БагБаунти с АстраЛинукс или то, что нужно знать о защищённости защищённой ОС

Подожду версию для Ъ.

Responsible Design - не, не слыхали

Я сходил, как дурак, а там хабр. Кг/ам, воды, по-хабровски, как в Тихом океане: «иншалла, машалла» — 99%, как подходит к интересному — 0 содержательности, а то, что Астра — треш и угар и так все знают.

Ну ладно, ладно, не в том контексте находился, слово перепутал. Так даже прикольнее)

Дополниетльные

Ты бы блин хотя бы спеллчеком пришёлся.

P.S. Full Disclosure FTW

Разработка флагманского продукта, ОС семейства Astra Linux , ведется с 2008 года.

Я примерно в то же время устанавливал Астру у себя
Это же была целая эпоха
Я думал, оно умерло :-)
А оно оказывается вполне себе - в штате Астры 1000 разработчиков

А разработчикам ядра они выплатили лицензионное вознаграждение?

А что думаете о защищённости OpenBSD в смысле соответствия уровня защищённости своей документации?

Подходит ли для безопасного интернет роутера, шлюза, пограничного bastion-host и безопасной консоли для работы с удалёнными серверами через SSH+PKCS11 ?

На сегодня в штате компании более 1000 высококвалифицированных разработчиков

А патчи принятые хоть куда-нибудь от этих 1000 человек покажете? Или хотя бы код на гитхубе.

ТСу заплатили.

Из статьи не понял претензию. Ребята организовали бб, платят за найденое. Не всем подряд, а вдумчиво. Видно, что стараются. Может не все гладко, но механизм вполне работоспособный у них. Со временем и качество бб вырастет, и сам продукт.

Имхо, странная статья. По факту уязвимостей выплаты были, да не по всем, но там вроде по всем фактам отписались. Используют уязвимые продукты - но так для выявления уязвимостей мероприятие и проводилось.

ТСу заплатили

… не всё, потому и статья 🤡

//пофиксил во имя луны :)

не всё

Это только ТС так считает, а Астра нет. Так что это оценочное суждение недостойное Ъ.

я прочитал статью, прочитал комментарии там, соотнес со своим опытом взаимодействия с данной конторой и пришел к (субъективному) выводу, что астра пожалела о публичном баг баунти и судорожно ищет рычаг коробки передач, чтобы дать заднюю )

КГ/АМ

«Нэ цшиталъ, но асуждайу».

Они могут еще и заяву накатать. Я зарекся с отечественными барыгами «работать» - только в черную (теперь со всеми так)

В следующий раз будет объявлять на короткий период типа несколько дней, а кул хацерам советую проставлять юридически значимые метки времени на их дистрах, условиях участия и почте в КриптоПро.

Кооператив Алмаз - проверка ваших глаз, кто застал 90е.

Responsible Disclosure в данном случае)

Со временем и качество бб вырастет, и сам продукт.

Ну да, 15 лет разработки для такого продукта не срок. Со временем станет более лучше.

Как мне кажется, оснований накатать по мотивам моей публикации у них быть не должно.

баг

баунти

хантинг

Это точно российская ОС?

Разве ось с американским systemD может быть нероссийской? Глупые вопросы задаешь.

Да хоть сотня лет. Если они раньше в режиме выживания жили, очевидно не могли развернуться. Сейчас рынок изменился. Резко вырос спрос на их продукт. Очевидно, модель разработки поменялась и теперь вкладываются в качество. Странно видеть претензии в их адрес. Лично для меня - ребята молодцы.

Разве ось с американским systemD может быть нероссийской? Глупые вопросы задаешь.

systemd немецкий.

А что тебе не нравится? Быстрые 160к. Не пойму чем ты недоволен.

И кстати, использование digsig в вики описано. Но ты не читал)

Зато с уверенностью осуждаю!

Да ну это разве деньги, был бы вопрос ради денег…

Давно RedHat и Microsoft стали немецкими?

Давно RedHat и <…> стали немецкими?

Давно. У них офисы разработки в Европе: в основном Германия и Чехия (Брно, там где Шомочка живёт). Поцтеринг сотоварищи делал systemd из Германии. В Чехию они в середине 2000х заехали, вроде как.

В конечном счёте всегда всё ради денег было =)

Другое дело зачем искать баги за три копейки в этой (кому она нафиг нужна?) Астре, если есть другие векторы, где платят по-человечески и нет зависших на месяца тикетов.

Так речь не про место изготовления, а про прописку правообладателя и организатора мод (кто пишет roadmap).

тлдр: скрипт-кидди обиделся

Так речь не про место изготовления, а про прописку правообладателя и организатора мод (кто пишет roadmap).

Работодатель прописан в какой-нибудь Ирландии для ухода от налогов. Организаторы сидят в США и Германии. Быдлокодеры – в Чехии. Добро пожаловать в будни транснациональной копрорации.

Но вообще, systemd был запилен и продвинут изначально поцтерингом во многом в одно рыло, так что он таки немецкий.

Программы БагБаунти - не мой профиль, интересно было просто попробовать.

Мне довелось потыкать такую, шелл да работает прекрасно, даже если перекрутить все настройки безопасности на максимум. Потому как внутрях там дебиано-убунта со всеми проблемами убунты в области ИБ (включая переменную path и особенности работы с ним), где только ту часть что про мандатный доступ elf файлов поменяли. Все остальные проблемы общие.

Предлагается поискать дефекты в механизмах защиты которые, по-видимому, являются продуктом жизнедеятельности коллектива «высококвалифицированных разработчиков».

Подобные фразы звучат так, как будто вы изначально были предвзяты. Мне кажется нужно подключать сарказм уже после того, как выяснится что есть за что, а начинать статью «нормально».

ФСТЭК и сертификация это сразу повод ожидать много лулзов.

А OpenBSD ?

А разработчикам ядра они выплатили лицензионное вознаграждение?

Не понимаю, что смешного в этом сообщении.

В GPL лицензии предписана «оплата» (компенсация) лицензии предоставлением лицензиатам сорцов модифицированного форка ядра на тех же условиях, что и оригинальная GPL, т.е. БЕЗ запретов таким лицензиатам на дальнейшее распространение сорцов ядра кому угодно, даже при желании размещению в паблик (в т.ч. для изучения и по возможности аудита всеми желающими). А условия лицензии Астра выглядят совершенно иначе.

Кроме того нарушение условий GPL в таком ответственном случае может привести к дополнительным необнаруженным уязвимостям в ядре, что может негативно отразиться на безопасности информационных систем в т.ч. и других лицензиатов.

Видимо, количество опенсорс проектов прямопропорционально развитию айти в общем. Из немецких и не слишком нишевых приходит на ум только SuSE, knoppix и U-Boot. Из неопенсорс даже антивируса своего нет.

Они могут еще и заяву накатать.

IMHO этим и закончится. Было уже такое. Не буду упоминать названий, одна окологосконтора софтварная решила поискать уязвимостей в своём продукте, объявила конкурс с наградами, уязвимостей нашли чот многовато как то, контора решила не платить и на всех причастных накатала заявления.

Если на счёт «не заплатили» потому что у них в джайре уже висит что-то. Это они просто держат пенн-тестеров за хомячков за 5 руб пучок. С другой стороны, если сотня тестеров найдут один и тот же путь атаки, что им, всем ста премию давать? Глупо как-то. Такие вещи надо прописывать в договоре.

Из неопенсорс даже антивируса своего нет.

Avira жеж.

Но тут то заплатили и даже не совсем мало.

Да оплатили там ТС, и написано, что платят не всем, а первому нашедшему.

Это кстати не означает что заявления не будет.

ИМХО за сами действия не будет - так как они приняли работы и даже оплатили, а вот за статью может - так как там предвзятость автора дюже торчит и не ясно, что там с возможностью публикаций.