Безопасность LINUX и других ОС

Открытость кода привлекает закрытые организации. Раз код доступен, его можно проверить на закладки, программные бомбы и другие неприятные сюрпризы. Поэтому Linux активно используют в военных структурах США. Недавно в прессе прошли сообщения о том, что Linux будет объявлена государственной операционной системой Китая. Точнее, государственной должна стать операционная система Red Flag на базе Linux, разработанная в Китае; насколько большим переделкам подвергнется Linux — пока неизвестно.

На Украине отношение к Linux у государственных структур вполне лояльное. Чего стоят хотя бы выборы президента! Linux-компьютеры играли ключевую роль в информационной системе. Там использовался дистрибутив KSI Linux, названный так по инициалам создателя — Сергея Кубушина. Украинские силовики очень активно интересуются KSI Linux, не исключено, что в скором времени Украина пойдет по “китайскому пути” (в смысле Linux, надеюсь). СпецBSD и СпецLinux

В России ситуация с операционными системами для специальных применений довольно запутанная. Несмотря на сообщения в прессе, единой политики в этом отношении пока нет — слишком много организаций со своими собственными интересами. Договориться им не просто.

Конечно, силовым ведомствам нужно ПО российской разработки. Но если уж ПО написано не у нас, как минимум должен быть доступен исходный код. В принципе не обязательно брать ПО с открытым кодом. Можно брать и коммерческое ПО, если производитель готов открыть код (на условиях неразглашения, разумеется). Естественно, фирмы идут на это в самых крайних случаях. Так поступали Informix, Oracle, Sun. Но поскольку ПО производится не у нас, то с любой заплаткой и тем более новой версией вся мучительная процедура должна начинаться заново.

Поиски основы для защищенной операционной системы начались, конечно, не с Linux — она слишком молода. Из Unix с открытым кодом первой ОС, на которую решили возложить “специальные” задачи, была FreeBSD. В МО ПНИЭИ, где родилось знаменитое семейство “Верб”, не разрабатывают защищенные ОС, но, выпуская продукты на базе FreeBSD, дорабатывают их, создавая замкнутую программную среду.

Сертифицированный шифратор IP- потоков ШИП основан на FreeBSD 2.2.8, имеющей следующие доработки:

• аппаратный контроль целостности ПО до загрузки ОС;
• стартовое и периодическое тестирование аппаратуры (ЦП, ОЗУ, НЖМД, сетевые адаптеры);
• аппаратный датчик случайных чисел;
• “метки конфиденциальности” для сетевых буферов (mbuf);
• дополнительную фильтрацию на уровне канала связи (Ethernet);
• замкнутую программную среду для администратора и оператора.

Замкнутость программной среды означает, что любое взаимодействие с внешним миром и пользователем осуществляется только через программы МО ПНИЭИ. В этом случае требования к ОС резко падают. Разработчики считают, что это самый простой и эффективный путь создания защищенных продуктов.

Более того, Сергей Леонтьев, консультант генерального директора МО ПНИЭИ, считает, что на базе систем с открытыми исходными текстами опасно создавать ОС низкого класса защищенности (без использования “меток конфиденциальности” на память, файлы, сокеты и т. п. и без использования мандатного доступа), поскольку в такого рода системах (различные версии C2 Unix и C2 Windows или C2 Novell) имеется достаточное количество кода, работающего на высоком уровне привилегий, и нет никакой возможности провести его честную верификацию. А так как основа этого кода доступна кому угодно в исходных текстах, то у “злоумышленника” есть сравнительно простая возможность находить необнаруженные ошибки в программах.

Кроме того, у злоумышленника есть возможность прислать некоторые “исправления” группе разработчиков открытой ОС (особенно опасно это для Linux, так как разработка дистрибутивов Linux полностью децентрализована) с целью воспользоваться этой закладкой в дальнейшем. Такие случаи, утверждает Леонтьев, имелись — в “заплатках” находили троянских коней. Выявление такого рода закладок при исследовании ОС представляется проблематичным. На базе открытых ОС возможно либо создавать продукты с замкнутой программной средой, либо строить компактное ядро безопасности над системой разграничения доступа к памяти (виртуальной памяти и памяти ядра), имеющей интерфейсы с объектами ОС (файлы, сокеты, терминалы и т. п.). При этом уже получаются системы класса B1-B2 с соответствующими трудностями администрирования и использования. И все равно по большому счету такие ОС будут неполноценными, так как при использовании взятых из Internet компонентов и подсистем не будет уверенности, что они не содержат закладок и будут корректно функционировать. Таким образом, для более-менее полноценной защищенной ОС требуется российская (доверенная) реализация критически важных компонентов и подсистем (вплоть до компилятора).

Linux — более молодая ОС, чем FreeBSD, но работы по ее приспособлению к нуждам закрытых ведомств ведутся уже несколько лет. В питерском Специализированном центре защиты информации (СЦЗИ) при Санкт-Петербургском государственном техническом университете (СПбГТУ) есть группа разработчиков во главе с Петром Дмитриевичем Зегждой, которая уже восемь лет ведет работы по созданию защищенной ОС. Linux ими рассматривалась.

Зегжда рассказывает: “Мы проводили работы по исследованию безопасности Linux и возможности построения на ее основе защищенной ОС хотя бы по классу C2 ‘Оранжевой книги’ и пришли к выводу, что сделать это без переделки ядра и архитектуры в целом невозможно”.

ФАПСИ ставила перед разработчиками задачу создания защищенных систем, и они приняли решение разработать собственную защищенную ОС, со специальной архитектурой, которая бы обеспечивала защиту на уровне высоких классов и могла работать в окружении обычных программных средств. Эта ОС построена на основе микроядра собственной разработки и оригинальных средств защиты. Разработка ведется уже в течение четырех лет. Государственные испытания системы будут проходить в конце этого кода.

Интересную, по-моему, мысль высказал представитель одной из компаний, занимающихся разработкой ПО под Linux: в качестве базы для разработки защищенной ОС можно было бы взять не Linux и не FreeBSD, а HURD — систему, которая должна была стать основной в мире программного обеспечения GNU. Эта система безусловно более передовой архитектуры, а в качестве микроядра используется MACH — прекрасно отработанное, оттестированное и проверенное в коммерческих ОС. То, что мир пошел по другому пути (пути Linux), для системы, выполняющей специальные функции и под которой работают специальные приложения, может быть, и не так уж важно. Победитель де-факто и де-юре

Конечно, не ушли со сцены ОС специального применения на базе DOS и NetWare, но ясно, что борьба в мире, защищенном секретностью, будет происходить между клонами Linux и Windows NT. И у тех и у других есть много сторонников и могущественных покровителей не только в МО, ФАПСИ, МВД, но и в таких ведомствах, как, скажем, Министерство по атомной энергетике, чья позиция имеет очень большое значение в решающей схватке. Ясно также, что какие бы решения ни были приняты, в огромном и плохо просматриваемом извне мире будут сосуществовать различные ОС — многие будут использовать то, что им удобно и привычно, правдами и неправдами обходя приказы и указы. Выбирать, в общем, есть из чего. Разработки защищенных систем, в основе которых лежит BSD, тоже ведутся, эти системы используются, но их разработчики пока не расположены выносить свои достижения и проблемы на публику. Примерно то же можно сказать о SunOS / Solaris.

Военные и гражданские приложения для Linux

ОС никому не нужна сама по себе: под МСВС доступны различные линии продуктов. Основная СУБД — “Линтер-ВС”. (Кроме “Линтер” на роль сертифицированной СУБД претендовала еще одна российская разработка — СУБД Hi Tek, разработанная в фирме НИСТ, но о ее судьбе нам пока ничего не удалось узнать). Проблема скорее в наличие сертифицированных средств разработки и сертифицированных офисных приложений.