LINUX.ORG.RU

ФСТЭК и ИСП РАН приглашают искать уязвимости в ядре Linux

 ,


2

3

Замруководителя Федеральной службы по техническому и экспортному контролю (ФСТЭК) сообщил, что создаётся Технологический центр исследования безопасности ядра Linux, и что компании, делающие решения на базе этого ядра приглашаются участвовать в его работе.

Ранее ФСТЭК объявляла тендер на создание Технологического центра, в котором победил Институт системного программирования им. В.П. Иванникова (ИСП РАН). Планируется, что в 2022 году начнётся «опытная эксплуатация» этого центра, а в 23-м — «промышленная». Там будут работать и сотрудники ИСП РАН, и представители других разработчиков продуктов на базе Линукса. На общественных началах или «на возмездной основе». Это должно помочь делающим продукты на Линуксе обеспечить поиск уязвимостей на должном уровне, на что сейчас средства есть не у всех.

Пока участников рынка просят добровольно поучаствовать «интеллектуальным вкладом». За это обещают возможность «использовать исследования центра при сертификации своих продуктов». Доступ будет соответствовать вкладу.

Заявленная цель существования центра — устранение ошибок в исходных текстах. Потому что ведущие мировые разработчики слишком часто фокусируются на добавлении новых фич в ущерб повышению надёжности.

Директор разработчика ОС «Аврора» говорит, что уже выделили инженеров для постоянной работы «в интересах центра».

Ведущий разработчик «Базальт СПО» говорит, что российские разработчики «боятся идти на коммуникацию из-за конкуренции». Поэтому посреднику в лице центра будут больше доверять.

Начальник отдела перспективных исследований и специальных проектов Astra Linux сказал, что центр сэкономит разработчикам время и удешевит разработку. Укажет, на каких версиях ядер сосредотачиваться, поможет унификации решений.

Сотрудник ИСП РАН А. Хорошилов подчеркнул, что делать разработку закрытой и отрываться от международного сообщества не будут.

>>> Подробности на РБК

★★

Проверено: hobbit ()

объявляла тендер на создание Технологического центра, в котором победил Институт системного программирования

На общественных началах или «на возмездной основе».

т.е. институт пообещал государству бесплатную рабочую силу?

Spoofing ★★★★★ ()
Ответ на: комментарий от Spoofing

Нет. Это формализм (ну у нас без этого никак), на тему того, что если кто-то хочет участвовать независимо (у нас опенсоурс или где), то все только за и расположены к сотрудничеству.

SkyMaverick ★★★ ()

что российские разработчики «боятся идти на коммуникацию из-за конкуренции»

какие трусливые разработчики, ничего, в нашем институте мы сделаем из них настоящих мужиков. Будут вместо каментов на ЛОР-е патчи коммитить в ядро.

ukr_unix_user ★★★★ ()

Какой он странный...

Ведущий разработчик «Базальт СПО» говорит, что российские разработчики «боятся идти на коммуникацию из-за конкуренции». Поэтому посреднику в лице центра будут больше доверять.

Он думает что если разработчикам предложить погрести на галерах чисто за идею, даже не предложив стандартного набора из офисных печенек и кофе (про митболы я и не говорю!), то разработчики кинутся грести? Эта «снежинка» в каком веке живёт? Времена субботников как-то уже закончились. Кто ему фреон из криокамеры выпустил, чё он оттаял-то?

Т.е., «Базальт СПО», равно как и другие заинтересанты будут зарабатывать деньги, а сообщество рабов им в этом «помогать»? Странно, но почему-то у меня было лучшее мнение об интеллектуальных способностях «ведущих» и не очень разработчиков.

Начальник отдела перспективных исследований и специальных проектов Astra Linux сказал, что центр сэкономит разработчикам время и удешевит разработку.

Хммм… Интересно кому на самом деле эта армия рабов будет строить пирамиду толпа разработчиков будет экономить время и обеспечивать поддержку?

Сотрудник ИСП РАН А. Хорошилов подчеркнул, что делать разработку закрытой и отрываться от международного сообщества не будут.

Хммм… А что по данному поводу думает именно международное сообщество? Тот же Торвальдс, например? Или господин Хорошилов думает что патчи слать в апстрим будет ненужно? Ну, если это будет свой, отдельный такой Linux и код ядра будет свой, отдельный такой, то почему бы и нет? Но пока этого как-то не получается.

Блин, кто-нибудь – скажите, а как эти люди вообще связаны с Linux, если читая их заявы я не могу отделаться от мысли что они откровенно бредят?

Moisha_Liberman ★★ ()

Молодцы. Значит не нравится ситуация когда надо платить каким-то ушлым коммерсам за то, что нужно самим. Фич как правило уже достаточно, а вот дыры долгое время в ядре никто не чинил, даже когда компилятор постоянно об этом напоминал. Разработка открытая, так что ни одна сволочь не посмеет плеваться в нашу сторону.

anonymous ()
Ответ на: Какой он странный... от Moisha_Liberman

Re: Какой он странный...

Зачем так кипятиться? Это в основном для контор предложение, но гениев никто обижать тоже не станет. А Торвальдса никто не спросил. Вряд ли он будет против тех, кто будет исполнять крайне важную работу по выявлению багов и закрытию дыр безопасности.

anonymous ()

переведу на русский

ФСТЭК - как сугубо коррупционная и паразитическая контора не способна ни на что полезное, поэтому понимаем правильно:

Есть база уязвимостей фстэк https://bdu.fstec.ru/vul, основное назначение которой - докопаться до организаций использующих то или иное ПО на тему «не выполнения требований». Особо пострадавшими всегда будут владельцы значимой КИИ, другие тоже будут, но поменьше.

Собственно в новости речь и идет о пополнении этой базы, при этом разговоры об устранении - просто разговоры, поскольку местные конторы, торгующие сертификатами ФСТЭК на ОС с ядром линукс всегда будут использовать ядра из апстрима. Скорость же применения патчей, а тем более их сертификации всегда будет катастрофически отставать от апстрима.

Таким образом, россиянам предлагают «выстрелить себе в ногу» без всякой компенсации.

MHz ()
Ответ на: Re: Какой он странный... от anonymous

Re: Какой он странный...

А Торвальдса никто не спросил. Вряд ли он будет против тех, кто будет исполнять крайне важную работу по выявлению багов и закрытию дыр безопасности.

Но и не факт, что примет патчи от непонятно кого.

anonymous ()

Пока участников рынка просят добровольно поучаствовать «интеллектуальным вкладом».

Какие, однако, замечательные перспективы открываются за этим «пока». Пока просят. Пока добровольно. Пока интеллектуальным вкладом.

thesis ★★★★★ ()

Как там назывался тот форк оберона? На «А» как-то. где 9000 строк на всю ОС. Вот, для гостаны самое то. И запускать на «спектрумах» каких-нибудь самодельных. Линукс все равно в гляделки не переиграешь

pihter ★★★★ ()
Ответ на: переведу на русский от MHz

Re: переведу на русский

Полноценная работа начнется в 2023 году, то есть примерно после выхода Эльбруса 16С и 12 ядерной модели нового поколения. А там уязвимости могут быть только программные и тут работа над уязвимостями ядра приобретает гораздо больший смысл.

anonymous ()

Linux это не про безопасность, как можно в ядре которое само себя на ходу патчит, лайвапдетит и написано через )I(опу, вообще говорить о безопасности. Надо было брать OpenBSD хотя бы, а с учетом потраченного на линугс времени и ресурсов могли бы и свое написать.

anonymous ()
Ответ на: комментарий от anonymous

Проще обеспечить безопасность, чем навернуть сложности для увеличения производительности. Подход абсолютно адекватный. Надо же обеспечить родные процессоры дополнительным ускорением. Зачем закапывать производительность ради безопасности, если и так опыт показал что линукс более чем устраивает?

anonymous ()
Ответ на: Re: Какой он странный... от anonymous

А с чего бы мне кипятиться-то? =)))

Зачем так кипятиться? Это в основном для контор предложение, но гениев никто обижать тоже не станет. А Торвальдса никто не спросил. Вряд ли он будет против тех, кто будет исполнять крайне важную работу по выявлению багов и закрытию дыр безопасности.

=))) Я ржу откровенно и причин к этому несколько:

  • За последние лет 20-30, как-то в массовом порядке особо не зарекомендовал себя в ядре ни из России вообще, ни в части поиска и закрытия уязвимостей в частности. Исключения есть, но они подтверждают это правило. Как, впрочем, и обычно. =)))

  • Порядка 80-90% кода ядра написано высококвалифицированными корпоративными разработчиками. Просто потому, что они пишут модули поддержки ядра для разрабатываемого их компаниями оборудования. Здесь, знаете ли, как-то сложно заподозрить Россию в массовости разработки какого-либо оборудования вообще и того, что должно поддерживаться модулями ядра в частности. =))) С дядюшкой Ляо работать и проще и более выгодно (из опыта). Да и динамика развития там у них такая, что нам тут и не снилась.

  • Проблема так же в том, что реализуется поговорка – за что наш менеджмент берётся смело, то превращается в говно. У нас вечно специалисты из области менеджмента (социально-гуманитарной типа науки) в области нефти и газа чего-то придумывают, посовещавшись с тараканами в своей башке, а потом полмира ржёт над очередной «генитальной» (не путать с гениальной) выдумкой. Технари внутри страны тоже ржут, но в кулак, т.к. проще получать свою долю из нефте-газовых доходов государства, при этом занимаясь своим делом, чем не получать денег вовсе. =)))

  • Лично мне похрен, скажу сразу. Выпаливаться под эту марку я лично не намерен. И так знакомств выше крыши и кому надо в курсе как меня найти. Что, собственно, и так гарантирует мне и моим людям достаточно высокий уровень жизни и без ненужного палева. Дело даже не в том, что некоего господина И. Сачкова закрыли. В конце-концов да, идиотов закрывать надо. Но зачем быть идиотом и самому себе поднять статью просто с пола, неудачно попиарившись? =))) Дураков лечат, да. И не всегда сладким сиропчиком.

  • Вы просто не понимаете куда (и, главное, зачем) вы суётесь. Такому… незамутнённому идиотизму можно было бы даже позавидовать, но нет. Ещё в 2004г. АНБ пыталась навести порядок с сырцами. Правда, не ядра, у них, авторов coverity и симантека был более амбициозный проект – прочистить исходники пактов. Проанализировали на уязвимости 250 пакетов, порядка 55 млн. строк кода, пропатчили… И… через пару недель в код опять понапихали всякого говна. В результате АНБ грязно выругавшись, выложила свои патчи для ядра под названием SELinux и тем самым закрыла вопросы по безопасности для систем, где SELinux включён. Вы же пытаетесь чего-то найти в ядре, даже не понимая что ядро как целостный механизм слегка сложнее чем вебсервер. Просто потому, что оно может работать в разных режимах и на различных аппаратных платформах. И тут степень вероятности отказа и меры по обеспечению отказоустойчивости в разы должны быть выше чем в прикладном софте. Если эти вещи не доходят до академиков! Палками стучат! Требуют безопасности! И это вынужден объяснять я, аноним (по большому счёту, мы все здесь анонимы) с ЛОРа, то я боюсь того, куда катится этот мир.

  • Что ответит Торвальдс, я даже и подумать боюсь, т.к. более зарекомендовавшая себя контора, такая как NVidia уже натыкалась на его краткую критику в виде fuck ya, nvidia и средний палец. Но, надеюсь, чисто из уважения к академическому сообществу РАН и ряду наших широкоизвестных чисто где-то тут, в России импортозаместителей (простите, @Pauli!) он не будет столь оскорбительно-уничижителен.

Ну вот, как-то навскидку так.

Moisha_Liberman ★★ ()
Ответ на: Re: Почему не FreeBSD? от anonymous

Уже было.

Вот, кстати да. Если уж строить «российскую ОС» то FreeBSD как основа куда лучше. Код для аудита меньше, лицензия свободнее, и это полноценная ОС.

В своё время, малость представляя себе куда всё это катится (и не ошибшись вообщем-то), ожидал что «умники» свалят на https://ulbsd.ru/. С величайшей досадой приходится констатировать что попытка нае… «обмануть» судьбу в очередной раз не увенчалась успехом.

А так как было бы хорошо – и чуваки там при деле, и во FreeBSD хоть кто-то и хоть что-то начнёт коммитить и от нас отъе… «отстанут». Но не фартануло, да.

Moisha_Liberman ★★ ()
Ответ на: А с чего бы мне кипятиться-то? =))) от Moisha_Liberman

Re: А с чего бы мне кипятиться-то? =)))

Да, есть огрехи, но есть и опыт нахождения уязвимостей, которые внезапно не работали на русских дистрибутивах, а в хваленом ред хат, бубунте и дебиане - сколько хочешь эксплуатируй уязвимости.

То что сейчас идет подготовка и так понятно. Но те, кто пишут эти все модули далеко не всегда будут писать код так чтобы он не был потенциально опасен. Для проверок могут написать свою систему проверок кода на безопасность. Гугл же использует нечто подобное. Вот воткнут анализаторы, будут код. Профилировщик для Эльбруса позволяет оценить массу деталей даже без сборки исходников. Так что потенциал определенно у задумки имеется.

Тут не менеджмент берется. Есть запрос например на системы хранения данных на Эльбрусах. Потому что жрут достаточно мало при заточке архитектуры как раз на параллельные задачи. А ядро все еще дырявое. там ненужно проверять все вообще. Достаточно проверять только используемое. Если в этом поучаствуют специалисты Ростелекома, Авроровские, Альта, Астры и прочие, то получиться может довольно приемлемо. И это будет дешевле, чем платить зарубежным конторам, ориентированным на безопасность.

А что я должен бояться выслать патч, если найду уязвимость в ядре не Линусу, а своей же конторе, которая сначала проверит в чем дело? Слишком надуманно выглядит.

Да и пофиг что там думает Линус, потому что к разработке он давно имеет опосредованное отношение и России он не указ. Патчи будут открытые, так что претензии отклоняются за полным непониманием в чем недовольство. Кроме моления на западные ценности конечно же.

И да, можно почитать новости, где очередные исследователи безопасности нашли какую-то уязвимость. Но одно дело найти и всем растрепать, и совсем другое сначала все исправить, а потом уже объявить о находке. В OpenBSD уже патчи выходили, так вони было столько, что офигеть можно сколько времени копрорасты терпели чтобы за раз все высрать.

anonymous ()
Ответ на: комментарий от iZEN

Я что, так плохо выгляжу?

Я так сильно похож на идиота, чтобы год за годом пытаться путём использовать эту недосистему? Мне некогда и незачем тратить время на бесплодные эксперименты.

Например вот. У меня именно что ноут hp spectre x360.

Цитаты оттуда:

However, I don’t have access to a X1C7[1], and the Spectre forces S0ix suspend/resume. I don’t suspend/resume.

Странно, в Gentoo всё out of the box почему-то.

DO NOT USE powerd otherwise the fans will run at full speed and the laptop runs hot

Странно, в Gentoo всё опять таки out of the box. В Gentoo wiki даже есть статья по поводу данного ноута.

И это один ноут. У Вас у самого чего-то там с поддержкой флешек не то было или ещё что (лень по форуму искать). Почему я не сталкиваюсь с подобного рода проблемами? Потому что нахлебавшись в своё время проблем с фряхой, я отказался от неё в итоге, поэтому? Выходит, нет фряхи, нет проблем?

@iZEN, это малость странно выглядит – год за годом повторять одни и те же действия и надеяться на принципиально другой результат. Это уже даже не смешно, т.к. вызывает опасения за жизнь и здоровье.

Moisha_Liberman ★★ ()
Последнее исправление: Moisha_Liberman (всего исправлений: 1)
Ответ на: Я что, так плохо выгляжу? от Moisha_Liberman

Мне некогда и незачем тратить время на бесплодные эксперименты.

Например вот. У меня именно что ноут hp spectre x360.

Это система 2018г.в., а ставили на неё FreeBSD 11 и 12.

год за годом повторять одни и те же действия и надеяться на принципиально другой результат.

Так всё меняется. Со временем проблемы решаются, а не усугубляются, не так ли? Так что не работает на FreeBSD 13-STABLE или 14-CURRENT?

iZEN ★★★★★ ()
Последнее исправление: iZEN (всего исправлений: 1)
Ответ на: комментарий от iZEN

Такой занятный человек. Посчитай производительность и, соответственно, затраты на электричество в месяц сколько выйдет для супер компьютера скажем на 1000 процессоров. Эту проблему не решить с помощью потому что она медленная.

anonymous ()
Ответ на: комментарий от iZEN

Какая часть моего ответа...

недоступна Вашему пониманию?

Вы мне задали вопрос:

Что у тебя не завелось на FreeBSD из современного железа, скажи пожалуйста?

Я ответил что у меня не завелось сразу и я не намерен ждать пока оно там во фре заведётся (заведётся ли и когда). УМВР и так. Уже сейчас. И незачем ждать. У меня с момента покупки ноута в 2016г. всё отличнейше работает.

Moisha_Liberman ★★ ()
Ответ на: комментарий от anonymous

сколько выйдет для супер компьютера скажем на 1000 процессоров. Эту проблему не решить с помощью потому что она медленная.

Так мы что сравниваем, количество попугаев на десктопном ядре или на ядре для высокопроизводительных вычислений (откуда выкинут SystemDи PulseAudio?)

iZEN ★★★★★ ()
Ответ на: комментарий от iZEN

А вот это уже зря.

Тупить не хорошо.

Так мы что сравниваем, количество попугаев на десктопном ядре или на ядре для высокопроизводительных вычислений (откуда выкинут SystemDи PulseAudio?)

Что я сделал опять не так, если у меня Gnome и нет systemd?!? У меня OpenRC и elogind. ЧЯДНТ?!?

Я был бы рад, если бы «государство» сконцентрировалось бы на фряхе и отвалило бы от линукс. Честно. Вы, фряховоды, при такой плотности тупняка на единицу форумных сообщений, просто не заслуживаете лучшей судьбы. =)))

Moisha_Liberman ★★ ()
Ответ на: комментарий от iZEN

Ну так не все же дураки в каком-нибудь Роскосмосе. Думаю они не станут париться насчет такого и сразу поставят то, что быстрее работает. Как и другие супер компьютеры. Не считая особо упоротых конечно же всяких,не будем поминать грешным дело всяких повёр. Plan9 то переносить пока никто не собирается вроде. А то вот рейтинг, надеюсь сможешь перевести цифры с линукс (Linux) и BSD.

https://www.unixmen.com/linux-share-in-supercomputer-os/

Finally out of top 500 super computers , 462 run Linux, followed by Unix with 24 Supercomputers and 11 running Mixed 2 running on Windows. Finally there is only 1 BSD OS based supercomputer.

anonymous ()