Вот вы сами и признались, что спецслужбы в теме некомпетентны, но лезут грязными руками и надувают щеки с важным видом. Впрочем, мой вопрос все равно актуален: где больше экспертов по безопасности — у ЛК, Инфовотча и пр. или у Гугла, Амазона, Фейсбука и др.?
Если вы заметили, я не большой поклонник винды на серверах :) а вам заЩитана попытка переобуться на лету — начали с «действительно принципы безопасности в корне отличаются», а вот уже и «на ПК отключенном от сети, с программно или аппаратно заблокированными портами». Вы бы еще ПК в банковском сейфе и без питания в пример привели :) На ПК, в который данные извне не поступают в принципе, можно ставить любую не слишком падучую ОСь, хоть Win95 и работать под админом, и это будет достаточно безопасно. Только круг задач для такого компьютера крайне узок.
Во-первых, откуда данные, что там все патчилось? Или вы из этих, у которых «если в Америке, то все идеально»? Разочарую, в США дураков тоже хватает. Во-вторых, неуязвимых систем действительно не существует, но есть более надежные, а есть менее надежные. Системы со свежими заплатками более надежные, и тут Астра однозначно ХУЖЕ. Медицинский пример — если у вас порез на пальце, то не надо отрубать себе ногу. Через эти самые дырки «защищенный» дистрибутив и сломают (а мой ноут останется в порядке, потому что пропатчен. Такие дела). Вы готовы признались, что жить с дырами, несмотря на все вопли о «защищенности».
Какие _лишние_ закладки в ядре Линукса? Полный список, пожалуйста. Вопрос со звездочкой — закладки в ядре OpenBSD.
Ну вот цену «сертификации» ОС мы уже выяснили — много денег и очень мало защиты. С проверкой железа, видимо, все примерно так же — никто не знает как, но все чисто, зуб даю, да?
Свежие патчи спасут не от всего, но чем дырявое-то ядро лучше свежего? Относительно недавний пример: страшный и ужасТный WannaCry лез в дырку, которую мелкомягкие закрыли за пару месяцев до атаки. Хакеры очень благодарны любителям «сертифицированной» тухлятины!
Я вам пытаюсь открыть глаза на то, что воздушный зазор не панацея, и что необходимо обновлять софт внутри периметра защиты. ВНЕЗАПНО флешка при покупке была совершенно нормальной. Более того, она осталась нормальной и тогда когда ее воткнули в компьютер внутри периметра. А потом ее воткнули в компьютер внутри периметра, и вот тогда случился ОЙ :) И только этого ее воткнули в компьютер внутри периметра, и все заверте...
Заодно расскажите, как вы там флешки на закладки проверяете. Рентгеном просвечиваете? Прошивку дизассемблируете?
С чего вдруг? Элементарный пример — вирус из контроллера триггерит переполнение буфера в USB стеке. Обновили ядро — закрыли уязвимость. Или посложнее — устройство прикидывается клавиатурой, а ядро по VID+PID понимает, что оно должно быть флешкой.
А вот у этих всех свои свежеразработанные операционки? Мне что-то кажется, что нет, если у вас другие данные — поделитесь, я с удовольствием посмеюсь и над американскими идиотами. ФСБ видело код винды, и что? Сколько там экспертов по компьютерной безопасности? Неужели больше, чем в Гугле? А если к Гуглу добавить Фейсбук, Амазон, IBM, Микрософт и еще тучу фирм? И все они ищут дыры в Линуксе, а когда найдут — закрывают. Отобрать права на установку сервисов и доступ к файлам можно и в винде, делов-то, SELinux вообще часто из коробки идет. А потом находится RCE и все эти принцЫпы идут курить бамбук, потому они без реализации они ничто.
А с чего вы взяли, что флешка была левая? Заражать файлы на флешках зловреды умели довольно давно. Сейчас может и в контроллерах флешек могут уязвимость найти, и держите BadUSB на стероидах...
Последний патч в ядре спасет тем, что дырка в нем уже закрыта. А если еще нет, то в досмотренном ядре полугодовалой давности уж точно нет.
Или у вас это такая сферическая система в вакууме, что в нее никаких данных снаружи не поступает? Ну тогда тогда на нее можно ставить операционку с любыми дырами в безопасности, все равно эксплуатировать их не получится.
Ну вы же сами сказали:
>Вот есть ПК. Он в локальной сети.
Ну прочитайте же про Stuxnet. По локальной сети он и атаковал. В локальную сеть попал с флешки, вставленной в другой компьютер. В контроллеры проникать по кабелю.
Ага, товара, значит, не продают, а что же тогда Росатый закупает? Лицензирование — это, очевидно, не услуга, а процесс передачи лицензии и платят, преимущественно, за полученную лицензию. Услугой может быть, например, оформление лицензионного договора, по которому происходит лицензирование, и за эту услугу таки платят! Но обычно немного по сравнению сравнению со стоимостью самой лицензии.
Услуга по лицензирования. — это что-то типа услуги нотариуса. Вы уверены, что именно за это платят тем же RedHat? В тексте новости, кстати, слова «услуга» нет :)
Отлично, что воздушный зазор не спасает вы уже признали. Значит ПК в локальной сети из вашего примера таки грозит :) А теперь расскажите, как вы его патчить будете.
Таки нет, на компьютере у меня установлена и программы запускает не лицензия, а операционная система :) Лицензия является услугой не более чем услугой является молоко в магазине.
Если вы заметили, я не большой поклонник винды на серверах :) а вам заЩитана попытка переобуться на лету — начали с «действительно принципы безопасности в корне отличаются», а вот уже и «на ПК отключенном от сети, с программно или аппаратно заблокированными портами». Вы бы еще ПК в банковском сейфе и без питания в пример привели :) На ПК, в который данные извне не поступают в принципе, можно ставить любую не слишком падучую ОСь, хоть Win95 и работать под админом, и это будет достаточно безопасно. Только круг задач для такого компьютера крайне узок.
Какие _лишние_ закладки в ядре Линукса? Полный список, пожалуйста. Вопрос со звездочкой — закладки в ядре OpenBSD.
Свежие патчи спасут не от всего, но чем дырявое-то ядро лучше свежего? Относительно недавний пример: страшный и ужасТный WannaCry лез в дырку, которую мелкомягкие закрыли за пару месяцев до атаки. Хакеры очень благодарны любителям «сертифицированной» тухлятины!
Заодно расскажите, как вы там флешки на закладки проверяете. Рентгеном просвечиваете? Прошивку дизассемблируете?
Последний патч в ядре спасет тем, что дырка в нем уже закрыта. А если еще нет, то в досмотренном ядре полугодовалой давности уж точно нет.
Или у вас это такая сферическая система в вакууме, что в нее никаких данных снаружи не поступает? Ну тогда тогда на нее можно ставить операционку с любыми дырами в безопасности, все равно эксплуатировать их не получится.
>Вот есть ПК. Он в локальной сети.
Ну прочитайте же про Stuxnet. По локальной сети он и атаковал. В локальную сеть попал с флешки, вставленной в другой компьютер. В контроллеры проникать по кабелю.
Исходники оси где можно почитать?