LINUX.ORG.RU

Сравнительный анализ допуска Linux и Windows к работе с информацией ограниченного доступа

 , , , ,


8

1

Опубликован обзор, в котором обобщены все сведения о сертификации ФСТЭК, Минобороны и ФСБ различных дистрибутивов Linux в России в сравнении с операционными системами Windows.

В результате получена весьма любопытная информация: операционные системы Microsoft Windows не могут использоваться для обработки сколько-нибудь важной конфиденциальной информации.

Несмотря на это, во многих госорганах закрывают на это глаза, предпочитая не задумываться о последствиях. В результате мы получаем множественные утечки информации и практически нулевую сохранность персональных данных.

С другой стороны, рядом российских компаний проведена колоссальная работа по созданию на базе операционных систем GNU/Linux действительно надежных российских операционных систем.

К сожалению, информация об этом зачастую оказывается неизвестна не только специалистам, которые интересуются данной проблематикой, но и руководителям государственных органов и госпредприятий, которые несут ответственность за сохранность конфиденциальной информации.

Хотя коммерческие организации всегда стремились применять новейшие технологии и не меньшим образом берегли свои секреты — в России они почему-то существенно отстали даже от консервативных военных.

Работа рекомендуется для компаний по внедрению средств защит информации и оказывающих услуги на рынке аттестации автоматизированных рабочих мест.

Скачать обзор (PDF)

>>> Подробности

★★★

Проверено: Shaman007 ()

Ответ на: Да лаааадно... от anonymous

Reality is somewhat different. Я все знаю про положительные решения, но опыт ближайших родственников и знакомых, кому выпал отрицательный опыт (и реально - там практически только отношения с начальством) говорит, что вторая форма - нафиг все это надо, столько они не платят (даже полстолька).

Shaman007 ★★★★★ ()
Ответ на: комментарий от Shaman007

Шаманушко, да...

... мне-то зойчемм под пиньжака косить? Я тут в соседней теме помянул ТТХ на СВД, так как Вы думаете — сколько я гуглил по данному поводу? Скажу сразу — вовсе не гуглил. Я, мать их, эти параметры на память до сей поры помню и хотел бы забыть, да не могу (равно как ещё столь же «весёлые» вещи).

А так-то я на С пишу. В основном. Что касаемо «перессориться со всеми» и «делать карьеру», так я могу заметить что в этих кругах не особо принято церемониться с теми, кто прогибается уж очень сильно. Поверьте — озвученные в ролике вопросы и соответствующие реакции применять надо. И применять надо умело. А то, знаете ли, оседлают, взнуздают и будете пахать в три рыла в отделе, в котором должно быть девять человек. И задачи с Вас снимать ни кто не будет. Должно быть девять, а вас только трое? Это ваши проблемы. Это тоже имело место быть. Больше не хочу.

P.S. Как-то видел Ваше замечание по Eve. Рубитесь? =))) Я, вообщем-то тоже. =))) Можем гангом полетать, если желание будет. =)))

anonymous ()
Ответ на: Шаманушко, да... от anonymous

В Eve больше не летаю - не люблю Microsoft Excel.

А работать предпочитаю (всегда) с приятными во всех отношениях людьми, чего и вам советую.

Shaman007 ★★★★★ ()
Ответ на: комментарий от I-Love-Microsoft

Просто мысль - если тырят сразу БД с десятками тысяч юзверей, то почему бы не ограничить N запросов в сутки для того или иного рабочего места? Это можно ограничить утекание данных?

Я чуть не уписался со смеху.
Реально думаешь что тырят через юзер интерфейс? Или что тырят по одному (по десять, по сто) юзерей?

anonymous ()
Ответ на: комментарий от anonymous

Всё просто...

... eve иной раз называют «электронными таблицами в космосе». Но Шаман спалился. Я бы понял libreoffice calc. А здесь он выпалил первое, что пришло на ум — Excel. =)))

anonymous ()
Ответ на: комментарий от anonymous

Я рассматриваю игрушки как еще один способ отдохнуть, а не еще одну возможность задрочиться расчетом какой-то хреновины. Left4dead, Halflife, Bioshock, Borderlands - вот годнота: пришел на 15-20 минут, расстрелял думиков и обратно к трудовой деятельности.

Shaman007 ★★★★★ ()
Ответ на: Всё просто... от anonymous

EVE еще и такой же удобный в плане интерфейса. Палиться - это «Lotus/Domino в космосе».

Shaman007 ★★★★★ ()
Ответ на: комментарий от anonymous

Прикладной софт под линукс — за редким исключением — это наколеночная поделка с околонулевой функциональностью и вырвиглазным дизайном. Благодаря внедрятелям приходится заставлять себя пользоваться всей этой хернёй.

Эк тебя бомбануло. Почему дома я этим спокойно пользуюсь без всяких внедрятелей? Впрочем, как и на работе.

И всё это говно завернуто в фантик из идеологии и религиозных догматов.

Тут выбор простой. С одной стороны идеология 4 свобод Столлмана, с другой - идеология, изложенная в MS EULA. Фантик второй идеологии тебе нравится больше, я так понимаю?

hobbit ★★★★★ ()
Последнее исправление: hobbit (всего исправлений: 1)
Ответ на: комментарий от Shaman007

Left4dead, Halflife, Bioshock, Borderlands - вот годнота: пришел на 15-20 минут, расстрелял думиков и обратно к трудовой деятельности

Вот поэтому DOOM II (да, тот, который под DOS) - неувядающая классика.

hobbit ★★★★★ ()
Ответ на: комментарий от TEX

Ну почитай для разнообразия инструкцию к стиралке. Узнаешь о домохозяйках много нового

Не знаю про взаимоотношения со стиралкой.
Но с микроволновкой такое - нажала эту кнопку она греет.
«Продвинутые» знают про кнопку разморозки.
Мощность выставить, это уже сверхзнания.

P.S. Купят мультиварку и месяц к ней боятся подойти.

anonymous ()
Ответ на: комментарий от hobbit

Там сюжета вообще нет и однообразные арворк-сеттинг. Например, в Boishok Infinite или HalfLife есть сюжет и он не из двух строчек.

Shaman007 ★★★★★ ()
Ответ на: комментарий от wintrolls

Попользоваться виндой пару месяцев.

C:\>systeminfo | find /i "дата установки"
Дата установки:                   08.03.2011, 22:55:12

Пользуюсь постоянно, УМВР.

Погоди, погоди!
Сейчас я ему свою пись^Wдату инсталляции покажу.
У него комплекс будет.

D:\>systeminfo | c:\WINDOWS\system32\find.exe /i "install date"
Original Install Date:     5/16/2006, 15:12:02

D:\>

полный путь потому что

D:\>find --version
find (GNU findutils) 4.4.2

Последние, почти уже, три года живет в виртуалбокс под OpenIndiana.

anonymous ()

А где можно посмотреть документ, в котором описаны модель угроз, методика анализа защищенности перечисленных дистрибутивов, ну и соответственно результаты, конкретных pen тестов? А? А?!

Филькина грамота всё это, даже если есть сертификат с гербовой печатью.

На «свободном» сайте, «свободолюбивые» пользователи доверяют анализу несвободной информации, из несвободных источников :) Молодцы! Верной дорогой идёте товарищи!

Чем принципиально отличается (стр. 17 документа) SLES 10 SP3 и SLES 11 SP1 так, чтобы аж целый уровень надбавили - непонятно. Видимо, такая «методика» тестирования была.

aserge ()
Ответ на: комментарий от hobbit

Почему дома я этим спокойно пользуюсь без всяких внедрятелей?

Просто привык жрать говно.

anonymous ()
Ответ на: комментарий от Shaman007

Ну, не знаю...

... во общем. Воля Ваша. =)

Палиться - это «Lotus/Domino в космосе»

Не. Это уже даже не палево. Это полный каминг-аут... =)))

anonymous ()
Ответ на: комментарий от aserge

ОУД штука оценочная и в отличие от требований классов защищённости, прописанных в РД, определяется профилем. Видать профиль новый заказали. Всех делов

mkv457vv ()
Ответ на: комментарий от hobbit

Эк тебя бомбануло.

Не ожидал от тебя такого

anonymous ()
Ответ на: комментарий от dk-

Проблема, как мне кажется, не в том что антивирус с чем то там конфликтует а в том что он вообще нужен. Система, для нормального функционирования которой, необходим антивирус не может быть сертифицирована ни на какое количество слонов просто по определению. Поясняю, нельзя выдать сертификат на отсутствие недекларированных возможностей если для системы заранее требуется специальное ПО предотвращающее их использование (антивирус).

A-234 ★★★★★ ()
Ответ на: комментарий от A-234

Ничего не могу возразить по этому поводу.
Благо, у меня сфера применения не столько серьезна.

dk- ()
Ответ на: комментарий от aserge

На «свободном» сайте, «свободолюбивые» пользователи доверяют анализу несвободной информации, из несвободных источников :)

не реви!

Cogniter ★★★ ()
Ответ на: комментарий от A-234

Поясняю, нельзя выдать сертификат на отсутствие недекларированных возможностей если для системы заранее требуется специальное ПО предотвращающее их использование (антивирус).

Какие недекларированные возможности использует spambot ?

TEX ★★ ()
Ответ на: комментарий от TEX

Вы очень абстрактный вопрос задаете поэтому отвечу одним словом: недекларированные, очевидно же.

A-234 ★★★★★ ()

Astra Linux совершенно секретный ващще всех победит, а всё потому что он с электронной подписью сталина, весёлыми иконками и не скучными обоями, и чо короч виндокопецоне..

anonymous ()
Ответ на: комментарий от anonymous

Самый надёжный дистр. Вся информация, которая попадает на компьютер с Astra Linux, автоматически архивируется в ФСБ под грифом «Совершенно секретно» с 4 уровнем защиты и 8 уровнем допуска.

anonymous ()
Ответ на: комментарий от A-234

Какие недекларированные функции нужны программе рассылающей письма по smtp протоколу ? Посвятите плиз

Обычная, а не зловредная, почтовая программа тоже вынуждена пользоваться этими недекларированными функциями да ?

TEX ★★ ()
Ответ на: комментарий от nemyax

А вот в этом государственном бюрократическом центрике: http://gu.spb.ru/mfc/element.php?ID=4285 у операторов стоят факинтошы. И он явно не один такой.

А на факинтошах говновенда.

Orlusha ★★★★ ()
Ответ на: комментарий от anonymous

Astra Linux совершенно секретный ващще всех победит, а всё потому что он с электронной подписью сталина, весёлыми иконками и не скучными обоями, и чо короч виндокопецоне..

Дебиан как дебиан. Даже не убунта.

Orlusha ★★★★ ()
Ответ на: комментарий от anonymous

Самый надёжный дистр. Вся информация, которая попадает на компьютер с Astra Linux, автоматически архивируется в ФСБ под грифом «Совершенно секретно» с 4 уровнем защиты и 8 уровнем допуска.

Если страдаете ночными энурезами, раскрутите ссистемный конпелятор и пересоберите астру из исходников, они доступны. Может, полегчает.

Orlusha ★★★★ ()
Ответ на: комментарий от TEX

Мы вроде про антивирусы тут рассуждаем. Если программе вообще не составляет труда попасть в мою систему, запускать себя от имени суперпользователя, инициировать сетевой обмен без моего ведома и все это при помощи документированных системных вызовов то как ее будет ваш антивирус отслеживать? И что вообще можно безопасно хранить на такой системе кроме ее свопа?

A-234 ★★★★★ ()
Ответ на: комментарий от A-234

Мы вроде про антивирусы тут рассуждаем.

Вот мне и непонятно, с какого бодунищи антивирус стал программой для предотвращения доступа к недекларированным функциям.

Если программе вообще не составляет труда попасть в мою систему, запускать себя от имени суперпользователя, инициировать сетевой обмен без моего ведома и все это при помощи документированных системных вызовов то как ее будет ваш антивирус отслеживать?

При помощи обычных хуков и поведенческого анализа, в каком месте тут недекларированные возможности - без понятия.

TEX ★★ ()
Ответ на: комментарий от TEX

с какого бодунищи антивирус стал программой для предотвращения доступа к недекларированным функциям

А вот это вопрос хороший!

Правда есть и обывательский ответ - «Нууу... там же эвристика!»

aserge ()
Ответ на: комментарий от Orlusha

А на факинтошах говновенда.

Это вряд ли. Скорее веб-морда, которой искренне покакать, какая там далеко внизу ОС.

nemyax ()
Ответ на: комментарий от TEX

Вот мне и непонятно, с какого бодунищи антивирус стал программой для предотвращения доступа к недекларированным функциям.

Тут внимательнее надо быть, речь идет о возможностях а не о функциях. Недекларированная возможность может быть суперпозицией декларированных функций. А хуки да, код закрыт, куды вы денетесь. Поведенческий анализ это не антивирус а нечто вроде apparmor, к антивирусам имеет весьма опосредованное отношение.

A-234 ★★★★★ ()
Ответ на: комментарий от Cogniter

Кстати, насчет национальной операционной системы: тов. Skull, а вы чего молчите, не рассказываете нам?

НПП R.I.P. уже больше года. В нём никто, кроме оставшегося у разбитого корыта РАСПО, не нужен: ни бизнесу, ни разработчикам, ни государству.

Ссылка скопипастена из бложика 7.11.12 (двенадцатого) года.

Skull ★★★★★ ()
Ответ на: комментарий от A-234

Недекларированная возможность может быть суперпозицией декларированных функций.

Извини маразм какой то. SELinux тогда получается антивирус да

TEX ★★ ()
Ответ на: комментарий от A-234

Поведенческий анализ это не антивирус а нечто вроде apparmor, к антивирусам имеет весьма опосредованное отношение.

И что же тогда такое антивирус ? Что-то что защищает от возможности использовать декларированные функции OS по своему усмотрению ? Бррр

TEX ★★ ()
Ответ на: комментарий от Skull

НПП R.I.P. уже больше года. В нём никто, кроме оставшегося у разбитого корыта РАСПО, не нужен: ни бизнесу, ни разработчикам, ни государству

И что, сейчас всё плохо и без шансов?

Cogniter ★★★ ()

Про исходники винды, если кто-то вдруг до сих пор не в курсе:

http://news.softodrom.ru/ap/b7813.shtml Microsoft открыла исходники Windows для ФСБ. Government Security Program (GSP) — это программа Microsoft, по условиям которой госструктурам и международным организациям предоставляется доступ к исходным кодам. Инициатива была запущена в 2002 году, и первой к ней присоединилась Россия. Участники GSP получают бесплатный доступ к исходным кодам ключевых продуктов Microsoft, таких как Windows и Office, для их изучения и анализа. Это позволит им составить более полное представление о внутренней целостности, архитектурных и функциональных особенностях основных продуктов Microsoft. Участники также могут обращаться к разработчикам и специалистам по безопасности Microsoft, работать с документацией и справочными материалами и проходить обучение. Сейчас в программе участвует 38 госучреждений и организаций из разных стран мира. Более подробную информацию о GSP можно найти на сайте http://www.microsoft.com/en-us/sharedsource/default.aspx

http://www.cnews.ru/top/2012/03/07/fsb_vydala_sertifikaty_windows_7_i_windows... ФСБ выдала сертификаты Windows 7 и Windows Server 2008 R2

anonymous ()
Ответ на: комментарий от anonymous

а сертификаты на что выданы? на право грибами торговать?

Cogniter ★★★ ()
Ответ на: комментарий от TEX

Нет, ни разу, об этом и речь. Selinux, аудит, лэйбелинг это все способы защиты, несомненно, но это не антивирусы. Антивирус работает с содержимым запускаемого файла, а перечисленные мной механизмы работают исключительно с его поведением. Другими словами, если, при всех включенных защитах, у меня будет находиться в системе некий файл содержащий «неправильные» сигнатуры то антивирус, при очередной проверке всего и вся, на него сработает. А SeLinux будет его игнорировать пока тот не получит управление. В моей практике был случай когда каспер потер базу данных проекта в котором кроме текстовых файлов и картинок ничего не было. Спрашивается зачем? Так, на всякий случай, вдруг этот блоб все же получит управление. Как? Да потому что есть подозрения что не все возможности документированы.

A-234 ★★★★★ ()
Ответ на: комментарий от Cogniter

Судя по посту на который вы отвечаете - употреблять :)

A-234 ★★★★★ ()
Ответ на: комментарий от A-234

Антивирус работает с содержимым запускаемого файла, а перечисленные мной механизмы работают исключительно с его поведением.

В первую очередь, антивирус не является ПО предотвращающим использование недекларированных возможностей системы. Как вы заявили ранее.

У него совершенно другие задачи. Такие дела.

TEX ★★ ()
Ответ на: комментарий от A-234

В моей практике был случай когда каспер потер базу данных проекта в котором кроме текстовых файлов и картинок ничего не было. Спрашивается зачем?

Сигнатуры сэр. Ну и заговор конечно же. Зачем же еще.

TEX ★★ ()
Ответ на: комментарий от A-234

А SeLinux будет его игнорировать пока тот не получит управление.

Антивирусы давно уже имеют системы проактивной защиты. Которые выполняют схожие функции с SELinux.

Само слово Антивирус уже давным давно устарело и не отражает всего функционала которые выполняет «антивирус». Его используют только для самых базовых пакетов ПО. Остальные продукты называются к примеру Kaspersky Internet Security

Рекомендую ознакомится с функциями современных антивирусов http://www.kaspersky.ru/kav_kis и пояснить почему к примеру «Мониторинг активности программ» не может выполнять очень схожую с SELinux задачу

TEX ★★ ()
Ответ на: комментарий от A-234

Так, на всякий случай, вдруг этот блоб все же получит управление. Как?

Через банальное buffer overflow а что ? Давнишние уязвимости в bmp файлах так и работали. http://bugtraq.ru/library/security/mshtml.html

TEX ★★ ()
Последнее исправление: TEX (всего исправлений: 1)
Ответ на: комментарий от dk-

мне сложно представить такую степерь рукожопия на рабочем компе, что нужно «переустанавливать систему». (ну если работа не сводится к ее ковырянию и переделке для тестов)

Если речь идет о Windows — то достаточно просто продолжать ставить различный софт, в итоге через некоторое время в системе будет довольно неплохой срач.

edigaryev ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.