Про SberLinux

1 комментарий

Про SberLinux. С одной стороны круто, что появился "дистриб от крупной российской окологосударственной IT компании", как раз о чем я писал в прошлом году. 🙂 С другой стороны, это, конечно, совсем не "бесплатный базовый Linux дистрибутив", который бы хотелось видеть. Видимо такое выпускать мало кому интересно. 🙂 Platform V SberLinux OS Server это прежде всего операционная система для облачной платформы "ГосТех". И декларируемое описание этого дистрибутива заставляет задуматься о том, что же такое "отечественная ОС":

"Дистрибутив ОС GNU/Linux. На 100% бинарно и bug-for-bug совместимый с дистрибутивом ОС RedHat Enterprise Linux версии 8.6 и выше".

Т.е. этот дистрибутив полностью, даже в части нежелательных функций, это такой же RHEL 8. Фактически это аналог AlmaLinux, Rocky Linux, Oracle Linux. Хорошие проекты, но являются ли они российскими ОС? Ну, очевидно нет. Если в американской компании Red Hat вдруг решат добавить бэкдор для систем с российским IP, то bug-for-bug этот бэкдор придет и в SberLinux, и в Гостех.

В описании вакансии QA Engineer (SberLinux) можем прочитать:

"Команда SberLinux OS DevTeam формирует команду создания дистрибутива ОС Linux 100% бинарно-совместимого с Red Hat Enterprise Linux для реализации инициативы технологической независимости от поставок лицензий и предоставления поддержки вендора.

Цель: Обеспечение технологической независимости в части ОС Linux для Группы Сбера."

Но достаточно ли независимости от поставок лицензии и независимой поддержки, для того, чтобы считать ОС российской? Сейчас видимо да.

Можем довести до абсурда. Допустим, в России есть некая ООО "Гигасофт". Эта компания заключает OEM договор с Microsoft на выпуск ОС Gigasoft Doors, которая на 100% бинарно и bug-for-bug совместима с Microsoft Windows. Потому что это Microsoft Windows и будет, только "Windows" везде на "Doors" заменено и логотип изменен. Лицензии можно приобретать у ООО "Гигасофт", за поддержкой тоже к ним. Это что же получается, Gigasoft Doors будет отечественной ОС, обеспечивающей "технологическую независимость"? Ну, странно ведь получается, как думаете?

Опубликована программа ISCRA Talks 2023

Добавить комментарий

Опубликована программа ISCRA Talks 2023. Получилось представительно. 👍 4 выступления от Positive Technologies (учитывая, что я тоже про опыт работы в PT и MaxPatrol 8 буду рассказывать - почти 5 😄), два от Лаборатории Касперского. Также Эшелон, Доктор Веб, Джеты, Сбер, Евраз и другие. Все темы сугубо практические и технические. 🔥

У меня план пока следующий. Приехать к началу в 10:30. В 11:00 моё часовое выступление. После него до 14:45 буду слушать доклады в первой секции. Потом перерыв на пообедать/пообщаться/пошататься по ГЗ. 😇 И наконец переместиться в третью секцию где-то до 17:00. Остальное посмотреть уже в записи.

Алексей Лукацкий выложил слайды своей презентации по VM-у от 2008 года

Добавить комментарий

Алексей Лукацкий выложил слайды своей презентации по VM-у от 2008 года. Я тогда ещё в универе учился и ни о каких сканерах уязвимостей не задумывался. "Будь я нескромен, сказал бы, что я - пророк 😊". В целом да, справедливо, всё в примерно эту сторону и развивается. Пару слайдов я даже не удержусь, стащу для своей презы. 😉

Хочется, правда, обратить внимание, что все слайды (кроме одного - "рост сканирующих возможностей") про то, что нам делать с имеющейся информацией об уязвимостях инфраструктуры. С чем нам ещё интегрироваться, какие ещё управляющие воздействия на основе факта наличия уязвимостей сделать. Как будто бы информация об уязвимостях для всех активов организации уже есть или может быть тривиальна получена. И эта информация достоверна, полна и достаточна. Это, разумеется, не так. Это никогда не было так и долго ещё не будет. Просто редко кто-то смотрит под капот, как на самом деле работают детекты и какие ограничения у них есть. А запроса на открытые базы детектов уязвимостей, которые позволяли бы хотя бы приблизительно оценивать "слепые пятна" у средств Управления Уязвимостями (Сканеров Уязвимостей, СДУИ - как угодно) как не было, так и нет. И со стороны VM-вендоров он не появится, им туда лезть невыгодно. Он должен подниматься снизу, формулируйте и задавайте им неудобные вопросы, товарищи!

Первые впечатления от майского Microsoft Patch Tuesday

2 комментария

Первые впечатления от майского Microsoft Patch Tuesday

Первые впечатления от майского Microsoft Patch Tuesday. Давненько не было таких малюсеньких Patch Tuesday. 57 CVE с учетом набежавших за месяц. А если смотреть выпущенные только во вторник, то всего 38! 😄

1. Memory Corruption - Microsoft Edge (CVE-2023-2033). Наиболее критичная, но вендоры не подсвечивают. Это уязвимость в Chrome, о которой три недели трубят. Естественно касается и Edge. Есть в CISA KEV.
2. Security Feature Bypass - Secure Boot (CVE-2023-24932). Уязвимость используется в BlackLotus UEFI bootkit.
3. Memory Corruption - Microsoft Edge (CVE-2023-2136). Ещё одна критичная уязвимость в Chrome, есть в CISA KEV.
4. Elevation of Privilege - Windows Win32k (CVE-2023-29336). Пишут, что возможно уязвимость эксплуатируется при открытии зловредного RTF файла. Есть в CISA KEV.
5. Remote Code Execution - Microsoft SharePoint (CVE-2023-24955). Уязвимость продемонстрирована на Pwn2Own Vancouver.

Полный отчет Vulristics

С Днём Победы!

Добавить комментарий

С Днём Победы!

С Днём Победы! 09.05.1945

От героев былых времен
Не осталось порой имен, —
Те, кто приняли смертный бой,
Стали просто землей и травой.
Только грозная доблесть их
Поселилась в сердцах живых.
Этот вечный огонь,
Нам завещанный одним, мы в груди храним.

Для англоязычного канала собрал эквиритмический перевод из нескольких публично доступных.

По поводу российского аналога TCP/IP, часть 3

Добавить комментарий

По поводу российского аналога TCP/IP, часть 3. Нашли о чем речь? 2 дня назад на Секлабе вышла статья "Секреты нового российского транспортного протокола RUSTP/UDTP", где утверждается, что технология, которая описывается на сайте ipv17.ru это как раз то, о чем шла речь на встрече с президентом. Могу предположить, что логика была такая:

1. С президентом разговаривал Александр Владимирович Селютин, председатель совета директоров группы компаний «Техноджет».
2. В интернете нашли презентацию 2019 года под авторством Александра Селютина "Проект .v17 ИНТЕРНЕТ+". Там фигурирует некий протокол rustp/udtp.
3. Делается предположение, что директор Техноджет и автор презентации это один и тот же Александр Селютин, а проект .v17 это как раз и есть тот самый "российский аналог TCP/IP".
4. Дальше по ".v17" и "rustp/udtp" ничего не находится, но находится проект с похожим названием http://ipv17.ru/ (последний пост с видео 6 лет назад). Делается второе предположение, что ".v17" и "ipv17" это одно и тоже. При том, что по "rustp", "Селютин", "Selytin" на сайте ничего не ищется. И вся дальнейшая техническая критика идет в сторону ipv17 и OOO Инкомтех.

Т.е. вполне допускаю, что Александр Владимирович Селютин, председатель совета директоров ГК «Техноджет», действительно имел в виду ipv17 в своём выступлении, но пока это не видится таким очевидным. Ждем более весомых пруффов. Желательно от самого Александра Владимировича.

Часть 2

Методические документы регуляторов, связанные с Управлением Уязвимостями

2 комментария

Методические документы регуляторов, связанные с Управлением Уязвимостями. В презентации, которую я сейчас готовлю к ISCRA Talks, будет слайд про документы регуляторов связанные с VM-ом, выпущенные за последние 1,5 года. Если я что-то важное пропустил, напишите мне, пожалуйста, в личку или комментом в пост в ВК.

1. НКЦКИ "Критерии для принятия решения по обновлению критичного ПО, не относящегося к open-source". Рекомендательный алгоритм, помогающий принять решение: установить обновление с риском привнести НДВ (недекларированные возможности)/блокировку функциональности или не обновлять с риском получить эксплуатацию уязвимости. Этого алгоритма я касался в выступлении на PHDays 11 и писал скрипты автоматизации проверок по нему в рамках опенсурсного проекта Monreal.

2. ФСТЭК "Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств". Описывает каким образом можно получить общую оценку критичности уязвимости и выставить требования по оперативности исправления. Я писал комментарии по этой методике.

3. ФСТЭК "Методика тестирования обновлений безопасности программных, программно-аппаратных средств". Описывает какими способами искать НДВ в обновлениях безопасности. Мои комментарии к этой методике: Часть 1, Часть 2, Часть 3.

4. ФСТЭК "Рекомендации по безопасной настройке операционных систем Linux". Рекомендации распространяются на настройку НЕсертифицированных ОС (Debian, Ubuntu, CentOS Stream, Alma Linux, Rocky Linux, openSUSE и прочего) "до их замены на сертифицированные отечественные операционные системы". Я разбирал эти рекомендации.

5. ФСТЭК "Руководство по организации процесса управления уязвимостями в органе (организации)". Подробное описание этапов процесса, участников процесса и выполняемых ими операций. Я написал комментарии к проекту руководства "процесс не для человеков" и "место автоматического детектирования уязвимостей".