1,0×
00:02/24:55
- OS DAY и непринятие доклада
Импортозамещение-ОС-кратко
00:00 - OS DAY и непринятие доклада
00:50 - Россия берёт линукс, переделывает его и получаются российские ОС
01:16 - Тезис: нужно развивать направление windows-совместимых систем
01:16 - Тезис: России хватило бы сил даже написать windows с нуля
01:24 - Тезис: в Linux много уязвимостей и они проникают даже в сертифицированные российские ОС
01:50 - Призываю государство проверить, хорошо ли российские ОС защищены от 0-day уязвимостей и оценить последствия взлома через ещё не найденные дыры.
02:08 - Тезис: если брать код из Open Source, то нужно брать код возрастом 10-20 лет
03:26 - Разрыв в компетенциях между ИТ-специалистами и остальными не позволяет обществу увидеть масштаб проблемы
04:00 - Тезис: ОС нужно писать на других языках
04:20 - Переход с Windows на Линукс. За 20 лет - слабый результат
04:50 - Германия и Китай тоже не осилили.
05:07 - Примеры российских организаций, которые не перешли на Linux, включая УДП и Рос***мос
05:43 - Оценка трудоёмкости пересоздания Windows XP с нуля - 15 тыс. человеко-лет, базовый линукс - 50 тыс, полный Debian - 500 тыс
06:25 - Найти все дыры - не по силам человечеству, бесконечные трудозатраты
06:47 - Сбертеху хватило бы сил, чтобы написать Windows XP или Lubuntu
07:01 - Силами всех российских программистов можно было бы написать с нуля Дебиан со всеми приложениями
07:10 - Нам нужна Windows-совместимая система и мы можем её сделать.
07:26 - Как её сделать быстро и дёшево?
07:30 - Wine: Аскон запустил в линуксе Компас с помощью Wine . При этом переписать Компас под линукс АСКОН обещает через несколько лет.
08:07 - ReactOS - Windows-совместимая операционная система с открытыми исходниками. РФ не дала денег команде ReactOS, но ещё не поздно это сделать.
09:09 - О безопасности. Linux - open source, но исходные тексты Windows тоже есть - можно изучать.
09:28 - В Linux последние 15 лет всегда был один или более способов захватить права администратора.
10:18 - Новые уязвимости добавляют ещё до того, как устранены старые.
11:27 - Если эти уязвимости являются бекдорами, то их авторы могли взломать очень много линукс-систем
11:44 - Все уязвимости с графика были скопированы в Astra Linux SE.
12:14 - Их не нашли ни при доработках, ни при сертификации
13:15 - А вообще, Astra Linux заслуживает доверия?
13:37 - В Astra Linux есть специальные меры для предотвращения таких проблем, но разработчики не уверены, что они всегда с работают.
14:27 - В худшем случае система для гостайны остаётся уязвимой для ещё не найденных дыр.
14:46 - Нужна массовая проверка того, как старые 0-day уязвимости влияли на Астра Линукс до их обнаружения.
15:00 - Если окажется, что Astra Linux была плохо защищена, то нужно оценить ущерб и принять решение, нужно ли ей пользоваться.
15:36 - В РФ есть организация, которая должна этим заниматься, но про неё мало известно.
15:59 - Итог: неясно, обеспечит ли переход на Linux безопасность.
16:10 - Почему код - это коньяк?
16:18 - Возьмём код Linux от 2008 года.
16:45 - Этот код весь мир изучал много лет.
16:50 - Код от 2021 года весь мир изучает только один год
17:00 - А уязвимости остаются не найденными по 8-10 лет.
17:17 - Чем больше лет прошло, тем меньше вероятность, что в коде остались дыры
17:25 - Новая версия ПО не означает, что в ней закрыты все дыры из старой.
17:30 - CVE-2021-3156 пережила 42 выпуска ядра Linux
17:56 - для защиты от уязвимостей необходимо ВРЕМЯ
18:00 - если мы берём линукс, написанный неизвестно кем, то мы должны взять старую версию
18:20 - в новых версиях есть новые способы защиты от 0-day уязвимостей (ASLR и т.п.)
18:25 - значит, надо взять код от 2008 года и заново воплотить в нём эти способы силами российских разработчиков
18:40 - кроме того, самые опасные уязвимости почему-то существуют, несмотря на ASLR, поэтому архитектурных методов недостаточно.
19:20 - если хотим безопасную ОС, нужен безопасный язык программирования
19:30 - язык Си создан 50 лет назад, в совершенно другом мире.
19:55 - замена Си на язык Эль-76, созданный в СССР в 1976 году, закрыла бы 38% дыр в линуксе
20:16 - процессоры Эльбрус потенциально пригодны для использования преимуществ Эль-76
20:20 - в 90-х годах были известны языки Ада и Оберон, дающие высокий уровень безопасности
20:26 - сегодня все забыли про безопасные языки и пишут на опасном Си
20:48 - предлагаются изменения в стратегии импортозамещения ОС 21:15 - как получить российский windows?
21:24 - wine - нужно вложить деньги
22:00 - ReactOS - нужно вложить деньги
22:04 - самый быстрый путь: национализация Windows и пиратские исходники
22:29 - права на доработку Windows есть в Гражданском Кодексе
23:06 - уязвимость Eternal Blue в Windows - 16 лет можно было взломать через "сеть Microsoft"
23:36 - имеем право делать реверс-инжиниринг.
23:50 - имеем право декомпилировать Windows
24:00 - можно вписать несколько слов в ГК и расширить возможности.
24:17 - с помощью всего этого можно взять под контроль безопасность windows
24:34 - так мы можем получить полноценный Windows, достаточно безопасный
00:50 - Россия берёт линукс, переделывает его и получаются российские ОС
01:16 - Тезис: нужно развивать направление windows-совместимых систем
01:16 - Тезис: России хватило бы сил даже написать windows с нуля
01:24 - Тезис: в Linux много уязвимостей и они проникают даже в сертифицированные российские ОС
01:50 - Призываю государство проверить, хорошо ли российские ОС защищены от 0-day уязвимостей и оценить последствия взлома через ещё не найденные дыры.
02:08 - Тезис: если брать код из Open Source, то нужно брать код возрастом 10-20 лет
03:26 - Разрыв в компетенциях между ИТ-специалистами и остальными не позволяет обществу увидеть масштаб проблемы
04:00 - Тезис: ОС нужно писать на других языках
04:20 - Переход с Windows на Линукс. За 20 лет - слабый результат
04:50 - Германия и Китай тоже не осилили.
05:07 - Примеры российских организаций, которые не перешли на Linux, включая УДП и Рос***мос
05:43 - Оценка трудоёмкости пересоздания Windows XP с нуля - 15 тыс. человеко-лет, базовый линукс - 50 тыс, полный Debian - 500 тыс
06:25 - Найти все дыры - не по силам человечеству, бесконечные трудозатраты
06:47 - Сбертеху хватило бы сил, чтобы написать Windows XP или Lubuntu
07:01 - Силами всех российских программистов можно было бы написать с нуля Дебиан со всеми приложениями
07:10 - Нам нужна Windows-совместимая система и мы можем её сделать.
07:26 - Как её сделать быстро и дёшево?
07:30 - Wine: Аскон запустил в линуксе Компас с помощью Wine . При этом переписать Компас под линукс АСКОН обещает через несколько лет.
08:07 - ReactOS - Windows-совместимая операционная система с открытыми исходниками. РФ не дала денег команде ReactOS, но ещё не поздно это сделать.
09:09 - О безопасности. Linux - open source, но исходные тексты Windows тоже есть - можно изучать.
09:28 - В Linux последние 15 лет всегда был один или более способов захватить права администратора.
10:18 - Новые уязвимости добавляют ещё до того, как устранены старые.
11:27 - Если эти уязвимости являются бекдорами, то их авторы могли взломать очень много линукс-систем
11:44 - Все уязвимости с графика были скопированы в Astra Linux SE.
12:14 - Их не нашли ни при доработках, ни при сертификации
13:15 - А вообще, Astra Linux заслуживает доверия?
13:37 - В Astra Linux есть специальные меры для предотвращения таких проблем, но разработчики не уверены, что они всегда с работают.
14:27 - В худшем случае система для гостайны остаётся уязвимой для ещё не найденных дыр.
14:46 - Нужна массовая проверка того, как старые 0-day уязвимости влияли на Астра Линукс до их обнаружения.
15:00 - Если окажется, что Astra Linux была плохо защищена, то нужно оценить ущерб и принять решение, нужно ли ей пользоваться.
15:36 - В РФ есть организация, которая должна этим заниматься, но про неё мало известно.
15:59 - Итог: неясно, обеспечит ли переход на Linux безопасность.
16:10 - Почему код - это коньяк?
16:18 - Возьмём код Linux от 2008 года.
16:45 - Этот код весь мир изучал много лет.
16:50 - Код от 2021 года весь мир изучает только один год
17:00 - А уязвимости остаются не найденными по 8-10 лет.
17:17 - Чем больше лет прошло, тем меньше вероятность, что в коде остались дыры
17:25 - Новая версия ПО не означает, что в ней закрыты все дыры из старой.
17:30 - CVE-2021-3156 пережила 42 выпуска ядра Linux
17:56 - для защиты от уязвимостей необходимо ВРЕМЯ
18:00 - если мы берём линукс, написанный неизвестно кем, то мы должны взять старую версию
18:20 - в новых версиях есть новые способы защиты от 0-day уязвимостей (ASLR и т.п.)
18:25 - значит, надо взять код от 2008 года и заново воплотить в нём эти способы силами российских разработчиков
18:40 - кроме того, самые опасные уязвимости почему-то существуют, несмотря на ASLR, поэтому архитектурных методов недостаточно.
19:20 - если хотим безопасную ОС, нужен безопасный язык программирования
19:30 - язык Си создан 50 лет назад, в совершенно другом мире.
19:55 - замена Си на язык Эль-76, созданный в СССР в 1976 году, закрыла бы 38% дыр в линуксе
20:16 - процессоры Эльбрус потенциально пригодны для использования преимуществ Эль-76
20:20 - в 90-х годах были известны языки Ада и Оберон, дающие высокий уровень безопасности
20:26 - сегодня все забыли про безопасные языки и пишут на опасном Си
20:48 - предлагаются изменения в стратегии импортозамещения ОС 21:15 - как получить российский windows?
21:24 - wine - нужно вложить деньги
22:00 - ReactOS - нужно вложить деньги
22:04 - самый быстрый путь: национализация Windows и пиратские исходники
22:29 - права на доработку Windows есть в Гражданском Кодексе
23:06 - уязвимость Eternal Blue в Windows - 16 лет можно было взломать через "сеть Microsoft"
23:36 - имеем право делать реверс-инжиниринг.
23:50 - имеем право декомпилировать Windows
24:00 - можно вписать несколько слов в ГК и расширить возможности.
24:17 - с помощью всего этого можно взять под контроль безопасность windows
24:34 - так мы можем получить полноценный Windows, достаточно безопасный
…