США запретили продавать Windows и iPhone российским военным и полицииЗаконодательство в IT,Разработка под WindowsСША в очередной раз ужесточили правила экспортного контроля в отношении поставок товаров в Россию. 29 июня вступили в силу два новых правила Бюро промышленности и безопасности (BIS) Министерства торговли США, которые еще больше ограничивают потенциальный экспорт чувствительных технологий в Россию (а также в Китай и Венесуэлу).Первое правило отменяет исключение для американских экспортеров, которые до этого могли поставлять в Россию без лицензии относительно широкий спектр товаров, если они предназначены для гражданского использования гражданскими потребителями. Это подшипники, полупроводники, компьютеры, телекоммуникационное оборудование, радиолокационные системы, оборудование для производства самолетных двигателей и другое. Теперь, даже если эти товары предполагается использовать исключительно в гражданских целях, экспортеру понадобится получить специальную лицензию Минторга США.Изменение помимо России, Китая и Венесуэлы также затронет Армению, Азербайджан, Украину, Белоруссию, Казахстан и Ирак.Второе правило, затрагивающее Россию, Китай и Венесуэлу, расширяет определение «военного использования» товаров, что сузит и без того минимальные возможности российского оборонного сектора закупать американские товары, технологии и программное обеспечение. Под «конечным военным пользователем» будут пониматься вооруженные силы, национальная полиция, национальная гвардия, разведывательные службы, а также «любое лицо или организация, чьи действия или функции предназначены для поддержки военного использования» товара.В блоге международной юрфирмы Pillsbury Winthrop Shaw Pittman отмечается, что по новым правилам в перечень подобных товаров отныне входят iPhone и копии Microsoft Windows, а также, что их продажа «военным» пользователям станет практически невозможна.https://habr.com/ru/news/t/508852/
>>7875542 (OP)>Теперь, даже если эти товары предполагается использовать исключительно в гражданских целях, экспортеру понадобится получить специальную лицензию Минторга США.>подшипники, полупроводники, компьютеры, телекоммуникационное оборудование, радиолокационные системы, оборудование для производства самолетных двигателей и другоеТрампыня, хватит тут каменный век делать
>>7875542 (OP)>Армению, УкраинуАрмяшки же недавно наскакали себе проамериканского президента Пашиняна, про хохлов и вовсе молчу.P.S Похоже дело идет к новому железному занавесу и совку.
>>7875542 (OP)Ну конечно такое себе - в России практически вся госслужба сидит на пиратских копиях 7й винды, т.к. бабло на её покупку было несколько раз банально попиленоПри этом заметьте - логичней было развивать пиратство в стране, но Пыня так боится СПШ, что так и не откроет доступ к rutracker.org
>>7875580> что так и не откроет доступ к rutracker.orgНекоторые государственные провайдеры до сих пор ничего не блокирует, по крайней мере Костомская ГТС, работает абсолютно всё без VPN и прокси-серверов.
>>7875580>т.к. бабло на её покупку было несколько раз банально попиленоно зачем?выгоднее как раз выбить бабла и купить у своего поставщикаэто и есть распил и откатпочти вся госслужба с лиц виндой и лиц офисомна линуксе пилить еще выгоднее - поэтому его и внедряют
Сука, неужели придется переходить на линукс. Никогда не любил эту систему, вечно какой-то пердолинг с терминалом, бесконечные обновления пакетов, постоянно что-то падает, драйвера хрен найдешь.Мелкософтовцы во многом скатились благодаря тому, что переняли идеологию линуксоидов, примером чему являются постоянные обновления Windows 10, зачастую непроверенные.
>>7875631> в россии наверное вообще нет ни одной лицушной виндыпочти все компы в госконторы закупают сразу с лицензией виндыты же не думаешь что кто то будет экономить деньги налогоплательщиков
>>7875542 (OP)>США запретили продавать Windows и iPhone российским военным и полицииТрумп точно сексот.По-хорошему, это должен был запретить Путин.
>>7875643Нет, обычный потребитель, который разочаровал в анальном зонде от говнокожих индусов, в который выродилась некогда замечательная винда.
>>7875761Сейчас роскомнадзор настолько охуел, что у меня даже обычные новостные сайты бывают не открываются.
Собрать сотню погромистов 300кк в секунду и запилить свою. Или мартышки только сайты на вордпрессе клепать могут?
>>7875802> и запилить своюУже есть Астра, Альт и прочее. Нужно гнать старых петухов айтишнеков виндодрочеров.
>>7875800Я не обязан разбираться, что роскомговно заблокировало, что нет. С компьютера капчевать никаких проблем, накатил goodbyedpi и ебёшь в рот все роскомпозоры, а с ведроида каждый раз включать впн не очень удобно, да и аккумулятор не резиновый.
>>7875800А схуяли я должен это делать (тор - читай гонять трафик через три последовательных прокси со своим шифрованием, т.е. про низкие задержки и высокие объемы можно забыть) и схуяли от меня это требуется после манипуляций с интернетом на мои налоги?
>>7875802Есть же куча сборок линукса, дело в привычке, да и большая база софта накопилась за последние 20 лет, который зачастую не обновляется десятилетиями - сам видел в центре занятости населения программу с интерфейсом конца 90ых, работающую под Windows 7, куда сотрудница вводила мои данные.
>>7875820>>7875833Опять же Линукс, а я говорю про то, с чем и тетя срака в бухгалтерии справиться может. Что то типо винды, которая будет поддерживать все программы.
>>7875875>тетя срака в бухгалтерии справиться можетЛюбая с линупсом справится. Ты вобще видел современные сборки? А тратить деньги на микрософтовское говно верх идиотизма.
>>7875875это все вопрос интерфейса. тоесть если напрячь погромистов запилить юзерфрендли интерфейс, то и бабка срака с линухом справится.
>>7875821Откуда я например могу знать, что сайт вроде 1news.az (азербайджанский новостной сайт, не имеющий отношения к россии) окажется неугодным роскомпозору лишь потому что там когда-то давно была размещена статья про вора в законе, которая согласно дебильному закону является пропагандой АУЕ и воровства и подлежит блокировке ?
>>7875934Да и азеры непонятно как оказались в этом списке, вроде бы страна дружественная США, не просто так в ней проводили Евровидение и Формулу-1.
>>7875580>в России практически вся госслужба сидит на пиратских копиях 7й виндыНа пукбруссах и астра\альт линуксах. Если ты про бюджетников, то они сидят на дриснятках
Детский сад, ёбана.https://ru.wikipedia.org/wiki/%D0%9C%D0%BE%D0%B1%D0%B8%D0%BB%D1%8C%D0%BD%D0%B0%D1%8F_%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%B0_%D0%92%D0%BE%D0%BE%D1%80%D1%83%D0%B6%D1%91%D0%BD%D0%BD%D1%8B%D1%85_%D0%A1%D0%B8%D0%BB
>>7875542 (OP)Вы не понимаете. Русский агент Иван Трампов исключил возможность закладок в коде популярных ОС, военные ведомства конкурирующих держав итак должны были ориентироваться на нестандартные решения типа Astra Linux, теперь это будет форсировано и с западной стороны. Агент выполнил свою задачу.
>>7875564Так это на будущее. Омерига же не стоит на месте - каждому чип в задницу! Прохресс!Так и будет узнавать.
>>7875542 (OP)>>7875882>>7875875>>7876025Astra linux уже внедряется много где в гос органах.Он на основе Debian, что правильно и сам дистрибутив в целом норм. Баба срака даже подмены не заметит НО.Я занимаюсь автоматизацией различных бизнес-процессов на производствах (энергетика) и разного рода госговне, поэтому могу сказать, что самая большая проблема в 2к20 далеко не операционка, а софт для юзера. Если с 1С и бабой сракой на мелком предриятии особых проблем нет, то на крупных это пизда, потому что процессы сложнее, автоматизированы они только частично и поэтому многие кидаются друг в друга различными отчётами в word или excelЭлементарный жизненный пример:Очень ОЧЕНЬ много различных отчётов и аналитики в гос органах и наших производствах сделано в Excel файлике, который передаётся по наследству и новые сотрудники просто вбивают циферки в нужные поля, зачастую не до конца понимая все формулы, про внесения изменений в эти файлики они даже боятся говорить. Мигрировать это говно мамонта на Мой Офис или что-то ещё просто ёбнешься, стандартных вменяемых инструментов, которые готовы без массовых ошибок перевести формулы Excel в свой синтаксис просто не существует. Даже внедряя коробочное решение на замену Excel файлику забитый формулами 200 на 200 строк и методикой под рукой, можно потратить год работыЭто самый простейший пример
>>7876060Ну значит медики/гаишники/приставы бросают на склад новую технику и продолжают сидеть на пятнадцатилетнем хламе.
>>7876171Двачую. Как же я ненавидел то время, когда приходилось открывать лабораторные работы и курсовики на университетских компьютерах, где в либреофисе или опенофисе все шло по пизде.
>>7875580>на пиратских копиях 7й виндыНа пиратках не пройдёшь аттестацию, без аттестации тебя набутылят свои же ФСТЭК с ФСБ.В госорганах практически всегда лицуха. При том если ранешье это была лицуха ХР/семёрки, то сейчас это всё чаще лицуха подфсбшных астра/альт/роса-линуксов.
>>7876171>Мигрировать это говно мамонта на Мой Офис или что-то ещё просто ёбнешьсяА придется. Ибо не хуй.
>>7876210>либреофисе или опенофисе все шло по пиздеОрнул, то то МС Ворд с 23 шрифтом и всратыми формулами
>>7876171воровство спермы приводит вот к таким результатам, мндам-сне надо было сперму то воровать, опенофис с 5-го года госстандарт.
>>7875542 (OP)Недавно ходил в местную больницу. Там у терапевта на пк линукс стоял, и у той бабы которая справки на работу вариант тоже. Думаю там вся больницы на нем. Таксисты не вижу проблем.
>>7876112И как пользователям? Видел Мой офис - ужаснулся и закрыл нах. LibreOffice по сравнению с ним - счастье
>>7876171В две тысячи лохматом году кто-то замучился считать на калькуляторе и вбивать в ячейки циферки. Как программист, он проанализировал задачу, написал программу, отладил, оттестировал на синтетических и реальных тестах. Как работник, он облегчил себе жизнь. Начальству было пофиг, как появляются циферки в ячейках. Теперь на свое место он может посадить мартышку с более низким окладом, которая способна только вбивать цифры. Позже, этот сотрудник куда-то ушел, мартышка знает только, что это вводится сюда, а это - сюда. В итоге никто точно не знает, как должна работать программа, нет тестов, нет четкого описания задачи. Поэтому можно тратить год на один файл отчета.
>>7876347Много дистрибутивов же. Поставишь закладку в один - не факт, что цель использует тот же.Хотя в случае Астра Линукс дистрибутив одни, но и проверяется он тщательнее, но и враги серьезные типа АНБ. Кто кого перериграет короче.
>>7876962>Расскажи, как проверяют Астру на уязвимости.Да мне похуй, я не в теме.Но идея, что софт в сфере влияния нац безопасности надо проверять, и что этот американский закон тут ничего не меняет - это идея вполне логичная, спорить тут нет смысла.
>>7876962Представь компанию которая сможет провести аудит 80мнл строчек кода. Плюс ядра обновляются, часто выходят патчи. Во всей стране не наберется такое количество погромистов.
>>7877056Это проблемы компании которая находится в стране, которая по мнению другой - более сильной и владеющей софтом решила в 2014 кое-чего сделать, чего с точки зрения той сильной страны делать не следовало бы.Или меняется власть и политическая повестка, или что-то происходит на уровне пиздеца в сильной стране с софтом, или компания адоптируется/нанимает 100500 кодеров для изменения привычных таблиц и прочей отчетности/уезжает сворачивает деятельность там где можно работать на старом.Всем похуй в любом случаи
>>7877229То есть аудита кода не будет, твердо и четко.> Всем похуй в любом случаи Сертификат безопасности сам себя не купит!
>>7876962>как проверяют Астру на уязвимостиВот руководящий документ: https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty/114-spetsialnye-normativnye-dokumenty/382-rukovodyashchij-dokument-prikaz-predsedatelya-gostekhkomissii-rossii-ot-4-iyunya-1999-g-n-114От него пляшут все ГОСТы + требования по лицензированию лабораторий по выявлению НДВ.>>7877056> аудит 80мнл строчек кодаИсходники не обязательны для аудита, насколько я знаю, модель тестирования может подразумевать чёрный ящик.> Плюс ядра обновляются, часто выходят патчи.Сертифицированное на НДВ ПО не обновляется оп стандратным каналам. Патчи закрывающие уязвимости так же проходят процедуру проверки.
>>7877447> Вот руководящий документТЕРМИНЫ И ОПРЕДЕЛЕНИЯТРЕБОВАНИЯ ТРЕБОВАНИЯ ТРЕБОВАНИЯ Как проверить выполнение требований?
>>7877479>Как проверить выполнение требований?Его регуляторы, то есть ФСТЭК и ФСБ проверяют, как лицензиары. Собственно так и работает лицензирование.Не доверяешь ФСТЭК и ФСБ - используй частных аудиторов.
>>7877494> Его регуляторы, то есть ФСТЭК и ФСБ проверяют, как лицензиары.Возвращаемся к исходному вопросу: как проверяют на уязвимости?
>>7877494> Собственно так и работает лицензирование.Лицензия - это бумажка. Вопрос был как проверить отсутствие уязвимостей.
>>7877494> Компания ОАО «НПО РусБИТех» приступила к поставкам версии 1.3 сертифицированной в системах сертификации Минобороны России и ФСТЭК России операционной системы специального назначения «Astra Linux Special Edition». Что же в этой версии?Пакет openssl 1.0.1c-3 (http://lab50.net/wp-content/uploads/se13-se14.html)Эта версия OpenSSL имеет уязвимость Heartbleed: The affected versions of OpenSSL are OpenSSL 1.0.1 through 1.0.1f (inclusive) https://en.wikipedia.org/wiki/HeartbleedВот цена сертификата.
>>7877587Ссылка на разработчика:https://rusbitech.ru/press/news/news-company/versiya-1.3-reliza-smolensk-operaczionnoj-sistemyi-astra-linux-special-edition
>>7877587>версии 1.3Мне сейчас сложно будет опровергнуть какую-либо информацию о релизе, чей срок поддержки закончен. Но вообще в таких случаях, особенно в таких громких как хартблид, выпускается билл безопасности: https://wiki.astralinux.ru/pages/viewpage.action?pageId=1212483
>>7877567>>78775741) Частная Лаборатория запрашивает у Регулятора лицензию на проведение испытаний. Если соблюдает все требования, то её получает.2) В рамках лицензирования Лаборатория получает Методику проведения тестирования на наличие НДВ.3) Частный Разработчик направляет своё ПО в Лабораторию-лицензиат для проведения тестирования.4) В случае успешного прохождения тестов Лаборатория даёт Разработчику заключение на основании чего Разработчик просит у Регулятора Сертификат соответствия на отсутствие НДВ.Методика непублична, она прикреплена к приказу №131 ФСТЭК России от 2018 года, скорее всего НСД. О её содержимом можно косвенно догадываться по разным источникам:https://fstec.ru/tekhnicheskaya-zashchita-informatsii/dokumenty-po-sertifikatsii/120-normativnye-dokumenty/2050-vypiska-iz-trebovanij-po-bezopasnosti-informatsii-utverzhdennykh-prikazom-fstek-rossii-ot-30-iyulya-2018-g-n-131https://iecp.ru/news/item/426694-obzor-trebovanij-fstek-rossii-k-analizu-programmnogo-koda-sredstvami-zashchity-informaciihttps://zlonov.ru/%D0%BF%D1%80%D0%B8%D0%BA%D0%B0%D0%B7-%D1%84%D1%81%D1%82%D1%8D%D0%BA-%D1%80%D0%BE%D1%81%D1%81%D0%B8%D0%B8-%E2%84%96131-%D0%BE%D1%82-30-07-2018/https://bis-expert.ru/blog/5336/43017То есть там как минимум есть автоматические анализаторы кода, проверка на соответствие бинарника исходнику, методологические и нормативные требования к разработке, и куча всяких мелочей.
>>7877567>>7877574Ещё пара нюансов:1) Сертификация не гарантирует отсутствие закладок, она лишь снижает вероятность их нахождения в соответствии с необходимыми задачами. Схема простая. Если ты хочешь модель угроз требует, чтобы в ПО было ещё меньше закладок, бери класс ПО выше, плати больше.2) Цепочка доверия строится на аксиоматическом доверии к Регулятору. Для аттестации государственных ИС это вполне разумно.3) Никаких механизмов для верификации тестирования частными лицам и конечными пользователями не предусмотрено. Так что молодой человек, эта бумажка не для вас написана, хотите гарантий - оплачивайте свой аудит.
>>7877447>> Исходники не обязательны для аудита, насколько я знаю, модель тестирования может подразумевать чёрный ящик.Это уже не аудит, а тестирование которое не гарантирует наличие закладок в коде.
>>7879361> Методику проведения тестирования на наличие НДВ.Информация об уязвимости Heartbleed была опубликована в апреле 2014 года, ошибка существовала с конца 2011 года. Методика помогла выявить Heartbleed?Если да, то когда и почему не делились информацией об уязвимости?Если нет, то можешь объяснить вот это: >>7877229> Это проблемы компании которая находится в стране, которая по мнению другой - более сильной и владеющей софтом решила в 2014 кое-чего сделать, чего с точки зрения той сильной страны делать не следовало бы.> Или меняется власть и политическая повестка, или что-то происходит на уровне пиздеца в сильной стране с софтом, или компания адоптируется/нанимает 100500 кодеров для изменения привычных таблиц и прочей отчетности/уезжает сворачивает деятельность там где можно работать на старом.
>>7879443> Если ты хочешь модель угроз требует, чтобы в ПО было ещё меньше закладок, бери класс ПО выше, плати больше.Хочу класс А1 по "Оранжевой книге", что можно использовать в России?
>>7879443> 1) Сертификация не гарантирует отсутствие закладок,Сертификация гарантирует наличие сертификата, 100%.
>>7876105Кино не смотрю. В игры не играю. Книги - флибуста. Музыка, которую я слушаю, их авторы, в вк выкладывают. Пиратство - плохо
