МЕНЮ ≡

Вход на сайт

Только заблокировали производство чипов HiSilicon Kirin, как выясняется, что заменяющие их Snapdragon с кучей закладок.

Аватар пользователя Dropshot

Исследователи из компании Check Point обнаружили более 400 уязвимостей в чипах компании Qualcomm, которыми оснащены примерно 40% смартфонов в мире.

Исследователи из компании Check Point обнаружили более 400 уязвимостей в чипах компании Qualcomm, которыми оснащены примерно 40% смартфонов в мире.

С помощью этих уязвимостей злоумышленники могут:

 
  • превратить смартфон на Android в шпионский инструмент и получить доступ ко всей информацию, доступной на устройстве (фото, видео, записи разговоров, звук с микрофона в реальном времени, данные GPS, данные о местоположении и так далее);
  • скрыть вредоносную активность малвари и другого вредоносного кода, сделав вредоносы практически неудаляемыми;
  • заставить устройство перестать реагировать на команды, после чего вся информация, хранящаяся на этом телефоне, станет недоступна.

Доклад компании был представлен на конференции DefCon 2020. Эксперты говорят, что проблемы были обнаружены в цифровом сигнальном процессоре (digital signal processor, DSP), который можно найти почти в каждом Android-смартфоне в мире, включая устройства Google, Samsung, LG, Xiaomi, OnePlus и других вендоров.

Эксперты пишут, что уязвимости DSP — это отличная возможность для хакеров. Эти чипы –– новая поверхность для атак и слабое место мобильных устройств. Дело в том, что DSP более уязвимы, так как они управляются как «черные ящики». То есть всем, кроме производителя, крайне трудно проверить их функциональность и код. Специалисты Check Point использовали современные технологии тестирования, включая фаззинг, чтобы получить представление о внутреннем устройстве DSP.

Исследователи Check Point уже передали информацию о своих находках специалистам Qualcomm, и производитель чипов признал наличие уязвимостей, а также уведомил соответствующих поставщиков о проблемах. Уязвимостям были присвоены идентификаторы CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 и CVE-2020-11209.

Пока компания Check Point решила не публиковать полную техническую информацию об этих уязвимостях, давая производителям мобильных устройств возможность получить комплексное решение для исправления описанных проблем. Опубликовав ознакомительную статью об этих уязвимостях, специалисты лишь стремились привлечь внимание общественности к этим вопросам.

Представители Qualcomm уже прокомментировали ситуацию и сообщили, что сделали все, что в их силах, чтобы протестировать проблему и предоставить OEM-производителям соответствующие рекомендации по ее устранению. У компании нет никаких доказательств того, что обнаруженные уязвимости эксплуатировали злоумышленники.

Со своей стороны, уже Qualcomm выпустила исправление, но на момент написания (wccftech.com) оно не было отправлено ни на одно устройство Android в качестве обновления программного обеспечения или развернуто как часть кодовой базы Android в качестве патча. Google и Qualcomm не поделились планами относительно того, когда исправления будут выпущены для широкой публики. Учитывая количество процессоров, подверженных этим "ошибкам", патчи навряд ли получат все устройства.

В заявлении, предоставленном Ars Technica , Qualcomm заявила, что пока нет доказательств того, что уязвимости нашли реальное применение. Однако компания рекомендует пользователям устанавливать приложения только из надежных мест, таких как Google Play Store.

«Что касается уязвимости Qualcomm Compute DSP, обнаруженной Check Point, мы усердно работали, чтобы проверить проблему и предоставить OEM-производителям соответствующие меры по ее устранению. У нас нет доказательств того, что уязвимость в настоящее время эксплуатируется. Мы призываем конечных пользователей обновлять свои устройства по мере появления обновлений и устанавливать приложения только из надежных мест, таких как Google Play Store ».

Однако важно отметить, что Google Play Store на самом деле не гарантирует, что доступным в нем приложениям можно доверять, как мы уже много раз видели в прошлом, когда Play Store использовался для распространения вредоносных приложений среди миллионов пользователей. пользователи.

 

Авторство: 
Копия чужих материалов
Комментарий автора: 

Вообще Google Play Store неизвестно зачем приплели, по сути даже патчи драйверов/ядра не могут полностью аппаратные закладки закрыть.

По тому и война с Huawei, что у них свои процессоры, без американских закладок. Пятиглазым неудобно стало.

Фонд поддержки авторов AfterShock

Комментарии

Аватар пользователя ВладиславЛ
ВладиславЛ(1 год 11 месяцев)(06:06:48 / 11-08-2020)

Закладки в американских чипах традиционны. Думается их БОЛЬШЕ и труднее устранимы чем в китайских. Например память в чипе ЛЮБОМ можно использовать как детектор ионизирующих излучений как можно иметь данные как с датчиков вибраций, микрофонов не говоря об ЭМП с периферии и прочего. Это никак не отражается в документации на технику. К слову это в оба конца работает так что процессора пр-ва США это уязвимость сама по себе, по факту существования.

Как имеющий образование с выпускающей кафедры п/п и наноэлектроники Политеха в области разработки базовых основ полупроводниковых приборов и технологий и как делавший в т.ч. посткремниевые электронные приборы я знаю что можно иметь виртуальный прибор который вы никогда не засечёте и проявляться он будет лишь в определённых условиях. Например скидывать информацию об окружении где находится система или общаться с компьютерным оборудованием не будучи никак не подключён с формальным отсутсвием возможности передачи по ЭМИ и заизолирован от ПЭМИН. К примеру я нигде не видел защищённых носимых/возимых ПК, они ВСЕ имеют дыры начиная с клавиатуры даже имеющей пропиетарный кейгенератор. Можно иметь как минимум хоть как-то защищённый лэптоп с приличным 23-30 дюймов экраном защищённым от ПЭМИН и несанкционированного просмотра как по экрану так и по клавиатуре, кроме просмотра - если не вслепую печатать привыкли, полностью. Вес ориентировочно от 5кг с IP65 в пластике с медным экранированием простеньким с простеньким заземлением. Если полноценная искусственная земля требуется, работа буквально с колёс,скажем с заднего дивана легкового авто, вибронагрузки при работе высокие, то вес резко возрастёт, хотя и не так как обычно.

Отказ от кирин может быть помимо прессинга быть вызван американскии закладками на этапе проектирования - софт американский не был без закладок (ОС как минимум все) ещё до patriotic act/ Сервера IBM так могут пользоваться вдобавок ввиду более тесной интеграции с периферией ею как допустройствами получения информации как минимум. Т,е. если вы купили для ЦОД закрытого, банковского хранилища эту технику - вы попали. Если совсем всё жестко то эльки на древних техпроцессах и с аппаратными ништяками. Если не так сурово то они же но извне РФ. Применение ПО США и их союзников  недопустимо для проектирования ответственных систем в целом.

Аватар пользователя 3vs
3vs(1 год 1 месяц)(06:43:47 / 11-08-2020)

А у нас даже операционки своей нет, вся надежда на Касперского! smile1.gif

Когда будет Astra Windows?

astra-linux

В советские времена был тотальный дефицит и иногда приходилось спать на полу, потому что в магазинах не было даже кроватей. Сейчас в эпоху загнивающего капитализма всё есть, но государство в приказном порядке заставляет спать на полу. Проблема в том, что мы не делаем своих «кроватей», а в чужих могут скрываться подслушивающие устройства. По логике вещей надо бы всё-таки начать делать свои. Во всех случаях на хромой лошади экономику не поднимешь.

Для тех, кто не знает: Astra Linux – это устаревшая версия (5-и летней давности) почти свободно распространяющейся операционной системы Linux, в которую добавлено несколько программ. При этом они немного меняют интерфейс по типу всем известных ТЕМ для рабочих столов или смартфонов. Этот нехитрый конгломерат якобы проверен сотрудниками ФСО на предмет отсутствия в нем шпионских закладок, и данный фактор является основным для всех наших госучреждений – ведь в каждом управлении дворниками так много государственных тайн!

У нас как у программистов вызывает легкий антагонизм попытка загнать страну в каменный век. И тяжелый смех по поводу уверенности наших властей в том, что информацию с камней прочитать невозможно. В век сверхскоростного прогресса пытаться развивать технологии на рунах – мракобесие, мы так и до святой инквизиции дойдем, или дошли? Государственные органы России на законодательном уровне отлучены от всего нового – разрешено только хорошо проверенное соответствующими органами старое. И в общем-то в этой фразе звучит некий позитив, типа старое – надежнее. Но, к сожалению, это не так, все развивающиеся операционные системы, все антивирусы, любое ПО постоянно обновляется не только потому, чтобы дать людям новых функций, 90% новшеств – это устранение старых ошибок и защита от постоянно появляющихся угроз. И именно тот, кто не успевает бороться с нападением, обречен на поражение.

Ладно, допустим тот факт, что нарушить жизнедеятельность российской инфраструктуры и предприятий сложно – просто потому что они ни к чему не подключены. (Вообще, фраза достойна первого места на каком-нибудь юмористическом стендап-шоу.) Только почему постоянным диссонансом звучат все государственные тендеры? Какую закупку ни возьми, в техзаданиях огромный список интеллектуальных функций. Причем, российская специфика закупок отличается особенной изощренностью в требованиях сказочных возможностей. Попытка из булыжников сложить искусственный интеллект – редкостное безумие. Как говорил Жванецкий, может что-то в консерватории подправить?

Спецлаб, как и другие, перестроился под безусловное требование всех гостендеров, хочешь кушать – ваяй из того, что дают. Чтобы заставить новые видеотехнологии работать, приходится в свой софт включать все обновления для Линукс, которые накопились за последние 5 лет в этой операционке. Плюс добавлять массу других библиотек, не делающих ось надежнее и безопаснее. И это прокатывает, потому что там наверху волнует лишь сам процесс покупки Астралинукса. Кстати сказать, много кто пытался продавать свои версии Линукса, но быстро менял название, т.к. у операционной системы Linux, если кто-то еще не знает, есть свой хозяин. Нисколько не удивимся, что и Астралинукс проживет недолго.

А так можно и Astra Windows забацать, по сути, добавить туда свою оболочку – и получите новый продукт. Тексты Windows также хранятся и проверены в ФСО, поэтому нет никакой разницы. Лишь мы точно знаем, что деньги придется отчислять американцам, а не якобы русским в случае с Астралинуксом – поглубже копни, счета найдутся в тех же заграницах. Так может погреть руки на тупости и разгильдяйстве? Кто готов покупать российскую операционную систему Astra Windows? Вы спросите, что в ней русского? – А что русского в Astra Linux?

Источник:

https://www.goal.ru/security-systems-video/astra-linux-mazokhizm-ili-popytka-ostanovit-vremya/

Аватар пользователя ivod
ivod(2 года 1 месяц)(07:04:24 / 11-08-2020)

О!  Вы нашли друг друга. Не расставайтесь. 

Аватар пользователя ВладиславЛ

ОС Касперского не является даже полностью POSIX совместимой - там убраны элементы через которые может быть нарушена безопасность. Это UNIX- подобная ОС пропиетарная. с повышенными требованиями к безопасности - будет востребована безусловно от систем управления до сетевых устройств (где и нашла первую прописку), возможно серверов. Это ОС не для ПК, как я понял, а специализированная. Проблема с софтом очевидно будет. Думается с учётом разработчиков он будет вполне вменяемый для тех целей которые преследуется - прежде всего безопасность сетевой инфраструктуры и ЦОД определённых, например раздачи паролей.

Её бы с пропиетарным процессором +системами хранения скажем на голографии, полностью тут выполненых хотя бы на уровне 8С иметь  для работы - КАД, системы анализа и офис, системы хранения версий чертежей и прочей документации - было бы весьма ценно и такая рабочая станция запросто под миллион может стоить на 4 процессорах с приличной памятью и вышеуказанным на шнурке ещё лучше на салазках вынимаемых хранилищем данных.

Аватар пользователя 3vs
3vs(1 год 1 месяц)(07:38:05 / 11-08-2020)

Это ОС не для ПК, как я понял, а специализированная.

Так это пока, где-то пробегала информация, что есть задумка добавить ей оконный интерфейс, не помню где читал.

Было бы желание и заинтересованность государства!

Её бы с пропиетарным процессором +системами хранения скажем на голографии, полностью тут выполненых хотя бы на уровне 8С иметь 

Я думаю, там это всё уже закладывается.

Ребята из "Релэкс" https://relex.ru/ru/ говорили, что их СУБД Линтер интегрируют в эту операционку.

Но подробностей не сказали, все запросы, мол, к товарищу Касперскому...

В Омске ребята делают свои СХД на Эльбрусах:

Руководитель компании «Промобит» Максим Копосов рассказал о разработках компании из Омска — новых системах хранения данных BITBLAZE Syrius 8000 на самых мощных серийных российских 8-ядерных процессорах «Эльбрус-8С1», платах BITBLAZE омской разработки и еще одной новинке — программном обеспечение KFS, недавно созданном на предприятии.

"KFS — специализированное программное обеспечение для организации гибкого, надежного, масштабируемого распределенного хранения данных. Отличительными чертами продукта являются простота использования, надежность, легкость масштабирования, возможность совместной работы в одном кластере хранения систем архитектуры Эльбрус и x86. Последнее позволяет осуществлять плавный переход на российское оборудование на любом этапе жизненного цикла информационных систем, использующих данное хранилище. Решение подходит для организации хранения больших объемов информации: Big Data («Большие данные»), данных видеонаблюдения и видеопроизводства, данных медицинских, геофизических и иных видов исследований, данных цифровых фабрик будущего; для использования в облачных инфраструктурах ЦОД. Перечисленные особенности позволяют строить решения, отвечающие задачам национального проекта «Цифровая экономика», — прокомментировал Максим Копосов.

Источник:

https://pikabu.ru/story/v_omske_razrabotali_novyie_sistemyi_khraneniya_dannyikh_na_yelbrusakh_i_po_dlya_nikh_6665130

Cистемы Хранения Данных https://bitblaze.ru

 

Аватар пользователя ВладиславЛ

Сейчас говорить о суверенитете государства невозможно без суверенности и автохтонности элит и программно-аппаратных средств управления производственными процессами и критически важной инфраструктуры.

Так что интересная информация. Интересно когда компас добавят в полноценный пакет разработчика систем с моделированием и прочим? Решение весьма интересное для среднего и крупного производства. Для мелкого и SOHO придётся снижать стоимость минимально приемлемой рабочей станции до 200-250 тысяч рублей вместе с ПО - хотя бы с простым КАДом, системой анализа. Для профи на зарплате в 120-200тысяч в месяц и 800 тысяч рублей не критичная цена. Помнится как-то покупали и мне за 5К )по нынешним более 400 тысяч рублей) технику, я бы сказал начального уровня рабочку. Это ещё без софта стоящего дороже. Так что цена с софтом в 800к будет адекватной если возможности будут соответствовать цене и обеспечиваться требуемый уровень безопасности как рабочего места так и системы работы с документами, чертежами в рамках КБ или иной конторы в целом. 

 

Стоимость геофизических данных и особенно выводов на всего 1-3 листках А4 может превышать стоимость всего парка приборов и транспортных средств в десятки и сотни раз. Я это знаю, т.к. отец был и есть ведущим геологом, когда-то и совладельцем фирмы.  Воровство данных было и у меня и у него, потери в килограммы золотом эквивалента доходили. Так что безопастность это адекватно и актуально. От защищённых носителей до обработки информации. В одном из случаев сняли прямо с ноутбука дистанционно - он всего один раз воткнул флешку для того чтобы поправить доклад Заказчику. Также была утечка информации о моих разработках в гражданской области но могущих применяться как  двойное. Что всплыло в США. То что продаётся под видом защищённых от ПЭМИН - полное г.

Аватар пользователя eagleowl73
eagleowl73(4 года 11 месяцев)(15:29:25 / 11-08-2020)

Старые трушные безопасники всё бегают со своими пэминами как .. с писаной торбой. Какой идиот будет тырить данные таким сложным способом, когда есть варианты на порядки дешевле? Сейчас устройство без подключения к сети практически бесполезно. А будучи подключенным как раз и начинают работать программно\аппаратные дыры, через которые все и крадется. 

Аватар пользователя gridd
gridd(4 года 3 месяца)(08:36:51 / 11-08-2020)

POSIX - это международный стандарт на интерфейс, API, управление Unix-подобных систем. Отсутствие POSIX совместимости практически ни на что не влияет, кроме вопросов совместимости. Вряд ли Каспер делал свои ОС с нуля, как и все взял Linux за основу. а Linux с POSIX совместим, только не все версии сертификацию проходили, потому что им это нафиг не надо было.

Аватар пользователя ВладиславЛ

Не то что не линукс а даже не юникс. Вроде как. Сейчас три года как прошли можно о том говорить.

Аватар пользователя 3vs
3vs(1 год 1 месяц)(08:52:52 / 11-08-2020)

Вряд ли Каспер делал свои ОС с нуля, как и все взял Linux за основу.

Хрен Вам!

Били себя в грудя, что всё своё с нуля, без всяких заимствований!

 

Аватар пользователя beck
beck(5 лет 2 месяца)(10:08:59 / 11-08-2020)

Вряд ли Каспер делал свои ОС с нуля, как и все взял Linux за основу

В силу лицензии ядра линукса любой софт, на нем основанный, должен быть свободно открытым. GPL2 такой, знаете ли, копилефт... 

Аватар пользователя И-23
И-23(5 лет 2 недели)(10:21:19 / 11-08-2020)

Однако есть ещё BSD…

Аватар пользователя beck
beck(5 лет 2 месяца)(10:36:34 / 11-08-2020)

Ядро линукса под gpl2. Об нём шла речь. 

Но да, касперский мог взять ядро BSD. Как сделали в Континенте. 

Аватар пользователя eagleowl73
eagleowl73(4 года 11 месяцев)(15:31:54 / 11-08-2020)

А чем открытость мешает инфобезопасности? Тем, что покупать не будут? Нормальные люди все это давным давно обошли путем платной поддержки. 

Аватар пользователя И-23
И-23(5 лет 2 недели)(08:37:22 / 11-08-2020)

Стесняюсь спросить: «касперский» — это те профессионалы от информационной безопасности, что распространяют востребованные рыночком сказки о двухфакторной авторизации?
И это, особенно если дополнить многолетней неспособностью асилить *правильную* инструкцию по установке *продаваемых* поделий, собственно — приговор всем прочим потугам в области ИБ…

Аватар пользователя ВладиславЛ

Насколько понял разработчиков группа совсем сбоку где-то. И это хорошо.

Аватар пользователя blkpntr
blkpntr(4 года 10 месяцев)(13:32:46 / 11-08-2020)

Лаборатория Касперского на прошлом OS Day толкала доклад со слайдами на английском языке про то, что защищённость определяется не отсутствием дыр, а наличием стратегии по реакции на угрозы. Это всё, что нужно знать об их "надёжности". Ежу понятно, что конторе, которая специализируется на продаже антивирусов, не нужны системы без дыр.

И ещё вопрос, кто пишет новые вирусы для этих антивирусов. Как говорится, "кому выгодно?".

Аватар пользователя gridd
gridd(4 года 3 месяца)(17:14:40 / 11-08-2020)

Систем без дыр не существует. Касперы совершенно правильно говорят, что проблема не столько в дырах, сколько в механизмах противодействия взломам. Персонал должен понимать, что ему делать, если что-то пошло не так. 

А дыры часто бывают очень не очевидны. Heartbleed который случился 8 лет назад. Ошибка в реализации библиотеки с открытым кодом OpenSSL, на которую смотрели сотни тысяч человек и только один сказал: Постойте-ка, а ведь тут есть опасная ошибка. Все лихорадочно бросились затыкать дыру, потому что OpenSSL использовали все. Hewlett-Packard выпускал апдейты на iLO для серверов 10-15 летней давности, настолько это было серьезно. Остальные - IBM, Dell - аналогично.

И это был хороший камень в практику открытого ПО "миллионы глаз не пропустят ошибку". Мало иметь глаза надо иметь квалификацию, чтобы её заметить.

Аватар пользователя И-23
И-23(5 лет 2 недели)(20:43:35 / 11-08-2020)

А ещё «касперы» наверное тоже «правильно» говорят: наковыряйте дыр и уязвимостей, чтобы *проданное* (!) поделие смогло работать и тогда мы «защитим» вас. Видимо от следствий компромиссов для запуска их поделия.
Знание конечно дело полезное… Но тут, внезапно, *необходимы* навыки, слабо пересекающиеся с эксплуатацией зловреда.

Касаемо же Heartbleed я просто напомню куда более характерную, но совершенно не афишируемую историю с патчиком той же библиотечки в OpenBSD (!).

Про HP и iLO можно тоже очень много интересного рассказать.
В плане… особенностей реализации.

ЗЫ: Наличие квалификации не является достаточным условием.

ЗЗЫ: И расскажите о перспективах аналогичного аудита ППО.

Аватар пользователя gridd
gridd(4 года 3 месяца)(05:08:11 / 12-08-2020)

«касперы» наверное тоже «правильно» говорят: наковыряйте дыр и уязвимостей, чтобы *проданное* (!) поделие смогло работать и тогда мы «защитим» вас.

Что уж так однобоко? Не только касперы, но и остальные компании говорят: Если вы в курсе ваших дыр, то сообщите, в продукт добавим необходимые настройки и работать будет только лучше. Если не в курсе, давайте сделаем пен-тест. Это испытания приближенные к реальным, когда защитное ПО атакуется без причинения вреда, но известные дыры - вылазят. Пен-тест стоит денег, но иногда его делают бесплатно. Потому что результаты обычно такие, что волосы у безопасников предприятия становятся дыбом. Все результаты пентеста обсуждаемы.

Есть еще более пакостные вещи. Стоит себе производственная система управления, уже не новая, без контракта на сопровождение. Не патчилась пару тройку лет. Пентест показывает на ней наличие уязвимостей. Первая реакция обратиться к продавцам и производителю ПО. Пусть это будет, например, одна известная немецкая компания, а производитель через продавца отвечает, что исправлений под эту версию делаться не будет. Хотите исправлений? Купите новую версию, там эти уязвимости закрыты. Он при этом не говорит, какие добавились новые, потому что еще сам не знает.

Positive например на своих фаерволах для производств имеет практику использования, так называемых софт-патчей, которые закрывают вендорские дыры своими способами. 

Касаемо же Heartbleed я просто напомню куда более характерную, но совершенно не афишируемую историю с патчиком той же библиотечки в OpenBSD (!).

heartbleed вылез везде, его затыкали не только в OpenBSD.  Шума большого никто не устраивал, но кто надо быстро всё поняли. HP просто по тихому зарелизил критичное обновление, как обычно написав "при совпадении некоторых обстоятельств возможна компрометация пользовательских данных", первым признаком что что-то сильно пошло не так, был перечень затронутых серверов - практически вся линейка, включая очень старые, емнип, с Gen2 начиная.  

Сейчас на iLO свежие патчи висят, на Gen 10, тоже критические. Надо патчить. Описания тоже без больших подробностей.

Аватар пользователя И-23
И-23(5 лет 2 недели)(18:37:48 / 12-08-2020)

То есть по факту: сначала заплатите за *товар*, а потом ещё принести денежков (ибо деньги суть знак труда в специфической для человека форме) за доведение оного до ума.

Касаемо предлагаемой методики тестирования я бы Вам категорически рекомендовал зачитать руководство господина Фокса. Не забывая смотреть на время написания.

ЗЫ: Как последовательно Вы убегаете от знания поучительной истории OpenBSD.

ЗЗЫ: И вернитесь к руководству господина Фокса. Ибо механизмы распространения патчей тем же HP — это натурально прошлый век.
Отдельно могу напомнить впечатления реального пользователя… продукции HP.

Аватар пользователя gridd
gridd(4 года 3 месяца)(12:58:43 / 13-08-2020)

Можно заплатить денег за товар, получить лицензии, а также ПО из коробки. Настройку заказчик может делать самостоятельно, своими силами, только как показывает практика КПД такой работы - на уровне паровоза.

Проекты по информационной безопасности на больших предприятиях, в чем-то сходны с проектами по внедрению ERP там же - большой объем кастомизации. Либо оплачиваешь работу по внедрению стороннего подрядчика (не обязательно продавца ПО) и пользуешься продуктом с минимальными временными  затратами, либо делаешь всё сам, а значит это не будет нормально внедрено никогда. Проходили уже.

Меня мало интересует OpenBSD, я с ней работал на заре туманной юности, единожды настроив её как почтовый сервер для организации, на этом мой опыт с ней закончился, и на сегодняшний день он равен нулю. Какой из неё полезный опыт был - мне неведомо, да и не нужно. Можете рассказать, если это важно.

Можем с вами обменяться мнениями по продукции HP. Я также ее реальный пользователь. Сотни серверов через меня прошли, самых разных поколений. До сих пор эксплуатируем. В том числе и сетевое оборудование, и рабочие станции и печать. Есть за что поругать, есть за что похвалить. Всё как у всех.

Хотите поговорить об этом?

 

Аватар пользователя monk
monk(8 лет 7 месяцев)(11:53:10 / 15-08-2020)

Систем без дыр не существует.

Существуют. Только взаимодействие с внешним миром у них ограничено. На самом деле, если для любого внешнего запроса обработка пишется с учётом безопасности, то получается безопасная система. Например, таковой является qmail.

И это был хороший камень в практику открытого ПО "миллионы глаз не пропустят ошибку".

Разумеется. Для меня открытое ПО — это в первую очередь возможность модификации программы силами пользователя. Хоть Linux хоть 1С.

Аватар пользователя Medved075
Medved075(2 года 8 месяцев)(08:39:13 / 11-08-2020)

Надуем вашу лошадь за 25 грамм золота!:) будет как новая!

Аватар пользователя beck
beck(5 лет 2 месяца)(10:03:52 / 11-08-2020)

Какой-то лютый тяжёлый бред. 

Аватар пользователя Stiva
Stiva(8 лет 8 месяцев)(10:14:33 / 11-08-2020)

у нас даже операционки своей нет

Вы привели тут простынку от программистов, которые не разбираются ни в РД по защите информации, ни в практике защиты информации, ни в тендерах. Зато болеют за постоянные обновления и актуальность всего и вся. У меня старший сын этим в детстве переболел, когда с компьютерами работать научился - все бегал по устройствам и требовал немедленно обновить ПО и ОС до последней версии. Потому что реклама требует, чтобы все было наиновейшим!

То, что эти ребята написали, следует читать так: у России нет своей актуализированной ОС, то есть, ОС, отвечающей требованиям действующего рынка с лагом не более полугода. Ну да, нет. Это дорого и вне рамок маркетинга не актуально.

А свои ОС у нас есть. Это как раз те, что имеют сертификат. Да, их актуальность по меркам маркетологов и бегущих за ними программистов чудовищна, это годы. Но они имеют другую задачу: максимально уберегать информацию от внешнего воздействия.

Постоянное обновление ПО и ОС (да ещё от разных производителей) и защита информации, в настоящее время, противоречащие друг другу процессы.

Аватар пользователя 3vs
3vs(1 год 1 месяц)(12:40:22 / 11-08-2020)

Просто они пишут свои системы видеоаналитики с использованием ИИ и прочий софт систем безопасности.

Всё это работает под виндой.

Когда столкнулись с требованием использования  Astra Linux, вырвался крик души... smile1.gif

Вместо того, чтобы развивать функционал, ковыряние в софте, работающем через ж..

 

Аватар пользователя Stiva
Stiva(8 лет 8 месяцев)(12:54:31 / 11-08-2020)

Всё это работает под виндой.

Когда столкнулись с требованием использования  Astra Linux, вырвался крик души

Крик души, это понятно. Если я верно понял ситуацию, им придется программировать не только саму систему, но и движок под неё, потому что под Винду эти движки лепят промышленно, а под Астру их нет :) Возможно, они при этом также попали на деньги и сроки (если контракт уже есть и они плохо прочитали ТЗ перед подписанием).

Но это не отменяет того, что крик их пискляв из-за слабого владения РД по безопасности информации и вытекающих из них правилах и решениях. И потому что в тендерных процедурах они разбираются на уровне не выше "прочитал".

Аватар пользователя blkpntr
blkpntr(4 года 10 месяцев)(13:39:31 / 11-08-2020)

"Свои оси" у нас - QP ОС и Багет. Остальное - это перепилы американщины. И то, в этих своих осях нет своего компилятора (Криптософт начал для себя делать, но не доделал). А дыра в компиляторе - дыра во всей системе.

Аватар пользователя Stiva
Stiva(8 лет 8 месяцев)(13:41:37 / 11-08-2020)

Чей компилятор используют для ОС Эльбрус?

Аватар пользователя blkpntr
blkpntr(4 года 10 месяцев)(14:35:12 / 11-08-2020)

LCC с фронтендом от Edison Design Group.

Аватар пользователя И-23
И-23(5 лет 2 недели)(13:18:33 / 11-08-2020)

Видел я как-то процесс аудита товарного (!) *сертифицированного* (!!!) решения СКЗИ под самую распространённую ОС…

Хотя стремление к абстракции от скучной рутины и восходит к истокам второй сигнальной…
Но не надо набрасывать (напоминаю, что под набросом понимается постулирование желаемого).

Аватар пользователя Хмурый ослик

Понятия "Устареший Линукс" - просто не может существовать в природе.

Аватар пользователя laa
laa(1 год 3 месяца)(22:09:08 / 11-08-2020)

Вы себя скомпрометировали перепостом глупостей про Астру.

Аватар пользователя 3vs
3vs(1 год 1 месяц)(22:14:56 / 11-08-2020)

А в чём глупости, в чём автор статьи не прав?

Аватар пользователя старый пень
Аватар пользователя krabus
krabus(4 года 1 месяц)(06:27:40 / 11-08-2020)

Надеюсь, китайчики отказались от Кирин с целью внедрить что-то куда более продвинутой, защищённом от любопытных глаз и ушей пиндосов. Так сказать, отказ от пиндосских технологий на более "низкоуровневом" этапе выпуска устройств. 

Аватар пользователя ВладиславЛ

У них есть для офисных и приличных ноутов на MIPS 64:

https://overclockers.ru/hardnews/show/94640/provedeno-sravnitelnoe-testi...

Думается будут занимать ту же нишу что Cyrix с 6х86 в 1995-96 годах. Бюджетно и вполне производительно для ПК и отчасти ноутбуков а вот для даже тонких ноутбуков и планшетов придётся браться лицензирование и вкладываться в разработки по Эльбрусам. Это точно надёжнее. Восточный момент украсть тут не прокатит - Хуавэй несколько лет назад застукали на промшпионаже в ИПС Алаймазяна. Так что не парясь пусть платят непосредственно разработчикам и будет хорошо и нам и им. В РФ пойти сможет хотя бы для 7нм технология. 
 

Аватар пользователя Remchik
Remchik(8 лет 7 месяцев)(06:29:33 / 11-08-2020)

Смешат эти потуги сделать приличное лицо - называя словом "уязвимости" обнаруживаемый функционал в заведомо продуманной под шпионаж архитектуре.

Аватар пользователя ВладиславЛ

Безусловно - если вам доороги ваши данные не берите процессора США и их союзников - вашими данными будут торговать как те же поисковые системы делают и ОСи. Постоянно сталкиваюсь с предложениями даже если в поисковый их не вбивал. Т.е. следит браузер и/или ОС.

Аватар пользователя sheridans
sheridans(3 года 5 месяцев)(09:47:20 / 11-08-2020)

Интересуюсь моментом. Я пенсионэр,имею одну карту сбера с суммой на покупки в пределах 6-7 т.р. Кому нужны мои персональные данные? Имею ноутбук - вопрос прежний.  А ведь таких пенсов в стране миллионы.

Аватар пользователя Тех Алекс

Сбебанк онлайн со всеми вкладами. Таких то же миллионы, а если война и экономические диверсии как метод ведения?

Аватар пользователя sheridans
sheridans(3 года 5 месяцев)(11:59:24 / 11-08-2020)

Ответ не полный. СБ-онлайн у меня нет.

Аватар пользователя Тех Алекс

Наслаждайтесь, пока медкарточки не ввели. Вам хотелось бы иметь медкарту с доступом Микрософта? С возможностью правки оной и удаления из за окияна? Свое должно быть!

Аватар пользователя dog97
dog97(6 лет 1 месяц)(11:11:04 / 11-08-2020)

Речь не о нас. А Вам нужно МИР заводить для получения пенсии. Вроде с октября только на неё. Я уже оформил переброс с Визы на Мир на онлайн ПФР. Этой картой в инете не свечу. Когда надо, перевожу бабки на Визу (доп. Виза у жены) Удобно. :)

Аватар пользователя sheridans
sheridans(3 года 5 месяцев)(12:03:48 / 11-08-2020)

Пенсия приходит в СБ на книжку (аж с 1989г), снимаю нал и часть кладу на карту Мир. Чем не вариант? Карту для пенсии не обязывают пока,,только новым пенсам обязом.

Аватар пользователя Ya
Ya(5 лет 2 месяца)(11:22:02 / 11-08-2020)

Это смотря где работал до пенсии. А может родственники, друзья, знакомые в интересных местах работают.

Аватар пользователя sheridans
sheridans(3 года 5 месяцев)(12:06:21 / 11-08-2020)

Минобороны СССР.

Аватар пользователя Huch
Huch(8 лет 6 дней)(06:40:07 / 11-08-2020)

т.е. никого не беспокоит, что на чипе собственно процессор и выполняемая на нем операционная система гости? что при подаче питания стартует сначала графическое ядро со своей собственной операционкой и только потом под ее контролем запускается все остальное? что в отличии от основной оси этот код  контролируется только разработчиком железа.

никого не беспокоит существование наглухо закрытого кода загрузчика trusted zone, который также контролирует все операции в системе?

Аватар пользователя СибВатник
СибВатник(4 года 1 неделя)(06:46:15 / 11-08-2020)

т.е. никого не беспокоит

Вы от кого именно ожидаете беспокойства ?

От обычных домохозяек и обычных обывателей ?

Им вообще пофигу - их никто специально отслеживать и направленно собирать на них данные  не станет.

Про специалистов ? Беспокоит. вероятно, но какую именно реакцию от них ожидаете ? Что прибегут на АШ с воплями что ли ?

Страницы