Архив метки: Импортозамещение

На какие российские продукты можно заменить западный продукты с недавними критичными уязвимостями (Microsoft SharePoint, Cisco Unity Connection, GitLab, Ivanti Connect Secure)?

На какие российские продукты можно заменить западный продукты с недавними критичными уязвимостями (Microsoft SharePoint, Cisco Unity Connection, GitLab, Ivanti Connect Secure)?На какие российские продукты можно заменить западный продукты с недавними критичными уязвимостями (Microsoft SharePoint, Cisco Unity Connection, GitLab, Ivanti Connect Secure)?На какие российские продукты можно заменить западный продукты с недавними критичными уязвимостями (Microsoft SharePoint, Cisco Unity Connection, GitLab, Ivanti Connect Secure)?На какие российские продукты можно заменить западный продукты с недавними критичными уязвимостями (Microsoft SharePoint, Cisco Unity Connection, GitLab, Ivanti Connect Secure)?

На какие российские продукты можно заменить западный продукты с недавними критичными уязвимостями (Microsoft SharePoint, Cisco Unity Connection, GitLab, Ivanti Connect Secure)?

Комменты на эту тему на конкурс что-то никто не прислал. 🤷‍♂️ Пришлось взять на себя смелость и накидать самостоятельно. Как уж смог. 🙂 На следующем Прожекторе по ИБ обсудим и, возможно, дополним.

Microsoft SharePoint
1. Битрикс 24
2. DocTrix
3. Comindware
4. КСК

Cisco Unity Connection
1. САТЕЛ
2. Naumen Contact Center
3. ЦОВ "Авантелеком"

GitLab
1. GitFlic
2. Сфера.Код
3. Mos.Hub

Ivanti Connect Secure
1. КриптоПро NGate + САКУРА
2. OpenVPN - ванильный, опенсурсный

Прожектор по ИБ, выпуск №2 (10.09.2023)

Прожектор по ИБ, выпуск №2 (10.09.2023). Вчера вечером записали ещё один эпизод нашего новостного ток-шоу по ИБ. Компания у нас всё та же:

🔸 Александр Леонов, "Управление уязвимостями и прочее"
🔸 Лев Палей, "Вести из Палей"
🔸 Максим Хараск, "Global Digital Space"

00:00 Вступление
01:08 Что случилось с бюджетами CISO? Обсуждаем опросы и исследования по ИБ
10:36 Байкалы выставлены на аукцион? Что с отечественными процессорами?
16:39 Atomic Heart в контексте ИБ. Впечатления от игры и книги Предыстория «Предприятия 3826»
26:39 Р-ФОН, ОС Аврора и "понты нового времени"
36:48 Утечка из МТС Банка?
45:04 Мошенники размещают QR-коды возле школ
50:18 Qualys TOP 20 эксплуатируемых уязвимостей
54:18 Прощание от Mr. X

Ещё про Atomic Heart

Ещё про Atomic Heart

Ещё про Atomic Heart.

> Не удивлюсь, если по этой вселенной будут книги выходить, я их даже почитаю. 🙂

Сказано - сделано. Дочитал Предысторию «Предприятия 3826». По ощущениям ~ 6,5 из 10. Не шедевр, но общие впечатления скорее приятные. Стиль изложения нарочито упрощённый, комиксовый. Когда описываются операции отряда "Аргентум", очень похоже на этаких советских X-Men-ов с Ксавье-Сеченовым. 😆 Но может такой и должна быть книга, раскрывающая лор шутера? 🙂

Моя любимая тема из игры, про то как альтернативный Советский Союз массово поставляет в альтернативные США условно бесплатных строительных роботов, содержаших недекларируемые боевые возможности, чтобы в один момент использовать их для захвата американских атомных объектов, в книге раскрыта более подробно. Например, там есть пресс-конференция на которой Сеченов и Молотов приводят аргументы по поводу безопасности роботов:

1. "Весь мир использует советских роботов почти десять лет, и до сих пор с ним ничего не случилось."
2. "Прежде чем заключить с СССР контракт на поставку, каждая страна тщательно изучает не только предоставленную нами техническую документацию, но и непосредственно образцы самих изделий. Если бы таковые изделия содержали в себе хотя бы намёк на возможность боевого применения, разве спецслужбы и прочие компетентные органы всех этих стран позволили бы появление на территории своих государств столь опасных изделий? Или вы не доверяете собственным спецслужбам?"
3. "И на практике описанные вами сбои [речь про "восстание машин"] в работе советского ПО исключены абсолютно. Повторюсь: это невозможно в принципе!"
4. "СССР никому не навязывает своё программное обеспечение. Любая страна, если она не доверяет нашим программистам, может полностью удалить советское ПО и установить на робота собственное." Потому что закладка не на уровне ПО 🙂.

Очень похожую аргументацию можно слышать от западных вендоров программных и аппаратных продуктов. Ну что вы, какие закладки. Абсолютно исключено. 😉

Ну и, как нам известно из первого DLC "Инстинкт Истребления", альтернативному СССР таки удалось этот план захвата объектов реализовать. 😏

Вторая тема это то, что было причиной инцидента на Предприятии 3826, почему собственно все роботы взбунтовались. По книге это результат заговора четырёх инженеров, которые ввели "в заблуждение систему безопасности «Коллектива 1.0», одновременно послав на все основные «Узлы» наших объектов сообщение о вражеском нападении".

"— И это привело к такому вот эффекту? — Полковник указал на карту «Предприятия 3826», изобилующую отметками «Узлов», перешедших в режим блокировки.
— Не совсем. — Сеченов печально нахмурился. — «Коллектив 1.0», одновременно получив от всех своих дежурных инженеров сообщение о начавшейся войне, перешёл в режим самообороны. Но у каждого дежурного инженера в затылок имплантирована микросхема с экстренными кодами на случай войны. Воспользоваться ими в мирное время нельзя, а вот в режиме военного времени «Узлы» сами обратились к операторам за указанием целей, чтобы понять, кто является агрессором. И предатели обозначили в качестве целей весь гражданский персонал «Предприятия 3826», кроме самих себя, после чего посредством заложенных в микросхему кодов военного времени заблокировали «Узлы» для связи извне. Снять блокаду можно только изнутри, с пульта дежурного инженера."

Парам-пам-пам. Система безопасности, позволяющая четырем инсайдерам произвольно определять цели для масштабного экстерминатуса. Казалось бы бред, но, с другой стороны, в реальных системах ИБ иногда обнаруживается и не такое. 😁

Алексей Лукацкий накидывает про Microsoft

Алексей Лукацкий накидывает про Microsoft.

"Мы все помним, что Microsoft пообещал не продавать лицензии на свое ПО в России после 30-го сентября. Тут, конечно, вопрос формулировок. Не будет продавать лицензии, не будет обновлять уже проданное ПО или вовсе заблокирует работу ПО на территории России? Последний сценарий самый худший, но он и самый маловероятный…"

Маловероятный в силу того, что в России остались легитимные пользователи-иностранцы и это ударит по ним. А сам пост про то, что есть софт Microsoft, который нужно обязательно с сайта MS качать, а то есть риск получить зловреда. Это всё понятно. Но меня заинтересовала именно первая часть.

Имхо, блокировка работы уже проданного ПО со стороны Microsoft после 30 сентября это самый лучший вариант, т.к.

1. Максимально ускорит замещение оставшейся Windows-инфраструктры. Да, в шоковом режиме. Да, что-то отвалится (в зависимости от того как именно будут блокировать). Но в любом случае восстановят-поднимут и получат живительной стимуляции от руководства для того, чтобы такая ерунда больше никогда не повторилась.

2. Это будет отличной общемировой демонстрацией, что продукты американского бигтеха это ненадежно, они выключаются одним тумблером и от них нужно оперативно избавляться. Как вариант, переходить на российские импортозомещающие продукты.

Запрет на скачивание обновлений это примерно то же самое, но это не такая шоковая тема. До первых инцидентов это заметят только безопасники. Ну да, будет ещё один аргумент для отказа от MS, но и только. Так что вариант значительно хуже.

Запрет продажи лицензий это вообще ни о чем. Думаю, что, к сожалению, Microsoft сами ускорять нам импортозамещение не захотят, а поэтому выберут именно такой вариант. Много где за MSную инфраструктуру продолжат всеми правдами и неправдами держаться. Полное выпиливание MS займёт больше времени, чем могло бы. И это, как мне кажется, худший вариант из возможных. Но, видимо, наиболее вероятный.

По мнению автора статьи на сайте Just Security, изменения в британском Investigatory Powers Act 2016 (IPA) могут упростить использование 0day уязвимостей устройств для слежки

По мнению автора статьи на сайте Just Security, изменения в британском Investigatory Powers Act 2016 (IPA) могут упростить использование 0day уязвимостей устройств для слежки

По мнению автора статьи на сайте Just Security, изменения в британском Investigatory Powers Act 2016 (IPA) могут упростить использование 0day уязвимостей устройств для слежки.

"Производителям устройств, вероятно, также придется уведомлять правительство, прежде чем делать доступными важные обновления безопасности, которые устраняют известные уязвимости и обеспечивают безопасность устройств. Соответственно, госсекретарь (Secretary of State), получив такое предварительное уведомление, теперь может попросить операторов, например, воздержаться от исправления брешей в безопасности, чтобы позволить правительству сохранить доступ в целях слежки (surveillance)."

Пока это выглядит как спекуляция автора статьи. Может вендоров обяжут уведомлять о планируемых патчах, а может нет. Может вендоров будут просить повременить с патчами, а может нет. Но направление мысли достаточно интересное, и кажется вполне в духе времени.

Можно, например, вспомнить китайское "Положение об управлении уязвимостями безопасности сетевых продуктов" (2021), в котором вендоров обязывают оперативно сообщать об выявленных уязвимостях: "информация об уязвимостях должна быть отправлена на платформу обмена информацией об угрозах сетевой безопасности и уязвимостях Министерства промышленности и информационных технологий в течение 2 дней" (статья 7, п.2).

Так что используя зарубежные продукты нужно иметь в виду, что зарубежный вендор имеет с зарубежным государственным регулятором вполне отчётливые связи, зачастую вполне формальные и нескрываемые. Используешь зарубежное - принимай риски. Не хочешь принимать - не используй. 🤷‍♂️

Послушал эфир Сергея Вильянова с бывшим гендиром российского филиала Acer

Послушал эфир Сергея Вильянова с бывшим гендиром российского филиала Acer. Среди прочего, они обсуждали куда с российского рынка делись российские ноутбуки (iRU, Rover и прочее). Ничего сложного. Через жёсткий демпинг их за несколько лет убрали Acer и прочие зарубежные вендоры. А сейчас, абсолютно не стесняясь, об этом подробно рассказывают.

Исключительно российский вендор не может конкурировать при рыночных условиях с вендором, который заваливает этими ноутбуками весь мир. 🤷‍♂️

Ещё раз подивился тому как сильно по-разному воспринимают реальность обычные люди и гики (особенно гики-безопасники). В мире обычных людей, даже у тех кто вплотную с вычислительной техникой связан, вообще другие характеристики ноутбуков ценятся: красивый дизайн, чтобы работало быстро, было удобненько, экран четенький, чехольчик (!!), а стоило недорого. Какая там импортонезависимость, какая безопасность, НДВ и прочее. Это в лучшем случае есть в нашем мире, деформированных профессионально, и то не у всех, а другие люди в принципе никогда об этом не задумываются.

Поэтому к вопросу "а будут ли в России честные российские ноутбуки с высокой степенью локализации производства"? Вот прям до процессора. В условиях абсолютно свободной конкуренции точно нет. В условиях гарантированного спроса вызванного жёсткими регуляторными требованиями - возможно где-то и будут. Смотря как будут контролировать исполнение этих требований и карать за их обход. Но явно эти устройства будут не у физиков. Цена-качество у таких ноутбуков будет такое, что физики такие устройства будут покупать только если они абсолютные фанатики.

Это как с Ричардом Столлманом, который продолжительное время работал исключительно на дохленьком нетбуке Lemote Yeeloong с опенсурсным BIOS. Вот для него это было важно, а остальное не столь важно. Много ли среди нас Столлманов?

Есть, конечно, вариант, когда других ноутбуков не будет вообще и останутся одни честные отечественные. Но пока в возможность такого верится слабо.

Про 2025 год

Про 2025 год

Про 2025 год. Ведомости цитируют Максута Шадаева:

"«Президентом подписано поручение было, 12 июня, в праздник, о том, что по всем госкомпаниям к 1 января 2025 г. обеспечить тотальное замещение операционных систем, офисного пакета, систем виртуализации, систем управления баз данных», – сообщил Шадаев. Он уточнил журналистам, что ранее аналогичное требование действовало только к объектам критической информационной инфраструктуры (КИИ)."

Если действительно требование ко всем госкомпаниям независимо от КИИ, то это очень амбициозно. Местные IT-шники, например в Сбере, Роскосмосе, Ростехе или Газпроме, наверняка взбодрились.

Что касается негосударственной КИИ, то по 250 указу к 2025 году требуется импортозаместить только СЗИ. Требований импортозамещать "операционные системы, офисные пакеты, системы виртуализации, системы управления баз данных", насколько я понимаю, пока нет (хотя я не методолог и специально за этим не слежу). Но понятно куда ветер дует и кажется имеет смысл тоже на это закладываться.

Те же Ведомости писали в мае: "В скором времени запрет на использование иностранного ПО планируют распространить на все КИИ. […] На сегодняшний день документ уже готов, согласован с заинтересованными сторонами и в ближайшее время будет внесен в Госдуму, сообщали «Ведомости» со ссылкой на свои источники, знакомые с ходом обсуждения законопроекта."