Проект

В России появился центр поиска уязвимостей в Nginx, Python, ClickHouse и других популярных приложениях

Заказчики: Федеральная служба по техническому и экспортному контролю (ФСТЭК России)

Москва; Государственные и социальные структуры



Дата проекта: 2021/04
Бюджет проекта: 300 млн руб.
СМ. ТАКЖЕ (1)

2023: В России появился центр поиска уязвимостей в Nginx, Python, ClickHouse и других популярных приложениях

Созданный в 2022 году по заказу ФСТЭК России Технологический центр изучения безопасности ядра Linux расширяет свои полномочия. Он преобразуется в Центр исследований безопасности системного программного обеспечения (ЦИБ СПО), то есть будет заниматься не только исправлением ошибок в ядре Linux, на котором основано большинство отечественных операционных систем, но также будет искать и исправлять уязвимости в наиболее популярных библиотеках, которые используются как для разработки нового программного обеспечения, так и для переноса Windows-приложений на отечественные платформы.

Об этом было объявлено на конференции ИСП РАН, которая прошла в начале декабря.

«
По согласованию со ФСТЭК России и руководством РАН Технологический центр исследования безопасности ядра Linux трансформирован в Центр исследований безопасности системного программного обеспечения, поскольку в число проектов, исследуемых в рамках центра, в дополнение к ядру Linux добавляется целый ряд компонентов с открытым исходных кодом, популярных среди отечественных разработчиков, – рассказал TAdviser о производимых переменах Алексей Хорошилов, руководитель Технологического центра исследования безопасности ядра Linux. – На первом этапе это будут: OpenSSL, Nginx, Qemu вместе с libvirt, Podman, Python3, NodeJS, .NET6 Runtime совметсно с ASP .NET Core, Redis, ClickHouse. Этот список не финальный и будет расширяться в соответствии с потребностями отечественных разработчиков средств защиты информации.
»

Видно, что в список исследуемого ПО добавлены наиболее популярные библиотеки для сетевого взаимодействия (OpenSSL и Nginx), управление облачными инфраструктурами (Qemu, libvirt и Podman), кроссплатформенные языки и технологии, которые могут быть использованы для импортозамещения Windows-приложений (Python3, NodeJS, .NET6 Runtime, ASP .NET Core), и популярные приложения для обработки данных (Redis и ClickHouse). Эти технологии фактически образуют мейнстрим для процедуры импортозамещения: виртуализация Windows-приложений, перенос их в облачную среду и постепенное портирование на отечественные операционные системы за счет использования кроссплатформенных инструментов разработки. Устранив в этих технологиях уязвимости, сотрудники ЦИБ СПО помогут обеспечить безопасность всего процесса импортозамещения ПО.

Упрощённая схема технологий операционной системы Linux

Впрочем, сотрудники нового центра продолжат работу и над совершенствованием безопасности ядра Linux. Сейчас специалистами центра, совместно с консорциумом разработчиков отечественного ПО, уже исправлено 247 уязвимостей в основной ветке ядра Linux. Причем уязвимости были устранены не только в отечественном репозитории, но и в основном коде ядра, распространяемом по всему миру. Если ранее поддерживалась в основном безопасность ядра Linux 5.10, то теперь ведется работа и над версией нового ядра Linux 6.1 – репозитории проверенного кода обоих ядер находятся на серверах ЦИБ СПО, и специалисты центра поддерживают их в актуальном состоянии. Предполагается, что именно на основе этих репозиториев будут строить свои операционные системы отечественные разработчики.

2021

Создание российской ветки ядра Linux, анализ миллионов строк кода и другие грандиозные планы нового техцентра при ФСТЭК

14 октября 2021 года представители ФСТЭК, научного сообщества и ИТ-рынка впервые подробно рассказали о том, как концептуально выглядит и как будет работать Технологический центр исследования безопасности ядра Linux, а также о предпосылках его основания. О планах по его созданию стало известно в начале года. По словам замруководителя ФСТЭК Виталия Лютикова, формально центр еще не появился, пока еще прорабатываются связанные с этим вопросы. Совместно с ИСП РАН, с которым ранее ФСТЭК заключил контракт на создание центра, и с ИТ-сообществом, обсуждаются форматы взаимодействия, организационные вопросы.

В open source выявляется огромное количество уязвимостей

Предпосылки создания центра исследования безопасности ядра Linux связаны с тем, что, во-первых, ОС – это один из ключевых элементов в системе и одно из оснований для доверия к безопасности систем. Без решения проблемы безопасности ОС решить вопросы защиты в целом и обеспечения безопасности не получится, говорит Лютиков. А второе – число разработчиков дистрибутивов и программно-аппаратных средств, в основе которых лежит ядро Linux, весьма значительное, и заинтересованность в повышении уровня защищенности этого компонента ПО также существенная.

Исследование безопасности ядра является одним из важнейших проблемных вопросов, отмечает представитель ФСТЭК. Организации, которые используют ядро, адаптировались и организовали у себя работы в части собственных доработок, изменения политик безопасности и т.д. Но в части кода самого ядра есть недостаток в ресурсном обеспечении исследования безопасности. Не хватает и инструментария, и средств тестирования, и специалистов, пояснил Лютиков. В итоге доля исследований ядра в исследованиях безопасности при разработке отечественных дистрибутивов Linux пока незначительная.

«
Эту ситуацию надо менять. Вы знаете, что выявляемое количество уязвимостей в open source – огромное, - отметил Виталий Лютиков.
»

Виталий Лютиков рассказал о задачах Технологического центра исследования безопасности ядра Linux

Еще одна из проблем – зависимость российских разработчиков от сторонних разработчиков ядра, от устранения уязвимостей в нем.

«
Мы имеем много случаев, когда разработчик дистрибутива при получении информации о том, что в ядре или библиотеках, средах исполнения есть уязвимость, ждёт, когда в соответствующей ветке появится обновление либо выйдет новая версия, не имея собственной квалификации для исправления, - рассказал замруководителя ФСТЭК. - Мы зависимы от той работы, которая проводится не у нас и не нами с точки зрения устранения проблем.
»

На основе предложений отечественного ИТ-сообщества и опыта зарубежных коллег было решено провести работу, которая позволила бы хотя бы часть данных проблем решить, говорит Лютиков. В рамках нацпрограммы «Цифровая экономика» с марта 2021 года прорабатывается вопрос по созданию технологического центра исследования ядра Linux.

Ожидаемые результаты работы центра

По словам Лютикова, задачами центра станет повышение защищенности отечественных дистрибутивов ОС на базе Linux и всего, что на них создано, от угроз, а также обеспечение технологической независимости российских компаний-разработчиков дистрибутивов и программно-аппаратных средств от внешних игроков.

Алексей Хорошилов, руководитель Технологического центра исследования безопасности ядра Linux, рассказал, что центр будет способствовать систематическому применению лучших практик разработки безопасного ПО. Для этого планируется проводить статистический анализ исходного кода ядра, архитектурный анализ, полносистемный динамический анализа помеченных данных, фаззинг-тестирование ядра, а также системное и модульное тестирование. Бизнес уходит в облако: стратегии и подходы

Анализировать ядро предлагается по частям, говорит Хорошилов: «это 22 млн строк кода (в последней версии ядра Linux - 5.13 - насчитывается более 29.2 млн. строк кода - прим. TAdviser), включающего совершенно разные компоненты, начиная от криптографии и сетевых протоколов – это целая вселенная, в которой разбираться и разбираться».

В числе ожидаемых эффектов работы центра предполагается формирование компетенции и инфраструктуры для подготовки отечественной ветки ядра Linux и ведение ветки ядра, прошедшей требуемые исследования.

Также планируется разработка патчей по устранению уязвимостей и ошибок и разработка новых возможностей, нацеленных на повышение безопасности, подготовка методик и рекомендаций по реализации мер безопасной разработки ядра Linux.

Андрей Духвалов, руководитель управления перспективных технологий «Лаборатории Касперского», отметил, что можно сколько угодно патчить ядро Linux, и в нем все равно остаются уязвимости. Тот способ работы с уязвимостями, который сейчас есть, надо продолжать, но все понимают, что это не панацея. Эта тема близка и «Лаборатории Касперского», называется она Secure by Design (проектирование ПО с самого начала как безопасного). По словам Духвалова, компании хотелось бы поддержать это направление работы в технологическом центре – чтобы ядро закрывало целые классы уязвимостей с помощью архитектурных методов.

Результаты работы центра могут быть использованы компаниями-разработчиками ПО и программно-аппаратных средств в своей деятельности. И, более того, предполагается активное участие в работе технологического центра ИТ-компаний и их специалистов. Чем больше их будет вовлечено, тем более эффективно все будет работать.

«
Мы движемся к созданию сообщества вокруг решения общей проблемы – безопасности ядра операционной системы, - отметил Лютиков.
»

Александр Оружейников, замруководителя департамента разработки ГК Astra Linux, говорит, что их компания, к примеру, заинтересована в развитии инструментария по исследованию и анализу кода ядра, который тесно переплетен с разработкой. Также в Astra Linux готовы поддерживать группы энтузиастов, которые будут улучшать защиту самого ядра.

Виталий Лютиков отмечает, что планируется использовать результаты центра по исследованиям безопасности ОС, созданных на базе ядра Linux, и при сертификации различных дистрибутивов ОС. Это должно немного разгрузить ресурсы ФСТЭК по сертификации при оценке безопасности дистрибутивов.

Отечественная ветка ядра Linux

На базе центра предполагается создание отечественной ветки ядра Linux, которая синхронизировалась бы с глобальной. Поддерживать ее планируется на тех же принципах, на которых поддерживается сообществом общее ядро, рассказал Алексей Хорошилов. В идеале она не должна никак отличаться от стабильной основной ветки ядра, но сопровождаться артефактами анализа. Версия, с которой предварительно планируется начать поддержку собственной ветки – Linux-stable-5.10.

Виталий Лютиков, однако, пояснил, что создание собственного ядра Linux – это задача на перспективу. Быстро создать собственную ветку вряд ли получится. На первом этапе основными эффектами работы центра все же должно стать повышение безопасности, которое заключается в предоставлении сообществу разработчиков средств, методик, инструментов, результатов тестирований и исследований.

Также представитель ФСТЭК отметил, что речь совершенно не идет о создании какого-то нового дистрибутива ОС Linux.

«
Мне кажется, что те, кто по этому пути уже ходили, они либо до сих пор идут – это в лучшем случае, а в худшем случае – находятся в других местах. Поэтому я бы задачу создания дистрибутива не ставил. Если в ходе нашей деятельности, исследований что-то будет у нас получаться, это другой вопрос... - говорит Лютиков. - К тому же, ФСТЭК занимается вопросами безопасности. Есть Министерство цифрового развития, они вам создадут все, что надо: дистрибутивы и то, что с этим связано.
»

В ногу с мировым сообществом

Обеспечение технологической независимости российских компаний-разработчиков от внешних игроков, которая ставится одной из задач работы центра, не означает, что с международным сообществом надо прекратить взаимодействие, подчеркнул Виталий Лютиков. Наоборот, работа с ним по решению задач безопасности ядра является очень важной.

«
Но мы должны иметь собственные возможности и компетенции, чтобы решать вопросы безопасности и поддержки собственными силами, - заявил представитель ФСТЭК.
»

Роман Симаков, директор департамента развития системных продуктов «Ред Софт», полагает, что, объединив усилия российских разработчиков, можно было бы стать заметным игроком в глобальной контрибьюции Linux и продвигать собственные идеи в разработку глобального ядра. Симаков предположил, что, возможно, кто-то из участников Технологического центра исследования безопасности ядра Linux вырастет даже до главного контрибьютора, «зама Торвальдса», который будет отвечать за какие-то части. Впрочем, представитель «Ред Софт» добавил, что это мечты.

Вместе с тем, полагает Роман Симаков, поскольку отечественное «железо» доступно не всему мировому сообществу, а также поскольку в принципе не все российские патчи могут быть интересны на глобальном уровне, заниматься только мейнстримом становится бессмысленным и собственную ветку ядра-таки придется развивать.

ИСП РАН ищет поставщика «железа» для построения инфраструктуры центра исследования безопасности Linux

7 сентября 2021 года стало известно о том, что Институт системного программирования им. В. П. Иванникова Российской академии наук (ИСП РАН) готов потратить почти 38 млн руб. на «железо» на для построения инфраструктуры Технологического центра исследования безопасности российских ОС, созданных на базе ядра Linux.

Данная сумма выставлена в качестве начальной максимальной цены договора в тематическом тендере ИСП РАН, который был объявлен 30 августа 2021 г. в формате электронного аукциона, участниками которого могут стать только субъекты малого и среднего предпринимательства. Заявки от претендентов станут приниматься до 15 сентября, подведение итогов намечено на 21 сентября. Победителю предстоит поставить весь требующийся товар в течение 80 дней с момента заключения договора.

Данный центр ИСП РАН создает по контракту с Федеральной службой по техническому и экспортному контролю (ФСТЭК) за 300 млн руб. Он был подписан 20 марта 2021 г. по итогам конкурса ФСТЭК без снижения стартовой цены. Конкуренцию институту безуспешно пыталась составить компания «Русбитех-Астра», занимающаяся развитием линейки российских ОС Astra Linux.

Срок исполнения этого контракта — 25 декабря 2023 г. Обязательства ИСП РАН по нему включают разработку проектной (технической) документации и создание программно-аппаратного комплекса центра.

Планирующиеся к поставке серверы нескольких типов станут строиться исключительно на зарубежных процессорах. Выставленные параметры чипов (число ядер, тактовая частота и др.) в российских изделиях пока не реализованы.

Так, в соответствии с тендерной документацией, ИСП РАН требуются серверы четырех типов. Первый из них должен базироваться на двух процессорах, с суммарным числом ядер 128, с тактовой частотой 2 ГГц, типом поддерживаемой памяти DDR4 ECC. Суммарный объем оперативной памяти сервера — 2048 ГБ. На него должно быть установлено 24 дисковых накопителя на 1,92 ТБ каждый. Таких серверов заказчику требуется пять штук.

Два сервера второго типа должны строиться на двух процессорах, с суммарным числом ядер 64, с тактовой частотой не ниже 2,6 ГГц, типом поддерживаемой памяти DDR4 ECC. Суммарный объем оперативной памяти сервера — 512 ГБ. На него должно быть установлено 4 дисковых накопителя на 12 ТБ каждый.

Один сервер третьего типа должен базироваться на одном 16-ядерном процессоре с тактовой частотой не ниже 2,1 ГГц и типом поддерживаемой памяти DDR4 ECC. Суммарный объем оперативной памяти сервера — 128 ГБ. На него должно быть установлено 24 дисковых накопителя на 12 ТБ каждый.

Наконец, еще один сервер четвертого типа должен строиться на двух процессорах, с суммарным числом ядер 32, с тактовой частотой не ниже 2,3 ГГц, типом поддерживаемой памяти DDR4 ECC. Суммарный объем оперативной памяти сервера — 256 ГБ. На него должно быть установлено 24 дисковых накопителя на 3000 ГБ каждый.

Помимо серверов заказчику также требуются один серверный шкаф, два источника бесперебойного питания и два [сетевой коммутатор|коммутатора]] разных видов[1].

Контракт с ИСП РАН на создание центра исследований безопасности ОС на базе ядра Linux

В начале апреля 2021 года стало известно о планах Федеральной службы по техническому и экспортному контролю (ФСТЭК) создать центр исследований безопасности операционных систем на базе ядра Linux. Соответствующий контракт в размере 300 млн рублей был заключен с Институтом системного программирования им. В.П. Иванникова Российской академии наук.

Согласно техническому заданию, специалисты центра будут работать над повышением качества и безопасности ядра Linux, благодаря чему планируется соответствующим образом улучшать отечественные операционные системы, созданные на его базе. Это поможет снизить «возможные социально-экономические последствия от реализации компьютерных атак на критическую информационную инфраструктуру Российской Федерации», надеются в ФСТЭК.

ФСТЭК формирует центр исследований безопасности Linux за 300 млн рублей

Также отмечается, новый технологический центр будет совершенствовать отечественные средства разработки и тестирования ПО, повышать квалификацию специалистов и развивать нормативное и методическое обеспечение процессов безопасной разработки в РФ.

Средства на реализацию проекта федерального бюджета в рамках федерального проекта «Информационная безопасность» национальной программы «Цифровая экономика Российской Федерации». Технологический центр планируется ввести в опытную эксплуатацию в 2022 году, а до конца 2023 года он должен быть запущен в полной мере. К этому времени должно быть организовано наполнение банка данных угроз безопасности информации ФСТЭК сведениями об уязвимостях в операционных системах, созданных на базе ядра Linux.

К 2021 году должны быть разработаны и экспериментально обоснованы требования к организационным, методическим и научно-методическим основам функционирования технологического центра исследования безопасности операционных систем, созданных на базе ядра Linux.[2]

Примечания