Xakep #305. Многошаговые SQL-инъекции
На этой неделе в блоге Совета по международным отношениям (Council on Foreign Relations, CFR) была опубликована статья, посвященная импортозамещению в РФ. Ее автор призвал использовать разведку по открытым источникам для изучения защищенности Astra Linux, на что вскоре отреагировали представители «Группы Астра».
CFR позиционирует себя как независимую организацию в сфере международных связей, а в состав ее совета директоров входят бывшие разведчики, журналисты и представители деловых кругов (К примеру, финансовый директор Alphabet).
Автором текста, посвященного импортозамещению в России и усиливающемуся влиянию китайских технологий, выступил некий Джастин Шерман (Justin Sherman), при этом отмечается, что это «приглашенный автор».
Внимание российских СМИ привлекла та часть текста, где Шерман предлагает США и их партнерам использовать разведку по открытым источникам (open source intelligence, OSINT) для анализа происходящего на российском рынке. К примеру, предлагается изучать информацию с российских киберконференций, а также государственные контракты и партнерства.
Отдельное внимание Шерман уделил операционной системе Astra Linux, он пишет:
«Аналитики в Соединенных Штатах и странах-партнерах должны использовать данные из открытых источников, чтобы понять, как Россия внедряет такие технологии, как операционная система Astra Linux. Astra Linux широко применяется в российских военных и разведывательных системах, что, вероятно, создает уязвимости, которые могут использоваться в широких масштабах. Кроме того, это адаптированная и (предположительно) усиленная версия ОС с открытым исходным кодом. При переходе на китайские и отечественные продукты Россия теряет доступ к талантам в области ИБ из США, Западной Европе, Японии и других стран. Вероятно, разработчики Astra Linux имеют меньше возможностей для тестирования и защиты своего кода за счет широкой аудитории. Для Соединенных Штатов и их союзников это может стать сферой, где они смогут получить преимущество в киберпространстве».
После того как эта публикация CFR привлекла внимание СМИ, представители «Группы Астра» опубликовали официальный ответ, в котором сообщили, что «призывы со стороны иностранных агитационных ресурсов в очередной раз подтвердили верность нашей бизнес-стратегии, ориентированной в первую очередь на создание безопасных решений, усиленных собственными средствами защиты информации».
«Информационная безопасность зашита в ДНК “Астры” — это наш ключевой приоритет. Он не определяется геополитической конъюнктурой: мы занимаемся вопросами защищенности своих продуктов постоянно, чтобы отвечать высоким требованиям регуляторов и клиентов.
Но в текущих реалиях, когда число кибератак на российскую критическую инфраструктуру кратно возросло, мы продолжим развивать и усиливать наши технологии защиты, укреплять внутреннюю инфраструктуру безопасной разработки, а также инструментарий проверки и анализа кода.
“Группа Астра” располагает достаточными ресурсами для тестирования кода, оперативного устранения уязвимостей, уделяет большое внимание таким технологиям, как мандатное разграничение доступа и контроль целостности, замкнутая программная среда и другим средствам защиты. Мы плотно взаимодействуем с центром безопасности ядра Linux Института системного программирования РАН. Год назад мы запустили программу Bug Bounty, которая позволяет выявлять и оперативно устранять слабые места в наших средствах защиты информации.
В связи со сложившейся международной обстановкой также усилены меры по выявлению вредоносных включений в программное обеспечение, проводится дополнительный антивирусный контроль с применением нескольких специализированных средств», — гласит заявление.
Также подчеркивается, что российские регуляторы, «осознавая важность информационной безопасности и технологического суверенитета», накладывают жесткие требования на разработчиков средств защиты информации.
«В частности, это касается процессов разработки безопасного программного обеспечения и оперативного устранения уязвимостей. Приоритеты в сфере информационной безопасности (ИБ) у бизнеса и государства совпадают, во многом благодаря усилиям Федеральной службы по техническому и экспортному контролю (ФСТЭК России), которая существенно модернизировала требования к ИБ компаний и лидирует направление в области разработки безопасного программного обеспечения. ОС Astra Linux сертифицирована ФСТЭК России по первому уровню доверия и классу защиты. Это подтверждает высокие результаты нашей деятельности по обеспечению ИБ», — пояснили в «Группе Астра».
В конце представители компании напомнили, что защищенность ИТ-инфраструктуры зависит от всего комплекса средств ИБ, который применяется в организации (а не только в ОС), а также от того, насколько эти продукты интегрированы и усиливают друг друга.
«Поэтому со своей стороны “Группа Астра” настоятельно рекомендует заказчикам использовать весь комплекс средств защиты информации, необходимый для защиты информации с учетом конкретной модели угроз, правильно выбирать режимы функционирования, внимательно следовать рекомендациям и методическим инструкциям по настройке безопасности средств защиты информации, в том числе ОС Astra Linux, и своевременно применять обновления, направленные на устранение потенциальных уязвимостей», — резюмируют в компании.