ФСТЭК: СЗИ на недружественных ОС и СУБД не получат сертификатов

Олеся Афанасьева 11 Ноября 2022 - 19:03

Корпорации

Государство

Соответствие требованиям регуляторов

Соответствие законодательству РФ

Импортозамещение

Сертификаты ФСТЭК

...

ФСТЭК: СЗИ на недружественных ОС и СУБД не получат сертификатов

Средство защиты информации под управлением только недружественных ОС и СУБД не получит сертификат, а выданные ранее могут отозвать. Такое заявление глава ФСТЭК сделал на петербургском ИТ-диалоге. Виталий Лютиков также прокомментировал выбор тройки отечественных ОС, сделанный Минцифрой.

ФСТЭК не будет сертифицировать СЗИ, работающие исключительно на недружественной операционке и СУБД. Об этом на IX Форуме “ИТ-Диалог” заявил глава ведомства Виталий Лютиков, пишет в своем Telegram-канале Алексей Лукацкий.

При этом выданные ранее сертификаты в случае отсутствия движения у разработчиков в сторону отечественного ПО будут сначала приостанавливаться, а затем и отзываться, приводит слова Лютикова специалист по безопасности компании Positive Technologies.

Заместитель директора ФСТЭК также прокомментировал инициативу Минцифры поддержать всего три отечественные операционные системы. Напомним, на прошлой неделе стало известно, что выбор ведомства Шадаева пал на Astra Linux, ОС “Альт” и “Ред ОС”.

Лютиков заявил, что ФСТЭК не планирует выделять кого-то из разработчиков и поддерживать только его. Однако, продолжил чиновник, с точки зрения усилий разработчиков средств защиты, “было бы правильно, чтобы в стране не было десятков разных форков и клонов ОС и СУБД, и у нас их было поменьше”.

“И хотя явно это ни у кого в выступлениях не звучало, но вариант мобилизационного развития экономики, когда останется небольшое число игроков-разработчиков на рынке ИБ (а не 200 компаний, как сейчас), которые выживут и, может быть, смогут рассчитывать на поддержку государства, прослеживается”, — делает вывод Лукацкий.

Напомним, по указу президента, с 1 января 2025 года субъектам КИИ запрещается использовать средства защиты информации, произведенные в недружественных государствах либо организациями под их юрисдикцией, прямо или косвенно подконтрольными или аффилированными с ними.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 15 Августа 2025 - 09:31

Атаки на сайты Уязвимости сайтов DoS-атаки Общее

Уязвимость MadeYouReset в HTTP/2 позволяет обойти защиту и вызвать DoS

Исследователи выявили новую уязвимость в HTTP/2 под названием MadeYouReset, которая может использоваться для проведения мощных DoS-атак. Проблема затрагивает несколько популярных реализаций протокола, включая Apache Tomcat, F5 BIG-IP и Netty, и уже получила общий идентификатор — CVE-2025-8671.

Главная опасность в том, что MadeYouReset позволяет обойти стандартное ограничение в 100 одновременных запросов на одно TCP-соединение, которое обычно защищает сервер от перегрузки.

С помощью специальным образом сформированных кадров злоумышленник может инициировать тысячи запросов и в некоторых случаях вызвать падение сервера из-за переполнения памяти.

Техника основывается на предыдущей атаке Rapid Reset, но при этом полностью обходит защиту от неё. Вместо того чтобы отправлять RST_STREAM кадры от клиента, злоумышленник провоцирует сам сервер отправить их, используя шесть разных способов нарушения работы протокола — например, передачу кадров PRIORITY с неправильной длиной или отправку данных после закрытия потока.

Это создаёт ситуацию, когда сервер сбрасывает поток, но продолжает обрабатывать запрос в бэкенде, что приводит к истощению ресурсов.

CERT/CC предупреждает: уязвимость вызвана несоответствием между спецификацией HTTP/2 и реальной архитектурой веб-серверов. Эксперты Imperva отмечают, что это ещё одно напоминание о необходимости защищать инфраструктуру от тонких, формально корректных атак.

Интересно, что на фоне этой новости компания PortSwigger рассказала о новой волне атак на HTTP/1.1 — так называемых HTTP request smuggling, где за счёт неоднозначности в обработке запросов можно обходить фильтры и захватывать сайты. Эксперты напоминают: HTTP/2 в этом плане куда безопаснее, но он должен использоваться не только на «входе» в инфраструктуру, но и во внутренних соединениях между прокси и серверами.

На днях мы писали о проблеме HTTP/1.1, угрожающей миллионам сайтов. Речь идёт о так называемых HTTP-атаках десинхронизации — когда злоумышленник отправляет специально оформленные запросы, которые сервер и прокси-системы интерпретируют по-разному.

ФСТЭК: СЗИ на недружественных ОС и СУБД не получат сертификатов

Читайте также