупают все с сертификатом НДВ…

anonymous ()

так они до этого на маздае сидели вообще. о каком закрытом коде может идти речь?

по факту, безопасность обеспечивается просто отсутствием выхода в интернет и подключения любых внешних носителей.

Iron_Bug ★★★★ ()
Последнее исправление: Iron_Bug (всего исправлений: 1)

Для работы с гос. тайной используются дистрибутивы, прошедшие сертификацию — та же Астра. Всё, что есть в их репозиториях, ставить можно без потери сертификации

XMs ★★★★★ ()
Ответ на: комментарий от e000xf000h

Пакет подписывают сертификатом

Ты такой же наивный как Касперский с ДокторомВебом:

Как добавить сигнатуры в ClamAV для сканирования виндовых файлов? (комментарий)

Как добавить сигнатуры в ClamAV для сканирования виндовых файлов? (комментарий)

чтобы в мандатном режиме мог работать.

Раскажи мне о существовании какойто связи между работой программы с применением политики MAC и наличием ее цифровой подписи.

anonymous ()
Ответ на: комментарий от nebularia

Какая может быть безопасность с древним дырявым софтом?

Древние, известные дыры можно залатать, а новых, неизвестных, не получить!

Комедия со всеми этими сертификатами.

Если имеется ввиду сертификация новых ОС с systemd от потеринга и selinux от АНБ, то ситуация была бы очень смешной, если бы не была такой трагичной.

anonymous ()
Ответ на: комментарий от swagcat228

К сожалению, никак. Либо аппаратно за сотни тысяч , из которых большая часть - откаты. Либо никак.

Изменить Законы РФ и снять уголовное преследование граждан РФ, которые могли бы разрабатывать безопасное ПО. Иниче никак.

А чтобы сменить Законы РФ надо прийти на выборы…

anonymous ()

для начала надо понимать, что АС (автоматизированная система)с ГТ не подключается к открытым сетям. Таким образом 80% всех АС и ГТ - автономны и всем все равно какие блобы там стоят. Смотря по какому ведомству вы хотите пройти аттестацию - у каждого свои закидоны. У фсб есть методики настройки bios и требования по совместимости с аппаратными замками, например. Вообще, Вам следует пройти на сайт фстэк - они в рф занимаются защитой информации, сод. сведения, сост. ГТ.

anonymous ()
Ответ на: комментарий от swagcat228

А в России при Путине и его «единой россии» уголовно приследуют разработчиков которые попытаются написать безопасное программное обеспечение:

Что должен знать специалист ИБ на старте (комментарий)

anonymous ()
Ответ на: комментарий от Iron_Bug

так они до этого на маздае сидели вообще. о каком закрытом коде может идти речь?

Microsoft предоставляет исходные коды своих продуктов, в том числе и Windows. Россия, кстати, — первая страна в мире, с кем Майки заключили в рамках майкрософтовской программы Government Security Program соглашение о предоставлении исходников: https://www.microsoft.com/ru-ru/securitycertification/useof.aspx

anonymous ()
Ответ на: комментарий от anonymous

а были ли такие же контракты заключены и для исходников биосов/уефи с поставщиками hardware? просто если не были, то толку от исходников винды… кстати забавный факт… но сейчас погуглил, но нигде не сказано, что из тех исходников которые предоставляются по Government Security Program какие-то конторы компилят ОС, то есть винда используются как и всегда бинарная-«заводская», а исходники идут типа в нагрузку, что совсем не устраняет угрозу шпионажа…

а от ещё инфа к размышлению -


На «фабрике троллей» до сих пор гадают - как военным США удалось их взломать 28 февраля, 2019 - 01:02

Для атаки на американский отдел прокремлевской «фабрики троллей» военные США могли воспользоваться «бэкдором» («черным ходом») в операционной системе Windows. Такую версию высказал Би-би-си источник, близкий к американскому отделу «фабрики», также известной как «Агентство интернет-исследований» (АИИ).

Не позднее осени 2017 года часть медиаресуров «фабрики троллей» перебралась в бизнес-центр «Лахта-2» в петербургском районе Старая Деревня.

О спецоперации кибернетического командования США против «фабрики троллей» стало известно 26 февраля из публикации американского издания Washington Post. В США «фабрику» обвиняют в попытках вмешательства в ход президентских выборов 2016 года через сеть фальшивых аккаунтов - преимущественно в «Фейсбуке» и «Твиттере».

Бизнесмен и «повар Путина» Евгений Пригожин, против которого в США введены персональные санкции из-за возможного финансирования «фабрики», отказался комментировать этот вопрос The Washington Post. Ранее он заявлял, что не имеет к этой организации никакого отношения.

Пресс-секретарь президента России Дмитрий Песков сказал журналистам, что не исключает возможность такой кибератаки. «Это данность, в которой мы живем. Я не говорю, кто может стоять за этим, но огромное количество атак организуется на постоянной основе. Это мы подтверждаем», - заявил Песков.

Кибератака произошла 5 ноября 2018 года, накануне промежуточных выборов в США, подтвердил источник, близкий к американскому отделу «фабрики». Он назвал и приблизительное время инцидента - 22-23 часа. В штате Мэриленд, где расположено киберкомандование США, в этот момент было 14-15 часов.

По словам источника, американцы, якобы, использовали «бэкдоры», которые оставлены в их операционных системах для получения полного доступа ко всему".

Восстановление было «не быстрым, но это был всего лишь один из офисов, так что это было не так критично», - отметил источник. По его словам, после кибератаки сервера американского отдела перевели под управление Linux. В отличие от Windows, это операционная система с открытым кодом, что уменьшает вероятность подобных вторжений.


ну, линукс - это открытый код и всё такое, да. у меня только одно замечание - после того как они поудаляли винду, они, надеюсь, поставили себе для начала coreboot? сам по себе линукс не устраняет угрозы использования гипотетических бэкдуров в firmware на железе. это, кстати, момент любопытный. так как, например, на лоре большая часть линуксоидов по сути жуткие проприетарщики, которые юзают на своих дэсктопах/ноутах бинарное закрытое нечто в биосах/уефи/кмопутрэйс и тп… эдакие неуловимые джо…

завтра условно выяснится, что фсб/гру и прочие фабрики троллей были похачены через бэкдуры не в ос, а в фёрмвэйр.

ps да, да. я слышал про эльбрусы. только где они есть? недавно осудили админа из лаборатории фсб по изучению иностранных языков (он банчил компами и подделывал спеки) - так там были обычные писюки без всяких эльбрусов. эльбрусы может и есть где-нить в ядерных частях… а огромная масса федеральных контор используют закрытый софт/хардварь. отсюда и фэйл за фэйлом и утечка за утечкой. ресурсов заменить всё это на своё отечественное и безопасное тупо нет. с одной стороны россиюшка нещадно разворовывается под патриотический вой, с другой стороны - нет развития технологической базы, ибо деградация по всем фронтам (не только it, но и обычные отрасли вроде медицины/образования/демография и тп).

anonymous ()