Министерство обороны РФ начало переводить служебные компьютеры на Astra Linux SE

Читай внимательно, что написано.

Читаю. Cogniter написал:

Если иностранные шпионы имеют физический доступ к защищённой машине?

tailgunner ответил:

Почему физический? Терминала с ssh хватит.

Данную фразу можно толковать единственным образом: физического доступа к защищенной машине нет, некий терминал имеет к ней доступ по ssh. Если некий терминал не входит в состав объекта информатизации (т.е. выполняется условие отсутствия физического доступа к СВТ), то его связь с СВТ объекта - это нарушение всего и вся. Т.е. такого в принципе быть не может. Если некий терминал входит в состав объекта информатизации, то наличие доступа к нему фактически и представляет собой физический доступ к СВТ объекта. Таким образом, процитированный ответ сам по себе противоречив как бы его не толковали. Одно из двух: вы либо не разбираетесь в обсуждаемом вопросе, либо не можете изложить свои мысли ясно и понятно. В данной ситуации заявление типа:

Не приписывай мне своей глупости.

выглядит, как попытка перейти на личности за неимением реальных аргументов по сути вопроса.

Данную фразу можно толковать единственным образом: физического доступа к защищенной машине нет, некий терминал имеет к ней доступ по ssh.

Данную фразу нужно толковать так: «для эксплуатации уязвимости подойдет люой терминал, с которого можно запустить свой код, локальный или удаленный». Извини, что не объяснил тебе этого сразу.

выглядит, как попытка перейти на личности

Выглядит как ответ в том стиле, который выбрал оппонент.

Забей на него. Я слежу проследил его ветку сообщений и могу авторитетно заявить, что у этого человека много свободного времени и мало знаний по области, что он старательно пытается спрятать мутными, короткими и невнятными ответами, пытаясь запутать собеседника и придать своей персоне более важный вид.

Вы говорите, что хорошо разбираетесь в средствах защиты гостайны и не используете Астру. Расскажите, а какую правильную операционную систему вы при этом используете для защиты гостайны, если это не Астра?

Вы говорите, что хорошо разбираетесь в средствах защиты гостайны и не используете Астру.

Я кое-что знаю о средствах защиты, но моя работа - встроенные системы. Которые, похоже, Астра отдала на откуп QNX.

Данную фразу нужно толковать так: «для эксплуатации уязвимости подойдет люой терминал, с которого можно запустить свой код, локальный или удаленный». Извини, что не объяснил тебе этого сразу.

Да её как не трактуй, все равно ничего не получается. В любом случае для того, чтобы запустить свой код необходимо иметь физический доступ к СВТ и возможность внести этот код в программную среду. Правильная реализация мер, направленных на защиту ССГТ (в соответствии с нормативами), сводит риск несанкционированного получения таких возможностей к приемлемо минимальному значению. Благодаря наличию орг.-тех. мер и прог.-тех. мер внесение какого-то нового программного кода может быть осуществлено только доверенными лицами с соответствующей переаттестацией объекта и пр. и пр. Таким образом, не откуда там взяться какому-то коду, который мог бы реализовать meltdown. Да пропатчить ядро не мешало бы. Но в данной ситуации это может и потерпеть до следующей переаттестации/продления аттестации и т.п.

Данную фразу нужно толковать так: «для эксплуатации уязвимости подойдет люой терминал, с которого можно запустить свой код, локальный или удаленный». Извини, что не объяснил тебе этого сразу.

Да её как не трактуй, все равно ничего не получается.

Ну нет так нет. Зря Astra тратит свое время на патч Meltdown.

Я считаю, что доступ есть. «Обычно» или нет, сетевой или физический - неважно. Штатный это доступ, или по халатности, или через дыры - опять же неважно.

Ну нет так нет. Зря Astra тратит свое время на патч Meltdown.

В который раз вижу корреляцию между компетентностью в вопросах ИБ и максимализмом по отношению к безопасности.

В который раз вижу корреляцию между компетентностью в вопросах ИБ и максимализмом по отношению к безопасности.

Тогда продемонстрируй взвешенный подход. Скажи, нужно ли патчить Meltdown в Astra? Почему?

Я за него скажу (повторюсь). Они очистку оперативной памяти не реализовали, поэтому нужно.

Они очистку оперативной памяти не реализовали

Очистку памяти при mmap(MAP_ANONYMOUS)?

Мне без разницы как это должны были сделать. Такое требование (затирать остаточную информацию) есть для СВТ3+, значит должны были сделать.

Я спросил не «как», а «когда». Система обнуляет память от mmap(MAP_ANONYMOUS) сама, Astra не нужно ничего делать. Если ты говоришь об обнулении памяти от malloc, то так и скажи.