Архив за месяц: Июнь 2023

Про наш процессор

1 комментарий

Про наш процессор

Про наш процессор. Прочитал с утра очередную ругательную статью про Эльбрусы. Имхо, те, кто такие статьи пишет (отбрасывая вариант, что это просто заказуха от конкурентов), понимают что-то в процессорах, но не понимают зачем собственно российский процессор нужен. Такое ощущение, что они всерьез видят конечную цель в том, чтобы коробочка с российским процессором продавалась в магазине электроники где-то в условном Мичигане. И местный обыватель, сравнивая его с процессорами от Intel и AMD, делал выбор в пользу российского - настолько этот процессор хорош, дёшев, открыт и со всеми совместим. Вот такой IT-шный mindset. 🙂

ИБшник смотрит на российский процессор по-другому. Для него это прежде всего устройство с минимальным риском присутствия недекларированных возможностей на уровне архитектуры. В этом основная ценность. Он в принципе работает? Характеристики более-менее схожи с тем, что на западе? Архитектура разработана российской компанией, сотрудники которой физически находятся в России и получают финансирование только из России? Архитектура настолько своя, что разбираться с ней сторонним заокеанским исследователям дорого и цена атаки получается неоправданно высокой? Да это ж просто праздник какой-то! 😇

То, что это процессор стоит в разы (да хоть в десятки и сотни раз!) дороже, чем западный - это ерунда. То, что NDA нужно подписывать, компилятор закрытый, пересобирать всё нужно, и (о ужас! 😏) GPL где-то нарушается - тоже ерунда. Вот в чем штука. Для IT-шника ИБ-шные аргументы абсолютно незначительны и наоборот. И, насколько я понимаю, существование МЦСТ оправдывается именно ИБшными аргументами. 😉

А открытая архитектура это не лучше было бы? Имхо, со стороны ИБшника закрытая российская это лучше, чем нероссийская открытая. Здесь как с Linux или AOSP. Да, вроде открыто, но сложность такая, что разбираться замучаешься. Что-то открыто, а что-то совсем недоступно или распространяется только в виде блоба. Могут быть разные нюансы.

Единственная серьёзная проблема Эльбрусов это производство на TSMC. То, что Тайвань прогнётся это был очевидный риск. И этот риск реализовался. 🤷‍♂️ Но мне кажется проблема с переносом производства в более лояльную локацию будет решена. Даже если широкая общественность узнает об этом с большим опозданием. Ей-то об этом знать и не обязательно. 😉

Ещё про импортозамещение, на этот раз для ЗОКИИ финансовых организаций

Добавить комментарий

Ещё про импортозамещение, на этот раз для ЗОКИИ финансовых организаций

Ещё про импортозамещение, на этот раз для ЗОКИИ финансовых организаций. Федеральный закон от 13.06.2023 № 243-ФЗ "О внесении изменений в Федеральный закон "О Центральном банке Российской Федерации (Банке России)". Насколько я понял из текста, вводятся:

- согласование планов мероприятий по переходу на преимущественное использование российского ПО, аппаратных средств и услуг на значимых объектах КИИ и обязательство этот переход совершить
- согласование заявок на закупки иностранного ПО, аппаратных средств и услуг для значимых объектов КИИ

Пока выглядит относительно лайтово.

Linux Patch Wednesday?

3 комментария

Linux Patch Wednesday?

Linux Patch Wednesday? Раз уж значение Linux-а у нас стремительно растёт, выглядит правильным смещать фокус внимания с уязвимостей продуктов Microsoft на уязвимости Linux. При этом для продуктов Microsoft у нас есть единый день повышенного внимания - Microsoft Patch Tuesday, а для Linux такого нет. Слишком там всё фрагментировано и патчи выпускаются буквально ежедневно. Но что нам мешает самостоятельно раз в месяц формировать список исправленных за месяц CVE-шек и подсвечивать критичное? Кажется ничего. Список CVE можно получать, например, через парсинг OVAL-контента дистрибутивов (а кто такое не публикует - позор им 🙂).

Выпускать подобное предлагаю в каждую третью среду месяца и называть Linux Patch Wednesday. Как вам идейка?

Про 2025 год

1 комментарий

Про 2025 год

Про 2025 год. Ведомости цитируют Максута Шадаева:

"«Президентом подписано поручение было, 12 июня, в праздник, о том, что по всем госкомпаниям к 1 января 2025 г. обеспечить тотальное замещение операционных систем, офисного пакета, систем виртуализации, систем управления баз данных», – сообщил Шадаев. Он уточнил журналистам, что ранее аналогичное требование действовало только к объектам критической информационной инфраструктуры (КИИ)."

Если действительно требование ко всем госкомпаниям независимо от КИИ, то это очень амбициозно. Местные IT-шники, например в Сбере, Роскосмосе, Ростехе или Газпроме, наверняка взбодрились.

Что касается негосударственной КИИ, то по 250 указу к 2025 году требуется импортозаместить только СЗИ. Требований импортозамещать "операционные системы, офисные пакеты, системы виртуализации, системы управления баз данных", насколько я понимаю, пока нет (хотя я не методолог и специально за этим не слежу). Но понятно куда ветер дует и кажется имеет смысл тоже на это закладываться.

Те же Ведомости писали в мае: "В скором времени запрет на использование иностранного ПО планируют распространить на все КИИ. […] На сегодняшний день документ уже готов, согласован с заинтересованными сторонами и в ближайшее время будет внесен в Госдуму, сообщали «Ведомости» со ссылкой на свои источники, знакомые с ходом обсуждения законопроекта."

И о важном: вышел трейлер Babylon 5: The Road Home

Добавить комментарий

И о важном: вышел трейлер Babylon 5: The Road Home. К рисовке теперь вообще вопросов нет. Анимация очень даже приличная.

Есть вопрос к теням. В сериале они были загадочными могущественными существами, сравнимыми с ворлонцами, с которыми можно было справиться только хитростью. А здесь похожи то ли на жуков в "Звёздном десанте", то ли на зергов из StarCraft. 🙄

Сюжет тоже вызывает вопросы. Арка с перемещением Babylon 4 во времени была просто шедевром. Особенно серия "War Without End, Part II", где Деленн из будущего умоляет Шеридана "Do not go to Z'ha'dum". 🙂 Как задумано, как сыграно. Будет ли что-то сопоставимое в этом анимационном фильме, несмотря на схожую завязку? Практически уверен, что нет и это будет одноразовый аттракцион для фанатов, ну что-то вроде Babylon 5: The Lost Tales.

Но это не повод не смотреть. Хотя бы из-за участия Питера Юрасика в озвучании Лондо. "On the positive side, at least we have a good view of the show, eh Sheridan". 😊 Релиз под конец лета, 15 августа.

Сертификат о прохождении тест-драйва

Добавить комментарий

Сертификат о прохождении тест-драйва

Сертификат о прохождении тест-драйва. Приятненько 😊. В завершение моей трансляции хочется сердечно поблагодарить организаторов. Мероприятие - ТОП. Организация очень четкая. Площадка удобная. Классно пообщались в кофе-брейках, много практических тем обсудили. Кофе-брейк в формате Q&A с микрофонами это крутая и полезная тема, можно было бы и расширить. 😉 Если ещё тест-драйвы будут (этот был второй), всячески рекомендую VM-щикам участвовать.

Про практический тренинг по MaxPatrol VM

Добавить комментарий

Про практический тренинг по MaxPatrol VM. Легенда была следующая. В некоторой супер позитивной компании развернули MaxPatrol VM, но не настраивали его. И вот наша задача была провести базовую настройку. Сначала шла демонстрация как делается операция, затем мы повторяли её на своей инсталляции самостоятельно. Непосредственно сканы не запускали, но всё остальное было вживую на весьма правдоподобных тестовых данных. Имхо, хорошо разобрали сильные стороны решения: значимость активов, статусы уязвимостей, актуальность данных. До этого я как-то не особо понимал концепцию динамических групп, политик и языка запросов PDQL. Это не самые очевидные штуки, особенно если просто смотреть скриншоты с дашбордами и видяшки. Но если немного разобраться, то инструменты очень крутые и мощные. 👍

Что мы рассмотрели:

1. Создание задач на сбор данных.
2. Группировка активов по сетевым сегментам с помощью динамических групп.
3. Создание задачи на сканирование динамической группы активов.
4. Создание PDQL запроса для фильтрации уязвимостей для динамических групп активов.
5. Изменение статуса уязвимости на "Исправляется" вручную.
6. Создание учётных записей и использование их в профиле сканирования.
7. Удаление активов из динамической группы активов.
8. Задание значимости активов через политики.
9. Задание статусов уязвимостей через политики.
10. Создание политики для контроля актуальности данных.
11. Создание отчёта для отфильтрованных уязвимостей.
12. Получение compliance результатов через запуск политики и работа с ними в PDQL запросах.

В общем, отличный практический тренинг, мне понравилось! 🙂