Архив за месяц: Апрель 2023

ROSA MOBILE подаёт признаки жизни

2 комментария

ROSA MOBILE подаёт признаки жизни

ROSA MOBILE подаёт признаки жизни. Ъ пишет:

"Структуры бывшего министра связи Леонида Реймана планируют наладить в 2023 году производство потребительской электроники с собственной мобильной и десктопной операционной системой РОСА. Речь идет о смартфонах, планшетах и ноутбуках — их сборку в Зеленограде обеспечит «Рутек»."

На официальном сайте НТЦ ИТ РОСА выложены документы по мобильной ОС РОСА за 2022 год: описание применения, руководство по установке (на смартфон AYYA T1), руководство по эксплуатации. В руководстве по эксплуатации пишут, что "рабочий стол основан на кастомизированной версии рабочего пространства Plasma Mobile", то есть на открытом проекте от KDE. Приложения для Plasma Mobile разрабатывают с использованием UI фреймворка Kirigami. Видимо всё это должно выглядеть +- как PinePhone, но в качестве базового дистрибутива будет не Manjaro, а РОСА.

Для Linux-гика это звучит местами даже интереснее Авроры. 😇 Но уровень зрелости очевидно ниже. Понаблюдаем. 🙂

В связи с новыми Ф.А.К.К.Т.-ами внес минорные изменения в карту отечественных около-VMных вендоров

Добавить комментарий

В связи с новыми Ф.А.К.К.Т.-ами внес минорные изменения в карту отечественных около-VMных вендоров. Убрал ушедшую из России компанию Group-IB, добавил нового российского вендора F.A.C.C.T. Название СДУСП-продукта и его описание пока оставил тем же. Хотя сигналы по продуктам Group-IB противоречивые:

"Новые владельцы сохранили все контракты с российскими клиентами, а также продукты, технологии и сервисы, разработанные в стране."

"Group-IB’s proprietary Unified Risk Platform, and all relevant technologies to protect against targeted cyberattacks, data breaches, fraud, brand violations, and phishing, remain the property of Group-IB Global Private Ltd. As such, Group-IB Global Private Ltd. will have the sole right to use all of the company’s technologies that are subject to patents in Singapore, the Netherlands, and the United States of America."

Так что посмотрим как будет ситуация развиваться. 🙂 Сам факт разрешения неопределенного и двусмысленного состояния компании скорее радует.

Про новую таксономию нейминга для Threat Actors от Microsoft

Добавить комментарий

Про новую таксономию нейминга для Threat Actors от Microsoft. Наиболее существенное там 8 новых "стихийных" имен для "Nation state actors" из восьми стран. Ну ок, допустим вижу среди этих стран Южную Корею и Турцию. А где США? А где страны из альянса "Пять глаз"? 🧐😅 То есть даже на уровне таксономии не предполагается, что Microsoft могут освещать зловредную окологосударственную активность исходящую из этих стран. Для Microsoft её нет по определению. 🙈🙉🙊 Даже, когда явно какой-нибудь DoublePulsar утекает, всё равно. 🙂

Не сказать, что это новость, Microsoft уже давно напрямую демонстрируют свою ультра-проамериканскую позицию в отчетах. И делают они это ярче всех других глобальных IT-вендоров вместе взятых. И если вы сейчас не форсируете переход вашей инфраструктуры с продуктов Microsoft на что угодно не от Microsoft, то, имхо, очень и очень зря.

Насчёт количества CVEшек в NVD и БДУ ФСТЭК

1 комментарий

Насчёт количества CVEшек в NVD и БДУ ФСТЭК. Годы летят и обычно не задумываешься насколько быстро растет реестр NVD CVE. А ведь там действительно 212793 идентификаторов на текущий на текущий момент. 😱 Я вполне помню момент, когда их было 50к. 🙂

Что, реально так много? Не ошибка? Нет, похоже всё правильно: 


$ for i in `seq 2002 2023`; do wget https://nvd.nist.gov/feeds/json/cve/1.1/nvdcve-1.1-$i.json.zip; done
$ zcat nvdcve-1.1-*  | grep '"ID" : "CVE-[0-9]*-[0-9]*"' | sort | uniq | wc -l
212793

Для интереса посмотрел, а сколько ссылок на CVE есть в БДУ ФСТЭК: 


$ wget --no-check-certificate https://bdu.fstec.ru/files/documents/vulxml.zip
$ unzip vulxml.zip
$ cat export/export.xml | egrep -o "CVE-[0-9]*-[0-9]*" | sed 's/\/identifier>//g' | sort | uniq | wc -l
37757

Можем видеть, что сильно меньше. О причинах судить не берусь, но точно можно сказать, что воспринимать БДУ просто как downstream NVD неправильно. Туда попадает, мягко говоря, не всё, что есть в NVD. В прочем, в NVD тоже есть не всё, что есть в БДУ.

Мама, я в телевизоре! Вернее в телеграмм-канале Алексея Лукацкого

1 комментарий

Мама, я в телевизоре! Вернее в телеграмм-канале Алексея Лукацкого. И не так важно, что это коммент про неудобочитаемость аббревиатур для классов решений из моей карты отечественных средств управления уязвимостями. Сам факт упоминания главным ИБ-блогером страны (17к+ подписчиков) и просто человеком-легендой считаю большой честью и успехом. Спасибо! 🙂

Что касается аббревиатур, то я специально хотел, чтобы на русском звучало основательно и в лучших традициях отечественного ИБ-нейминга, как БнД УБИ ФАУ «ГНИИИ ПТЗИ ФСТЭК России». Если получившиеся СУУ, СДУИ, СДУСП, СДУП, СДУК, САУ, СИУ какие-то такие ассоциации навевают, значит эффект достигнут. 😉

Плюс, всё изначально задумывалось с учетом перевода на английский:

Vulnerability Management Tools (VMT)
1. Vulnerability Detection Tools for Infrastructure (VDTI)
2. Vulnerability Detection Tools for Network Perimeter (VDTNP)
3. Vulnerability Detection Tools for Applications (VDTA)
4. Vulnerability Detection Tools for Code (VDTC)
5. Vulnerability Analysis Tools (VAT)
6. Vulnerability Remediation Tools (VRT)

И в таком виде уже смотрится как-то более привычно. 🙂

О месте автоматического детектирования уязвимостей (сканирования) в проекте руководства ФСТЭК по управлению уязвимостями

2 комментария

О месте автоматического детектирования уязвимостей (сканирования) в проекте руководства ФСТЭК по управлению уязвимостямиО месте автоматического детектирования уязвимостей (сканирования) в проекте руководства ФСТЭК по управлению уязвимостями

О месте автоматического детектирования уязвимостей (сканирования) в проекте руководства ФСТЭК по управлению уязвимостями. Сегодня последний день сбора предложений по доработке проекта руководства, поэтому захотелось дополнить пост про "нечеловеческий процесс" тем, что описанный процесс и не очень-то про автоматический детект уязвимостей. Поясню. Слово "сканирование" в тексте упоминается 9 раз в описании операций:

Этап мониторинга уязвимостей и оценки их применимости

• Принятие решений на получение дополнительной информации
• Постановка задачи на сканирование объектов
• Сканирование объектов

Этап контроля устранения уязвимостей

• Принятие решения о способе контроля
• Проверка объектов на наличие уязвимостей

Это упоминания в том смысле, что разовые задачи на сканирование должны быть кем-то в рамках процесса поставлены и кем-то выполнены. Однако там нет конкретных требований, которые могли бы обеспечить полноту по активам, актуальность данных и качество детектирования:

1. Нет требований, что все активы в организации должны быть покрыты средствами анализа защищенности.
2. Нет требований, что в любой момент времени необходимо иметь актуальные данные о состоянии инфраструктуры с точки зрения имеющихся уязвимостей.
3. Нет требований к средствам анализа защищённости, как они должны работать и какие возможности по детектированию уязвимостей должны иметь.
4. Не предусмотрено процедуры оценки полноты и качества детектирования уязвимостей.

Совсем не факт, что это всё должно быть именно в этом руководстве, возможно в рамках отдельного документа. Но автоматическое детектирование уязвимостей это та база без которой остальной процесс управления уязвимостями вряд ли может работать эффективно.

И, говоря об оценке качества детектирования, раз уж есть ScanOVAL (для российских Linux-ов и Windows), то почему бы не зафиксировать его статус в качестве эталонного средства анализа защищенности и не обязать периодически проводить сверку результатов детектирования ScanOVAL c результатами полученными от средств анализа защищенности, используемых в организации? Как минимум это привлечет внимание к проблеме качества детектирования уязвимостей (как соответствию эталону, так и улучшению эталона), которая сейчас, к сожалению практически не обсуждается.

В комментах в ВК (а туда всё дублируется и вы можете там комментить) мне написали, что в последнем посте слишком много аббревиатур и непонятно даже в чём весь цимес

Добавить комментарий

В комментах в ВК (а туда всё дублируется и вы можете там комментить) мне написали, что в последнем посте слишком много аббревиатур и непонятно даже в чём весь цимес. Видимо я слишком усушил текст, чтобы в лимиты поста с картинкой уложиться, сорри. 😅 Дело вот в чем.

1. Есть уязвимость в архиваторе WinRAR, для которой Positive Technologies предварительно получили CVE идентификатор.

2. После того как уязвимость была исправлена, Mitre Corporation (они держат реестр CVE идентификаторов и являются апстримом для National Vulnerability Database) по какой-то причине начали использовать этот ранее выданный CVE идентификатор для какой-то другой уязвимости, которая к WinRAR никак не относится.

3. Можно подумать, что случилась какая-то ошибка и Mitre завели эту уязвимость WinRAR под другим CVE идентификатором. Но нет, других уязвимостей WinRAR с похожим описанием за 2021 год и позже не наблюдается. Просто забили.

Почему так вышло? Кто его знает, Mitre нам не расскажут. Можно предположить такую логику Mitre: "вы, Positive Technologies, под санкциями, мы от вас больше уязвимости принимать не будем". В итоге сложилась ситуация, когда один и тот же CVE идентификатор CVE-2021-35052 используется для ссылки на две совершенно разные уязвимости. Коллизия. 🤷‍♂️

Разумеется, это очень странное и контрпродуктивное поведение со стороны Mitre. Но дело не только в них. Было несколько похожих эпизодов с западными IT-вендорами, когда PT на сообщение об уязвимости либо не отвечали, либо в acknowledgement не ставили. А, например, в случае с Citrix сначала добавили acknowledgement, потом тихонько убрали, а после публичного обсуждения вернули назад. Насколько я понимаю, такое было не только с PT, но и с Digital Security, и с другими исследовательскими компаниями под американскими санкциями.

В общем, здорово, что у нас есть национальная база уязвимостей в виде БДУ ФСТЭК, где есть, кроме прочего, и уязвимости для которых Mitre отказались по каким-то причинам идентификаторы выдавать.