Безопасность российских linux власти будут проверять на импортных чипах

Обновлено: 30.06.2024

ФСТЭК создаст центр проверки операционных систем для госсектора

Для проверки безопасности операционных систем (ОС) на базе ядра Linux Федеральная служба по техническому и экспортному контролю (ФСТЭК) за 300 млн руб. создаст исследовательский центр. Такие ОС сегодня уже используют госсектор и силовые структуры, но в их основе лежит зарубежный программный код, в безопасности которого власти не уверены. Эксперты и российские разработчики OC на Linux признают обоснованность задачи, но считают важным допуск к работе над ней всех заинтересованных сторон.

Фото: Олег Харсеев, Коммерсантъ / купить фото

Фото: Олег Харсеев, Коммерсантъ / купить фото

ФСТЭК 5 февраля объявила тендер стоимостью 300 млн руб. на создание центра исследований безопасности ОС, сделанных на базе ядра Linux, обнаружил “Ъ” на портале госзакупок. Исполнителя проекта выберут 2 марта, он должен завершить все работы к декабрю 2023 года. Основная цель проекта — повысить защищенность отечественных ОС на Linux и снизить возможные последствия от кибератак на объекты критической информационной инфраструктуры (КИИ), которые используют такие ОС, отмечается в закупочной документации. В федеральной службе не ответили на запрос “Ъ”.

Linux — свободно распространяемая для разработчиков операционная система, которая легла в основу «семейства» Linux. Системы на Linux обычно распространяются бесплатно в виде различных дистрибутивов — заархивированных файлов, готовых для установки. Почти все российские операционные системы созданы на базе Linux, в их число входят Alt Linux, Astra Linux, РЕД ОС, Rosa Linux.

К КИИ относятся IT-системы госорганов, банков, объектов транспорта, связи, здравоохранения, предприятий оборонной, топливной, атомной промышленности и энергетики. Сейчас также уже большинство крупных систем корпоративного уровня работают на ОС «семейства» Linux, говорит руководитель направлений защиты АСУТП и КИИ центра информационной безопасности «Инфосистемы Джет» Александр Карпенко. Используют такие операционные системы и силовики. Так, в январе 2020 года “Ъ” сообщал, что МВД закупило компьютеры на отечественной операционной системе (ОС) Astra Linux на 1,4 млрд руб.

Стремление ФСТЭК взять под контроль разработку отечественных ОС вполне понятно, считает гендиректор группы компаний ИВК Григорий Сизоненко.

Дело в том, что отечественные разработчики программных продуктов берут за основу файлы для установки Linux из зарубежных хранилищ — репозиториев Red Hat, Debian и Suse, поясняет эксперт. Поэтому ФСТЭК, по его мнению, не может быть уверен в безопасности созданных на основе Linux систем и отсутствия в них зарубежных «закладок». Сейчас гарантию их отсутствия дает только разработка ОС на базе российского репозитория «Сизиф».

Переход на отечественное ПО для критически важных IT-систем отсрочен

Пример возможной «закладки» был опубликован в одном из документов на сайте WikiLeaks, говорит господин Сизоненко. Речь шла о программе Gyrfalkon 2.0, разработанной на финансовый грант ЦРУ. Это «закладка» в операционную систему, предназначенная для организации канала утечки данных пользователей ОС. В документе разъясняется, как внедрить такое шпионское ПО в репозитории для установки Linux, рассказывает господин Сизоненко. «Не исключаю, что ФСТЭК обладает более полной информацией о рисках, связанных с разработкой ОС на основе зарубежных исходных кодов»,— добавляет эксперт. По его мнению, логично, что регулятор хочет сделать ядро отечественных операционных систем более прозрачным.

Сейчас усилия разработчиков операционных систем по исследованию кода ядра Linux очень разрознены и не могут обеспечить гарантии отсутствия уязвимостей и ошибок в системе, отмечает заместитель гендиректора ГК Astra Linux Юрий Соснин.

По его словам, Google уже несколько лет работает над проблемой, но пока не исследовала и половины кода ядра Linux, который исчисляется миллионами строк. Создание центра компетенции и исследований в этой сфере, по мнению господина Соснина можно приветствовать и поддерживать. Однако, подчеркивает он, важно, чтобы в проект были вовлечены все разработчики, заинтересованные в качестве своей продукции.

Власти пригласили компании, которые делают продукты на базе операционной системы Linux, участвовать в работе создаваемого сейчас Технологического центра исследования безопасности ядра (основного кода) этой операционной системы. Об этом сообщил замруководителя Федеральной службы по техническому и экспортному контролю (ФСТЭК) Виталий Лютиков на конференции OS DAY «Российские аппаратные платформы и операционные системы», которая проходила на прошлой неделе в Москве, передает корреспондент РБК.

Среди задач ФСТЭК — защита гостайны, противодействие техническим разведкам, обеспечение безопасности критической информационной инфраструктуры (сети связи и информационные системы госорганов, энергетических, финансовых и др. компаний).

В начале года ФСТЭК объявила тендер на создание Технологического центра для исследования безопасности ОС, сделанных на базе ядра Linux. Его победителем стал Институт системного программирования им. В.П. Иванникова Российской академии наук (ИСП РАН). Помимо исследований эта организация разрабатывает технологии и продукты для Samsung, Huawei, Intel и др. Также ИСП РАН сотрудничает с некоммерческим консорциумом Linux Foundation, тестирует различные продукты на совместимость с этой ОС.

По словам ведущего научного сотрудника ИСП РАН Алексея Хорошилова, в следующем году центр должен запуститься в опытной эксплуатации, а в 2023-м — в промышленной. Всего на его создание в федеральном проекте «Информационная безопасность» нацпрограммы «Цифровая экономика» предусмотрено 300 млн руб.

В центре будут работать как сотрудники ИСП РАН, так и представители разработчиков продуктов на базе Linux на возмездной основе или общественных началах. «Если в продукт, проходящий сертификацию в России, входит ядро Linux, то к его разработчику предъявляются требования по поиску уязвимостей, — пояснил Хорошилов. — Сейчас разные компании по-разному выполняют эти требования, у кого-то недостаточно ресурсов».

По словам Лютикова, пока игроков рынка просят поучаствовать в работе центра «интеллектуальным вкладом» — наработками, опытом. Те компании, которые согласятся, смогут использовать исследования центра при сертификации своих продуктов. Причем замглавы ФСТЭК считает, что доступ к результатам должен соответствовать тому вкладу, который привнесет компания. Он подчеркнул, что пока участие в работе центра будет добровольным, но в то же время предупредил, что в дальнейшем методика сертификационных испытаний будет усложняться.

Зачем нужен центр

Linux распространяется на условиях свободного лицензионного договора (пользователь может использовать ее в любых не запрещенных законом целях; имеет доступ к исходному коду для его изучения или переработки, внесения изменений). На базе ее ядра создаются операционные системы для суперкомпьютеров, серверов и другой техники, в том числе софт, включенный в реестр отечественного ПО, который госструктуры должны покупать в приоритетном порядке.

Как подчеркнул Виталий Лютиков, в Open Source выявляется большое количество уязвимостей. В частности, летом один из разработчиков ядра Linux и сотрудник Google Кис Кук говорил, что сообществу не хватает программистов, чтобы вовремя устранять найденные уязвимости. По мнению замглавы ФСТЭК, в ситуациях, когда международное сообщество Linux не считает нужным устранять какие-то ошибки в коде, консолидация усилий должна позволить российским специалистам самостоятельно провести эту работу.

Продукты на базе компонентов с открытым исходным кодом могут удалить из реестра отечественного ПО. Правила, которыми руководствуется Минкомсвязь, запрещают добавлять в реестр ПО с компонентами, которые распространяются по свободным лицензиям GPL и MPL.

Как ОС на ядре Linux становятся российскими

ОС «Альт» (ранее называлась AltLinux), AstraLinux, РЕД ОС, ROSA и другие ОС из реестра отечественного ПО построены на различных дистрибутивах Linux. Сами же дистрибутивы Linux базируются на ядре, которое с 1991 года распространяется по лицензии GPL v.2.

Разработчики дополняют ключевые компоненты Linux оконными менеджерами, криптографическими средствами и другими инструментами, которые могут расширить функциональные возможности ОС, сделать ее узкоспециализированной или более комфортной в использовании. Это позволяет ОС попасть в реестр российского ПО и считаться новым продуктом.

Аналогичные действия выполняют и с другими продуктами, к примеру, с офисными пакетами. Но в отдельных случаях разработчики продвигают откровенный плагиат. Так случилось с офисным пакетом AlterOffice, который сначала включили в реестр, а затем исключили из него из-за схожести с LibreOffice с открытым исходным кодом.

Как ПО попадает в реестр

Антон Кулагин, разработчик ПО из Томской области, решил искать заказчиков в госсекторе. Для этого программисту потребовалось добиться включения его продукта в реестр отечественного ПО, а значит, подать соответствующую заявку.

Документы нужно оформить в соответствие с постановлением Правительства РФ №1236. Документ содержит правила, которые определяют, является ли программный продукт российским.

Минкомсвязь должна рассмотреть заявку и принять решение о включении ПО в реестр или отклонить ее. Решение выносится по результатам голосования экспертного совета при министерстве, в отдельных случаях – после дополнительной экспертизы в подведомственном НИИ «Восход».

Но на практике Минкомсвязь руководствуется методическими рекомендациями от ЦКИТ (Центра компетенций по импортозамещению в сфере информационных технологий). И они не совпадают с правилами из постановления №1236.

Суть методических рекомендаций ЦКИТ

Новую версию методических рекомендаций приняли 26 декабря 2019 года – их утвердил экспертный совет при Минкомсвязи. Документ запрещает добавлять в реестр отечественного ПО продукты, которые включают компоненты с открытыми GPL- и MPL-лицензиями.

Соответствующие нормы можно найти во втором разделе, посвященном проверке юридической чистоты ПО. Разработчик должен подготовить список сторонних компонентов, которые используются в продукте, указать правообладателей этих компонентов и лицензии для распространения. Лицензии GPL и MPL – под запретом:

Но такие компоненты являются основой Linux. На базе ядра этой системы работает более 40 российских ОС, включенных в реестр. В предыдущей версии рекомендаций и в постановлении №1236 ничего не было сказано о GPL- и MPL-лицензиях.

В чем проблема

Юридическая сила рекомендаций равна силе других документов, которые имеют отношение к реестру российского ПО. Новая редакция документа спровоцировала опасную ситуацию.

Рекомендации противоречат правилам, установленным правительством, и потенциально могут запустить процесс исключения из реестра практически всех ОС и десятков других программ на базе GPL- и MPL-компонентов.

Если российские ОС и другие продукты удалят из реестра, госорганы и госкомпании получат возможность закупать иностранное ПО, ведь российских аналогов у таких программ не останется. Эксперты проанализировали записи реестра и установили, что в нем нет ни одной на 100% отечественной ОС – все базируются на ядре Linux.

Если заявка на включение нового ПО в реестр не соответствует рекомендациям, Минкомсвязь отклонит ее. Создание продуктов с нуля лишает разработчиков конкурентных преимуществ и серьезно замедляет процесс выхода отечественного ПО на рынок.

В России разрабатывается новая федеральная техническая программа «Мозг, здоровье, интеллект, инновации», выяснил «Коммерсант».

Инициатива, среди прочего, направлена на развитие технологий в области вживления так называемых чипов — устройств, которые с помощью электросигналов позволят напрямую передавать в мозг информацию со внешних устройств.

По сведениям источника газеты, близкого к Минобрнауки, правительство уже сформировало рабочую группу по проекту, а его разработка находится на начальном этапе.

Документ представлен Российской академией наук и МГУ им. Ломоносова (4 июня они совместно с «Росатом» подписали соглашение по созданию отечественной нейроморфной системы искусственного интеллекта) и в марте был одобрен президентом Владимиром Путиным, который в свою очередь поручил заняться проектом премьер-министру Михаилу Мишустину и руководителю администрации президента Антону Вайно.

Инновационная программа рассчитана на 2021-2029 годы. Ожидается, что на ее реализацию потребуется 54 млрд рублей: необходимые средства пойдут из национальных проектов «Наука», «Демография», «Здравоохранение», «Производительность труда и поддержка занятости» и «Цифровая экономика».

Кому поможет чипирование

Проект обеспечит наращивание научной базы в изучении нейрокомпьютерного интерфейса, считают ученые. По сути, эта система — набор программно-аппаратных комплексов, которые обеспечивают обмен информацией между мозгом и электронными устройствами, то есть эти микрокомпьютеры могут принимать сигналы от мозга и посылать их.

Планируются, что устройства будут использоваться в разных областях. Так,

выдвинута идея создания программы «человек-техника», которая подразумевает непосредственное и дистанционное управление по принципу аватара такими сложными системами, как самолеты, автомобили, АЭС и прочее.

В частности, это позволит человеку осуществлять деятельность в недоступных местах, например, с высоким уровнем радиации и космосе. Прототипы с обучающими интерфейсами смогут автономно формировать цели, оценивать ситуацию и прогнозировать ее развитие и принимать решения, говорится в тексте документа.

В то же время, как отмечает директор АНО «Лаборатория «Сенсор-Тех»» Денис Кулешов, программа поможет в развитии технологий, связанных с диагностикой и лечением заболеваний. Подобный проект уже существует в России: он направлен в том числе на незрячих людей или пациентов с параличом.

«На людей после перенесенного инсульта надевают специальную шапочку с электродами, с которых сигнал передается на экзоскелет: человек посылает на устройство мысль, что хочет сжать мячик, и прибор его сжимает. Это помогает быстрее пройти реабилитацию», — подчеркнул специалист.

Также ожидается, что с помощью технологии «мозг-компьютер» человек удаленно сможет управлять системой «умного» дома.

Академик РАН Константин Анохин отметил, что президент поставил задачу, «чтобы Россия стала одной из ключевых площадок для решения сложнейших научных задач с участием ученых со всего мира».

После выхода публикации в Минобрнауки информацию о программе по чипированию мозга и ее финансировании опровергли.

«В конце прошлого года на уровне правительства было принято решение о нецелесообразности ее разработки», — заявили ТАСС в пресс-службе министерства.

Обезьяна Маска

В феврале основатель компаний Tesla и SpaceX Илон Маск сообщил об успешном вживлении его стартапом Neuralink, занимающимся как раз интерфейсом «мозг-человек», импланта с небольшими проводами в мозг обезьяны, который в теории будет возможно подключить практически к любому гаджету с Bluetooth.

Целью конкретного чипа было наделить подопытных животных возможностью играть друг с другом в видеоигры. В долгосрочной перспективе технологии Neuralink будут предназначены для людей с последствиями травм головного и спинного мозга и помогут им в восполнении утраченных способностей.

Был опубликован ролик, как обезьяна с чипом Neuralink без использования джойстика играет в видеоигры на компьютере, управляя происходящим «силой мысли». Ранее же стартап Маска, успешно вживил подобный биотехнологический чип в организм свиней. На одной из презентаций миллиардер позвал одну подопытную особь к себе, которая начала есть, а на экране, подключенном к ее устройству, стали видны изменения в мозге.

Конкретных сроков проведения клинических испытаний на людях стартап не называет. Со временем, как прогнозирует Маска, процедура вживления и использования чипа будет стоить всего несколько тысяч долларов.

Читайте также:

  
• Как раздать интернет с йоты на ноутбук без ограничений windows 10
  
• Как откатить mac os
  
• Как запаролить папку на компьютере windows 8
  
• Код ошибки 0xa0000400 при обновлении до windows 10
  
• Не устанавливается faceit на windows 10