Что такое безопасная ОСь?

«Меня часто спрашивают:

Вот вы говорите, что операционная система KasperskyOS (KOS) безопасная и рядом утверждаете, что в мире по умолчанию нет ничего абсолютно безопасного. Как так?

Да, разница небольшая, даже микроскопическая, но какая колоссальная смысловая пропасть между этими определениями!

Действительно, абсолютной кибербезопасности в этом бренном мире нет – он так устроен by design. Задача системы защиты состоит в максимальном приближении к заветным 100%, причём чем ближе, тем это труднее, дороже и медленнее. После достижения условных 99,9% эффективности каждая последующая тысячная доля процента по ресурсозатратам и сложности сравнима со всей предыдущей работой. Но делать это надо и такие технологии имеют колоссальный рынок – критическая инфраструктура, автомобилестроение, сетевые устройства и много разных других областей, где требуется максимальная защита, где каждая тысячная доля небезопасности может вызвать катастрофу с непредсказуемыми последствиями и кошмарным ущербом.

Иными словами, задача безопасной операционной системы — настолько близко приблизиться к 100%, чтобы сделать кибератаку практически нереализуемой (задача максимум), а как минимум — экономически нерентабельной («цель не оправдывает средства»). И сейчас равных KOS в решении этой задачи нет. Я поясню почему это действительно безопасная платформа с нашей точки зрения.

Кратко: KOS изначально построена на правильной безопасной микроядерной архитектуре, работает в защищённом адресном пространстве по концепции «Default Deny», позволяет описывать бизнес-логику до мельчайших подробностей. Система компактна, прозрачна и не содержит ничего лишнего.

А теперь подробнее.


Архитектура

Театр начинается с вешалки, а операционная система с архитектуры.

К чему стремятся современные настольные, мобильные и даже многие промышленные ОСи? Удобство, масштабируемость, функциональность, устойчивость, закрытость… Ленивый не декларирует «безопасность», но если копнуть глубже, то становится очевидной конъюнктурная маркетинговая отстройка, не имеющая реального технологического обоснования.

Концептуальное отличие заключается в архитектуре операционки: безопасная ОС основана на парадигме «безопасность-ядро-приложения» на контрасте с классической «ядро-приложения-безопасность», свойственной незащищённым системам. Экосистема KOS как раз растёт из фундаментальных принципов кибербезопасности (об этом ниже), которые определяют работу ядра и приложений.


Третье кольцо

Один из основных принципиальных подходов – перенести большинство кода операционной системы в адресное пространство с низким уровнем привилегий. Для примера: на x86 архитектуре – в третье кольцо. На первый взгляд это кажется странным, но этому есть разумное объяснение: третье кольцо обеспечивает защищённое адресное пространство. Там гораздо проще обеспечить контроль за действиями кода и защиту кода от внешних воздействий. Неминуемое снижение производительности в нашем случае компенсируется ускорением за счёт компактности (см. ниже про микроядро) и аккуратности программирования. Кроме того, код становится гораздо более прозрачным и, как следствие, более надёжным.


Разрешить нельзя запретить

Концепция Default Deny («запрет по умолчанию») на уровне приложений в классических операционных системах была реализована давно и успешно используется в различных сценариях. Это достаточно эффективный, хорошо зарекомендовавший себя метод, применяемый для повышения защищенности многих систем.

В KasperskyOS концепция Default Deny внедрена на системный уровень. Все действия в безопасной ОС по умолчанию запрещены. В процессе внедрения заказчик описывает правила, которые разрешают конкретные действия, соответствующие специфическим бизнес-задачам, создаёт политику безопасности. Иными словами, политика безопасности — это свод законов, под управлением которых работает система. Что-то типа правил дорожного движения. С одним важным исключением – нарушить эти правила невозможно. Таким образом KOS обеспечивает качественно более высокую надёжность защиты.


Правильный микроменеджмент

Что важно: правила действий пользователя KasperskyOS отличаются исключительной гибкостью, выразительностью и гранулярностью. Можно описать самую специфическую логику, включая особенности межпроцессного взаимодействия, использование системных служб, сетевых протоколов, модулей ОС и приложений, вплоть до самых мелких подробностей, если это требуется для достижения специфических требований по безопасности. Любые действия, выходящие за рамки описанной логики автоматически блокируются. Система допускает выполнение только явным образом разрешённых операций.


Меньше — лучше

Однажды на выставке Embedded World меня смутил стенд одной компании, которая подчёркивала крутизну своего софта фразой «эта машина ездит на ста миллионах строках кода». На самом деле, чем больше кода, тем продукт опаснее из-за потенциальных уязвимостей. Как правило, такой продукт сложнее для аудита, хуже показатели его ресурсоёмкости и быстродействия, много другой негативной «побочки». Наконец, объём кода свидетельствует о качестве программирования – действительно профессиональный разработчик способен изящно и лаконично реализовывать даже самые сложные задачи.

Ядро KOS – всего примерно 1500 строк. Вы не ошиблись: тысяча пятьсот строк, которые описывают всю логику работу ядра операционной системы. Ядро привязывается к процессорам (Intel, ARM, MIPS), к нему прикручиваются драйверы, системные утилиты, интерфейс и бизнес-приложения. Мы называем KasperskyOS микроядерной операционной системой, хотя с таким размером ядра вполне могли бы называть и наноядерной ОС.


Прозрачнее воздуха

Геополитическая турбулентность последних лет вызвала серьёзный кризис доверия в IT-индустрии. Приступы паранойи рисуют вездесущих госхакеров и секретные правительственные операции, использующие программное обеспечение для кибершпионажа. Некоторые компании видят решение проблемы в ещё большей закрытости, мы же считаем, что как раз сейчас пришло время разумной открытости. Благодаря компактности и прозрачности ядра KasperskyOS прекрасно соответствует этой инициативе.


Почему мы не боимся открывать исходный код наших продуктов?

Во-первых, мы ничего не прячем в коде. Во-вторых, мы будем рады обнаружению уязвимостей, исправление которых сделает наши продукты ещё более надёжными. В-третьих, ядро KOS уже многократно проверено, ни единого «бага» и недекларированных процедур обнаружено не было. Процесс сертификации, который мы начали недавно, я уверен, ещё раз это подтвердит. Наконец, знакомство с исходным кодом не является условием обнаружения уязвимостей – в подавляющем большинстве случаев их находят другими способами.


Ничего лишнего

Многие десятилетия софтверный рынок развивался под эгидой гонки функциональности. Citius, altius, fortius. Больше кнопочек, фичей и фенечек, которые заполняли пресс-релизы о запусках новых версий, вызывали восторженные «вау!» пользователей и… никогда не использовались. Сколько возможностей Windows использует средний пользователь? А офиса? Вот любопытный пример: в трети случаев в Word используется всего пять команд. А сколько команд вообще никогда никем не использовалось?

Каждая новая функция влечёт за собой спектр рисков: уязвимости, снижение производительности и отказоустойчивости, сложность управления и т.д. KasperskyOS работает по принципу «ничего лишнего». Операционная система максимально проста, понятна и прозрачна. Более того, в специфических реализациях она помогает «обрубить» избыточную функциональность других ОС и приложений, а также гарантировать выполнение только заявленной функциональности на устаревших платформах (например, «древних» АСУ ТП).»