Российский производитель инфраструктурного программного обеспечения ПАО «Группа Астра» сообщил о выходе новой версии своего флагманского продукта — операционной системы Astra Linux восьмого поколения. Новая версия ОС Astra Linux основана на пакетной базе Debian 12 (Bookworm), стабильном открытом дистрибутиве с длительной поддержкой, что позволяет использовать актуальные приложения и библиотеки.

Обновлена структура репозиториев Astra Linux, которые разделили на два репозитория — Main и Extended. Main включает в себя компоненты, прошедшие полный цикл сертификации, а Extended содержит средства разработки и пакеты для сборки Main-репозитория вместе с дополнительными прикладными и системными пакетами. Новинка предлагает расширенные возможности для разработчиков и системных администраторов, в том числе улучшенное сопровождение виртуализации и контейнеризации. А новые функции и обновлённые драйверы позволяют пользователям более эффективно использовать аппаратные ресурсы.

Источник изображений: «Группа Астра»

Благодаря режиму Live CD можно ознакомиться и оценить новую ОС до её установки. При этом процесс обновления Astra Linux 1.7 до версии 1.8 теперь автоматизирован. Домашняя папка пользователя сохраняется, позволяя при возникновении ошибки обновления «откатить» процесс к предыдущей версии. Новинка также получила обновлённый инсталлятор, который упрощает процесс развёртывания, собирая все необходимые параметры в одном окне и позволяя выполнить установку в один клик.

Как сообщает компания, в ОС Astra Linux 1.8 используются Linux-ядра версий 6.x, причём доступны две ветки — на базе ядра Linux 6.1 (с долговременной поддержкой), доработанного с учётом результатов исследований ИСП РАН, которое будет обновляться на протяжении всего жизненного цикла ОС, а также на базе последней версии (latest) 6.6 (с кратковременной поддержкой). Версия ядра Linux 6.1 предназначена для пользователей, ориентированных на стабильную работу и информационную безопасность. ИСП РАН под руководством ФСТЭК России совместно с консорциумом разработчиков осуществляет поиск и устранение уязвимостей в коде, формируя набор безопасных ядер.

Astra Linux 1.8 предлагает готовые рекомендованные профили настройки средств защиты информации (СЗИ) для различных сценариев использования. Достаточно указать нужный профиль и необходимые настройки будут автоматически приведены в соответствие с требованиями по защищённости системы. Ранее для этого требовалась ручная настройка. А в целях реализации ограничения программной среды (динамического контроля целостности ПО) теперь можно использовать сертифицированное СКЗИ КриптоПро CSP и сертификаты ключей проверки цифровой подписи, выпущенные удостоверяющим центром.

Как и предыдущие версии, Astra Linux 8-го поколения предназначена для обработки и защиты любой информации ограниченного доступа. Astra Linux 1.8 успешно прошла комплекс испытаний в системе сертификации СЗИ ФСТЭК России по первому, самому высокому уровню доверия. Astra Linux 1.8 имеет сертификат ФСТЭК России, подтверждающий её соответствие требованиям по безопасности информации, предъявляемым сразу к нескольким видам СЗИ: к ОС, средствам виртуализации и контейнеризации, а также СУБД — по 1 классу защиты.

Наконец, в релизе 1.8 появился новый визуальный стиль Astra Proxima. При этом сохранён привычный пользовательский опыт, обеспечивая плавный переход от предыдущих версий Astra Linux. Отмечено, что Astra Proxima был разработан с учётом последних тенденций в области UI/UX . Новый стиль применяется во всех компонентах Astra Linux 1.8, обеспечивая целостность и гармоничность визуального оформления. Также в обновлённой версии ОС Astra Linux используется звуковая тема под названием «Звёздный минимализм», созданная при участии «Роскосмоса» из «голосов» реальных космических объектов.

Вскоре после недавнего массового сбоя ПК на Windows, произошедшего по вине компании CrowdStrike, в австралийском подразделении консалтингового бизнеса Grant Thornton нашли удобный способ быстро избавиться от «синих экранов смерти» (BSOD). The Register сообщает, что один из технических специалистов компании вовремя вспомнил о том, что самые простые сканеры штрихкодов воспринимаются ПК как клавиатуры.

Источник изображения: Grant Thornton

Это совершенно бесполезное на первый взгляд знание приобрело большое значение, когда в компании попытались найти решение проблемы, созданной CrowdStrike. В австралийском филиале Grant Thornton в цикл бесконечной перезагрузки отправились сотни ПК и не менее ста серверов. При этом все они были защищены с помощью BitLocker, поэтому в процессе восстановления требовался ввод 48-символьного ключа для расшифровки раздела.

Если работу серверов удалось восстановить вручную, то для ПК пришлось придумать инструмент автоматизации. Открыто рассылать ключи для BitLocker было бы слишком рискованно, да и зачитывать их по телефону или диктовать лично весьма затруднительно. Поэтому в компании сконвертировали ключи в штрихкоды, которые можно мгновенно отсканировать с экрана ноутбука администратора.

Источник изображения: PublicDomainPictures/unsplash.com

В результате все ПК заработали уже к обеду, на починку каждого из них ушло 3–5 минут, тогда как в случае серверов на ручное восстановление уходило по 20 минут. В Grant Thornton сожалеют лишь о том, что не догадались сразу использовать QR-коды, тогда зашифровать в них можно было бы больше данных, полностью автоматизировав процесс восстановления. Впрочем, в компании и без того в восторге, что отделались малой кровью в сравнении с другими бизнесами.

Масштабный сбой стал последствием выпуска некорректного обновления системы защиты CrowdStrike. В самой Microsoft первопричиной недавнего масштабного сбоя назвали вынужденное соглашение 2009 года с Евросоюзом, согласно которому разработчикам защитных программ обеспечили низкоуровневый доступ к операционным системам Windows. В CrowdStrike признали собственную вину и сослались на баг в программе тестирования собственных апдейтов.

Редакция со своей стороны желает системным администраторам никогда не сталкиваться с такими проблемами.

Инженерные и архитектурные решения в обеспечении безопасности операционных систем обсуждали в Москве на XI научно-практической конференции OS DAY 2024. Более 700 представителей российской ИТ-отрасли из разных регионов России и постсоветского пространства принимали участие в обсуждениях и выступали с докладами в зале РЭУ имени Г.В. Плеханова, слушали выступления онлайн.

Организатором конференции традиционно выступил консорциум ведущих российских вендоров операционных систем в составе ИСП РАН, НИЦ «Институт имени Н.Е. Жуковского», «Лаборатории Касперского», компаний НТП «Криптософт», «Открытая мобильная платформа», Группа Астра, «Базальт СПО», РЕД СОФТ и НТЦ ИТ РОСА. И разумеется, что обсуждались на OS DAY 2024 вопросы, важные для всего сектора системного программирования.

Источник изображений: OS DAY

Речь шла о различных подходах к построению безопасной архитектуры операционных систем и преимуществах разных подходов к их созданию — на основе закрытого кода и с использованием Open Source, — о применении принципа secure-by-design, автоматизации процессов анализа безопасности, инструментах доверенной разработки и доверенной загрузки, анализа кода, мониторинга и диагностики. Прозвучало несколько докладов об отечественных операционных системах для мобильных устройств.

Отдельное выступление было посвящено разработке нового национального стандарта «Доверенная среда исполнения», а в ходе круглого стола «Национальные стандарты по разработке безопасного программного обеспечения» состоялось бурное обсуждение перспектив внедрения разработанного представителями ИТ-отрасли совместно с государственными регуляторами ГОСТ Р 56939 «Защита информации. Разработка безопасного программного обеспечения. Общие требования». Этот документ, стандартизирующий даже не программные продукты, а процессы их разработки, должен вступить в действие до конца текущего года. А стандартизация и сертификация процессов призвана обеспечить более высокое качество исходного кода, усилить безопасность системного ПО.

Однако даже этот подход ещё не гарантирует создания кибериммунной операционной системы. Конечно, руководитель управления перспективных технологий «Лаборатории Касперского» Андрей Духвалов сказал на открытии конференции, что настала пора перейти с наложенных средств — антивирусов, фаейрволов, анти-DDoSа и множества других подобных технологий, которые не в полной мере могут защитить ОС, к системному подходу в разработке доверенного ПО, не требующего дополнительных средств безопасности.

«Такой переход не произойдёт ещё долго, — подтвердил Олег Шапошников, начальник отдела ИБ компании РЕД СОФТ. — Код, который сегодня разрабатывается человеком, несовершенен, и какие бы защитные меры не принимались, как бы этот код не исследовался, он уязвим к ошибкам разного рода. А ошибки приводят к появлению и уязвимостей, и угроз безопасности. Поэтому полностью исключить пусть иногда даже взаимно дублирующие средства не получится: там, где не сработает одно, поможет другое».

«Внешние системы безопасности и безопасность на уровне кода не исключают друг друга, а дополняют, — подчеркнул Арутюн Аветисян, директор ИСП РАН. — Переход идёт не от внешних систем безопасности к безопасности на уровне кода, а от полного игнорирования безопасности на уровне кода к формированию более адекватной позиции. Сейчас этот переход далёк от завершения, большинство разработчиков все еще воспринимает безопасность на уровне кода просто как требование регуляторов».

«Даже самый совершенный антивирус может не обнаружить какие-то вредоносные программы, — отметил Алексей Киселев, руководитель направления разработки операционных систем, РОСА. — Поэтому исходный код нужно подвергать статическому анализу, проверять его на наличие ошибок и уязвимостей. В принципе, для продуктов, которые готовятся к сертификации во ФСТЭК, такой анализ обязателен. Мы его также проходим. Например, у нас в сборочную систему встроен анализатор, который при сборке пакета проводит анализ исходного кода».

«Сегодня необходимо не только внедрение подобных практик в создание программного обеспечения, — уточнил Роман Мылицын, руководитель отдела перспективных исследований и специальных проектов Группы Астра, — но и развитие инструментов безопасной разработки, статического и динамического анализа кода, композиционного анализа и контроля цепочек поставки. Отечественные компании находятся на стадии внедрения таких инструментов, а мы ожидаем рост спроса на услуги в этой области».

«Обеспечение безопасности ОС — непрерывный динамический процесс, — подчеркнул Алексей Новодворский, советник генерального директора компании «Базальт СПО». — Практически каждая новая версия программы закрывает одни уязвимости и может внести другие. Старые версии со временем перестают поддерживаться апстримом, и вся сложность контроля за их безопасностью ложится на вендора. Защищённость ОС требует его высокой квалификации и немалых ресурсов».

Судя по всему, новый национальный стандарт, обсуждавшийся на круглом столе, неизбежно вынудит разработчиков системного программного обеспечения тратить ресурсов еще больше. Нововведение подразумевает разный объем инвестиций для разных компаний, в зависимости от того, какой объем кода им предстоит анализировать, чтобы соответствовать выдвигаемым требованиям.

Есть компании, у которых огромные продукты с миллионами строк кода, в том числе и заимствованного. Соблюдение рамок нового ГОСТа потребует соответствующих значительных вложений. Это неминуемо приведёт к тому, что на рынке окажется меньше игроков, которые смогут действительно «потянуть» выдвинутые требования, сформируется ограниченный пул компаний, способных создавать сертифицированное ПО для государственного сектора. Это усилит конкуренцию и приведёт к росту качества программных продуктов.

Мало того, как показывают последние события, например, глобальный сбой ОС Windows, ударивший и по конечным пользователям, и по критичной инфраструктуре в большинстве стран мира, введение подобных «рамок» для разработчиков ОС позволит усилить безопасность программных продуктов. Будь они проприетарными или созданными на базе Open Source.

Насколько верным окажется этот прогноз, можно будет узнать из первых уст следующим летом, на XII конференции OS DAY. Ее организаторы планируют, что она так же, как в этом году, пройдёт на базе Российского экономического университета имени Г.В. Плеханова.

Компания CrowdStrike, ставшая виновницей глобальных сбоев в работе 8,5 млн ПК с Windows, обновила страницу с инструкцией по устранению проблемы. Компания поделилась своим видением причин инцидента, а пострадавшим партнёрам она предложила купоны Uber Eats на сумму $10. При этом общий ущерб от сбоя, согласно предварительным оценкам, составил $4,5 млрд.

Согласно разъяснениям, защитное ПО Falcon Sensor выпускается с набором правил Sensor Content, определяющих его функциональность. ПО также получает обновления Rapid Response Content, позволяющие своевременно распознавать новейшие угрозы и оперативно реагировать на них.

Sensor Content основан на структурном коде Template Types, предусматривающем использование специальных полей, в которые вносятся данные для создания правил выявления угроз. В Rapid Response Content отмечаются конкретные варианты Template Types — Template Instances, описывающие определённые типы угроз, на которые необходимо реагировать, и их специфические признаки.

В феврале 2024 года компания представила очередной вариант шаблона обнаружения угроз — IPC Template Type, специально созданный для распознавания новых методик атак, использующих т.н. «именованные каналы» (Named Pipes) в ОС. Шаблон успешно прошёл тесты 5 марта, поэтому для его использования выпустили новый вариант Template Instance. С 8 по 24 апреля компания внедрила ещё три варианта Template Instance, без малейшего видимого ущерба миллионам компьютеров на Windows — хотя в апреле отмечались проблемы с ПО компании CrowdStrike для Linux.

Источник изображения: Johnyvino/unsplash.com

19 июля разработчик представил ещё два варианта IPC Template Instance, один из которых включал «проблемные данные». Тем не менее, CrowdStrike запустила ПО в релиз из-за «бага в Content Validator». Хотя функции Content Validator разработчиком не раскрываются, по названию можно предположить, что данный инструмент занимается валидацией готовящегося к релизу ПО. Так или иначе, валидатор не справился с фильтрацией некачественного кода и не предотвратил выпуск 19 июля фактически вредоносного Template Instance.

В CrowdStrike предположили, что успешная проверка IPC Template Type мартовского образца означает, что варианты IPC Template Instance для июльского релиза тоже в порядке. Как показало время, это было трагической ошибкой — программа пыталась читать данные из области памяти, доступа к которой у неё быть не должно. В результате ошибка чтения вызвала сбой, от которого пострадало 8,5 млн компьютеров.

В дальнейшем компания обещает более строго тестировать обновления Rapid Response Content и обеспечить пользователям больше контроля над процессом развёртывания обновления. Кроме того, планируется подробное описание релизов, чтобы дать пользователям возможность самостоятельно оценить риск установки обновлений. Компания обещает опубликовать полный анализ основной причины сбоя, как только расследование будет закончено.

Ранее Microsoft поспешила снять с себя ответственность за инцидент, переложив вину на CrowdStrike и Евросоюз. По данным IT-гиганта именно последний ещё в 2009 году вынудил Microsoft обеспечить сторонним разработчикам антивирусного ПО вроде CrowdStrike низкоуровневый доступ к ядру операционных систем Windows.

Пока ИТ-инфраструктура по всему миру восстанавливается после критического сбоя, бизнес, эксперты и политики уже ищут виноватых в произошедшем. По данным The Wall Street Journal, в Microsoft заявили, что инцидент может оказаться результатом вынужденного соглашения 2009 года между IT-гигантом и Евросоюзом.

Эксперты уже задаются вопросом, почему CrowdStrike, занимающейся решениями для обеспечения кибербезопасности, обеспечили доступ к ядру Windows на столь низком уровне, где ошибка может оказаться очень масштабной и дорого обойтись огромному числу пользователей.

Хотя Microsoft нельзя напрямую обвинить в появлении дефекта после обновления ПО компании CrowdStrike, ставшего причиной хаоса во всех сферах жизнедеятельности по всему миру, программная архитектура, позволяющая третьим сторонам глубоко интегрировать своё ПО в операционные системы Microsoft, вызывает немало вопросов и требует более пристального рассмотрения.

Как сообщает WSJ, в Microsoft отметили, что соглашение 2009 года компании с Еврокомиссией и стало причиной того, что ядро Windows не защищено так, как, например, ядро macOS компании Apple, прямой доступ к которому для разработчиков закрыт с 2020 года. Соглашение о совместимости фактически стало результатом повышенного внимания европейских регуляторов к деятельности Microsoft.

Источник изображения: Sunrise King/unsplash.com

В соответствии с одним из его пунктов, Microsoft обязана своевременно и на постоянной основе обеспечивать информацию об API, используемых её защитным ПО в Windows — пользовательских и серверных версиях. Соответствующая документация должна быть доступна и сторонним разработчикам антивирусного ПО для создания собственных решений, что должно способствовать честной конкуренции. Однако вместо использования API без доступа к ядру CrowdStrike и ей подобные предпочли работать напрямую с ядром ОС для максимизации возможностей своего защитного ПО. Правда, при этом велика вероятность, что в случае сбоя последствия могут быть чрезвычайно серьёзными — что и произошло.

Windows — не единственная операционная система, предлагающая доступ к ядру с возможностью вывести его из строя в случае некорректной работы. Тем не менее, повсеместное присутствие продуктов Microsoft приводит в случае сбоев в сторонних приложениях к массовым проблемам и большой огласке событий, даже если прямой вины компании в произошедшем нет.

Корпорация IBM, как сообщает ресурс Network World, опровергла предположения о том, что разработка операционной системы AIX отошла на второй план. Компания заявляет, что по-прежнему привержена данному проекту, а развитие платформы и внедрение в неё новых функций рассчитано как минимум до 2030 года.

В начале 2023 года стало известно, что IBM полностью передала разработку Unix-платформы AIX своему индийскому подразделению. Тогда говорилось, что разработчикам AIX в США было предложено подыскать другую работу в компании, но некоторые оказались в «подвешенном состоянии». Высказывались предположения, что данная мера нацелена на то, чтобы избавиться от пожилых сотрудников. Кроме того, появились слухи, что проект AIX теряет приоритет.

Источник изображения: IBM

IBM теперь заявляет, что разработка AIX уже велась в Индии, тогда как специалисты в США работали над платформой POWER, на которой функционирует AIX. Отмечается, что компания решила сосредоточить дальнейшее развитие AIX в Индии по многим причинам, а не исключительно из соображений экономии средств. В компании говорят, что осенью 2023 года будет выпущено очередное обновление AIX 7.3. Компания намерена и дальше придерживаться цикла ежегодного обновления платформы.

«Мы продолжим совершенствовать систему. Ни одно из действий по оптимизации ресурсов, которые мы предприняли, не повлияло на наш план развития ОС или кого-либо из сотрудников, которые вовлечены в проект», — отмечают в корпорации. Более того, по словам IBM, которой теперь принадлежит Red Hat, бывают даже случаи переноса рабочих нагрузок с Linux на AIX. Сейчас AIX является фактически единственным активно развивающимся наследником UNIX System V Release 4.

На первый взгляд, в мире серверов царит господство двух операционных систем — Microsoft Windows Server и различных вариантов Linux. Однако есть ещё немало число оборудования с архитектурами, отличными от x86. Иногда оно поддерживается за счет таких явлений, как «хобби-лицензия» на операционную систему OpenVMS, некогда созданную в недрах знаменитой корпорации DEC.

Сейчас правами на эту лицензию владеет HPE и, похоже, вскоре она собирается перекрыть кислород последним легальным пользователям VMS-систем, которые не приносят доход.

Пример рабочего стола в OpenVMS 8.4

Такие имена, как VAX или Alpha забыты ныне практически всеми, за исключением энтузиастов и тех, кто хочет поддерживать работоспособность устройств, унаследованных у эры разнообразия процессорных архитектур. VMS — весьма почтенная, но передовая на момент создания операционная система, созданная корпорацией Digital Equipment Corporation ещё в 1977 году для платформы VAX.

Впоследствии она была портирована на платформы DEC Alpha и Intel Itanium, где, переименованная в OpenVMS, и продолжила свою службу на благо человечества. До недавних пор существовала возможность приобретения «хобби-лицензии», что позволяло официально эксплуатировать систему на платформах VAX, Alpha и HP Integrity, а также в эмуляторах.

DEC Alpha 21064: 1995 год, 275 МГц, 64 бита, 32 Кбайт L1 и 8 Мбайт внешнего L2

Однако двери закрываются: владеющая правами на выдачу таких лицензий HPE передала соответствующее подразделение в распоряжение VMS Software (VSI) и теперь закрывает свою программу, нацеленную на энтузиастов. Пока на сайте HPE ещё доступна опция продления лицензии на OpenVMS, но компания завершает цикл поддержки OpenVMS V8.4 и последний пакет лицензий будет действовать лишь до 31 декабря 2021 года, после чего пользователям предлагается рассмотреть возможность приобретения коммерческой лицензии.

Как минимум, один владелец систем с процессорами Alpha, пользующийся такими лицензиями, нашёлся — и он подтвердил, что цены на них весьма далеки от гуманных: в последний раз стоимость лицензии для системы DS20 составляла почти $25 тыс. Мало какой энтузиаст сможет позволить себе такие затраты для некоммерческого проекта. У VSI есть студенческий вариант лицензионного пакета, но как сообщают пользователи, такой пакет действует всего полгода и получение новых версий является достаточно затруднительным процессом.