Росэлектроника: ИТ-миграция — мучительный и длительный процесс

Росэлектроника: ИТ-миграция — мучительный и длительный процесс

Росэлектроника: ИТ-миграция — мучительный и длительный процесс

На конференции “Российская электроника” обсуждали конкурентоспособность и совместимость отечественного ПО и собственного “железа”. Говорили о “единстве многообразия” — стоит ли ждать, пока в рыночной экономике выживет сильнейший или доверить выбор государству.

У российского ИТ-рынка есть два пути развития, говорит старший вице-президент по информационным технологиям “Ростелекома” Кирилл Меньшов. Эволюционный: ждать, когда из двух десятков отечественных решений “в дикой природе” выживает самый крепкий. Но на это может уйти 10-15 лет.

“Или волюнтаристский путь, — продолжает Меньшов. — Представляет собой объединение и выкуп конкурентов”.

В Ростелекоме видят второй путь более жизнеспособным.

Гендиректор “Мой офис” Андрей Чеглаков предлагает более “авторитарный” подход.

“Все говорят про инженерные решения, но не про продукты, — объясняет Чеглаков. — А говорить нужно об унификации”. По его словам, не нужно плодить решения, а выбрать одно, субсидировать его и целенаправленно развивать.

Право и ответственность за выбор Чеглаков считает правильным доверить властям.

“Процесс миграции — мучительный и длительный процесс”, — вспоминает эксперт цитату одного зарубежного вендора, обращенную своим клиентам.

“Государство могло бы управлять спросом, — считает глава “Моего офиса”, — чтобы на рынке не плодились решения, а соревновались готовые продукты, удобные клиентам”.

Говорили и про технологическую независимостью — новый оборот, который теперь принято использовать в дополнение к импортозамещению.

“Мы сталкиваемся с нехваткой самой российской электроники, её возможных мощностей и тем, как этот рынок регулируется на критических объектах инфраструктуры”, — говорит замглавы компании ГК 1520 Павел Середа.

Для своих решений там используют российскую базу и ту, которую требует заказчик. Что касается работы по кибербезопасности, Павел Середа приводит пример Германии. На немецких железных дорогах — отдельный подрядчик, чьи решения не продаются и не выходят в открытый доступ.

Про новые независимые разработки рассказывали и в компании “Криптософт”. Речь о популярных сейчас квантовых коммуникациях.

“У нас собственная операционная система, написанная с нуля в России, и это не Linux, — говорит замдиректора “Криптософт” Евгений Букин. — Архитектурно ОС похожа на семейство Windows”.

По словам Букина, софт работает на процессорах Эльбрус, Байкал и Комдив. Участники ИТ-рынка говорили о требовании властей перейти к 2025 году на отечественное оборудование и ПО на всех объектах критической инфраструктуры.

“На всех новых объектах уже внедряют российские разработки, в том числе это касается управления и технологического ПО, — говорит Павел Середа из ГК 1520.  - Рисков при замене импортных систем на объектах, где они были ранее установлены, отечественными, нет. Вопрос упирается в финансирование и целесообразность, решение остается за регулятором и заказчиком”.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

WireTap: атака на Intel SGX позволяет украсть ключ за 45 минут

Группа исследователей из Технологического института Джорджии и Университета Пердью продемонстрировала атаку под названием WireTap, которая позволяет обойти защиту Intel SGX (Software Guard Extensions).

Главная особенность вектора атаки (PDF) в том, что для неё достаточно физического доступа к серверу и простого оборудования стоимостью менее $1000 — его можно собрать из подержанных деталей.

Учёные создали пассивный DIMM-интерпозер, который подключается к шине памяти DDR4. С его помощью они смогли замедлить и анализировать трафик, затем очистили кэш и получили контроль над защищённым SGX-«анклавом». Дальше дело техники: всего за 45 минут они извлекли ключ аттестации машины.

С помощью украденного ключа можно:

  • подделывать аттестацию и ломать приватность сетей вроде Phala и Secret, где хранятся зашифрованные смарт-контракты;
  • взламывать систему Crust, имитируя доказательства хранения данных и подрывая доверие к узлам сети.

По сути, это позволяет нарушить и конфиденциальность, и целостность таких сервисов.

Intel признала существование атаки, но отметила, что она требует физического доступа и использования спецустройства. А это, по словам Intel, выходит за рамки их стандартной модели угроз.

Исследователи считают, что снизить риски можно с помощью более сложного шифрования памяти, увеличения энтропии, защиты подписи в аттестации и повышения скорости шины.

Напомним, несколькими днями ранее мы рассказывали про другой вектор атаки — Battering RAM. Он работает довольно изящно — через дешёвое «железо» стоимостью всего около $50.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru