Защищенные операционные системы

Операционная система есть специально организованная совокупность программ, которая управляет ресурсами системы (ЭВМ, вычислительной системы, других компонентов ИВС) с целью наиболее эффективного их использования и обеспечивает интерфейс пользователя с ресурсами.

Операционные системы, подобно аппаратуре ЭВМ, на пути своего развития прошли несколько поколений.

ОС первого поколения были направлены на ускорение и упрощение перехода с одной задачи пользователя на другую задачу (другого пользователя), что поставило проблему обеспечения безопасности данных, принадлежащих разным задачам.

Второе поколение ОС характеризовалось наращиванием программных средств обеспечения операций ввода-вывода и стандартизацией обработки прерываний. Надежное обеспечение безопасности данных в целом осталось нерешенной проблемой.

К концу 60-х гг. ХХ в. начал осуществляться переход к мультипроцессорной организации средств ВТ, поэтому проблемы распределения ресурсов и их защиты стали более острыми и трудноразрешимыми. Решение этих проблем привело к соответствующей организации ОС и широкому применению аппаратных средств защиты (защита памяти, аппаратный контроль, диагностика и т.п.).

Основной тенденцией развития вычислительной техники была и остается идея максимальной доступности ее для пользователей, что входит в противоречие с требованием обеспечения безопасности данных.

Под механизмами защиты ОС будем понимать все средства и механизмы защиты данных, функционирующие в составе ОС. Операционные системы, в составе которых функционируют средства и механизмы защиты данных, часто называют защищенными системами.

Под безопасностью ОС будем понимать такое состояние ОС, при котором невозможно случайное или преднамеренное нарушение функционирования ОС, а также нарушение безопасности находящихся под управлением ОС ресурсов системы. Укажем следующие особенности ОС, которые позволяют выделить вопросы обеспечения безопасности ОС в особую категорию:

управление всеми ресурсами системы;

наличие встроенных механизмов, которые прямо или косвенно влияют на безопасность программ и данных, работающих в среде ОС;

обеспечение интерфейса пользователя с ресурсами системы;

размеры и сложность ОС.

Большинство ОС обладают дефектами с точки зрения обеспечения безопасности данных в системе, что обусловлено выполнением задачи обеспечения максимальной доступности системы для пользователя.

Рассмотрим типовые функциональные дефекты ОС, которые могут привести к созданию каналов утечки данных.

Идентификация. Каждому ресурсу в системе должно быть присвоено уникальное имя - идентификатор. Во многих системах пользователи не имеют возможности удостовериться в том, что используемые ими ресурсы действительно принадлежат системе.

Пароли. Большинство пользователей выбирают простейшие пароли, которые легко подобрать или угадать.

Список паролей. Хранение списка паролей в незашифрованном виде дает возможность его компрометации с после-дующим НСД к данным.

Пороговые значения. Для предотвращения попыток несанкционированного входа в систему с помощью подбора па-роля необходимо ограничить число таких попыток, что в некоторых ОС не предусмотрено.

Подразумеваемое доверие. Во многих случаях программы ОС считают, что другие программы работают правильно.

Общая память. При использовании общей памяти не всегда после выполнения программ очищаются участки оперативной памяти (ОП).

Разрыв связи. В случае разрыва связи ОС должна немедленно закончить сеанс работы с пользователем или повторно установить подлинность субъекта.

Система может содержать много элементов (например, программ), имеющих различные привилегии.

Основной проблемой обеспечения безопасности ОС является проблема создания механизмов контроля доступа к ресурсам системы. Процедура контроля доступа заключается в проверке соответствия запроса субъекта предоставленным ему правам доступа к ресурсам. Кроме того, ОС содержит вспомогательные средства защиты, такие как средства мониторинга, профилактического контроля и аудита. В совокупности механизмы контроля доступа и вспомогательные средства защиты образуют механизмы управления доступом.

Средства профилактического контроля необходимы для отстранения пользователя от непосредственного выполнения критичных с точки зрения безопасности данных операций и передачи этих операций под контроль ОС. Для обеспечения безопасности данных работа с ресурсами системы осуществляется с помощью специальных программ ОС, доступ к которым ограничен.

Средства мониторинга осуществляют постоянное ведение регистрационного журнала, в который заносятся записи о всех событиях в системе. В ОС могут использоваться средства сигнализации о НСД, которые используются при обнаружении нарушения безопасности данных или попыток нарушения.

Контроль доступа к данным. При создании механизмов контроля доступа необходимо, прежде всего, определить множества субъектов и объектов доступа. Субъектами могут быть, например, пользователи, задания, процессы и процедуры. Объектами - файлы, программы, семафоры, директории, терминалы, каналы связи, устройства, блоки ОП и т.д. Субъекты могут одновременно рассматриваться и как объекты, поэтому у субъекта могут быть права на доступ к другому субъекту. В конкретном процессе в данный момент времени субъекты являются активными элементами, а объекты - пассивными.

Для осуществления доступа к объекту субъект должен обладать соответствующими полномочиями. Полномочие есть некий символ, обладание которым дает субъекту определенные права доступа по отношению к объекту, область защиты определяет права доступа некоторого субъекта ко множеству защищаемых объектов и представляет собой совокупность всех полномочий данного субъекта.

При функционировании системы необходимо иметь возможность создавать новые субъекты и объекты. При создании объекта одновременно создается и полномочие субъектов по использованию этого объекта. Субъект, создавший такое полномочие, может воспользоваться им для осуществления доступа к объекту или же может создать несколько копий полномочия для передачи их другим субъектам.

С традиционной точки зрения средства управления доступом позволяют специфицировать и контролировать действия, которые субъекты (пользователи и процессы) могут выполнять над объектами (информацией и другими компьютерными ресурсами). В данном разделе речь пойдет о логическом управлении доступом, которое, в отличие от физического, реализуется программными средствами. Логическое управление доступом - это основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность объектов и, до некоторой степени, их доступность (путем запрещения обслуживания неавторизованных пользователей).

Рассмотрим формальную постановку задачи в традиционной трактовке. Имеется совокупность субъектов и набор объектов. Задача логического управления доступом состоит в том, чтобы для каждой пары "субъект-объект" определить множество допустимых операций и контролировать выполнение установленного порядка.

Отношение "субъекты-объекты" можно представить в виде матрицы доступа, в строках которой перечислены субъекты, в столбцах - объекты, а в клетках, расположенных на пересечении строк и столбцов, записаны дополнительные условия (например, время и место действия) и разрешенные виды доступа. Фрагмент матрицы может выглядеть, например, как показано в табл. 1.

Таблица 1. Фрагмент матрицы доступа

Тема логического управления доступом - одна из сложнейших в области информационной безопасности. Дело в том, что само понятие объекта (а тем более видов доступа) меняется от сервиса к сервису. Для операционной системы к объектам относятся файлы, устройства и процессы. Применительно к файлам и устройствам обычно рассматриваются права на чтение, запись, выполнение (для программных файлов), иногда на удаление и добавление. Отдельным правом может быть возможность передачи полномочий доступа другим субъектам (так называемое право владения). Процессы можно создавать и уничтожать. Современные операционные системы могут поддерживать и другие объекты.

Для систем управления реляционными базами данных объект - это база данных, таблица, представление, хранимая процедура. К таблицам применимы операции поиска, добавления, модификации и удаления данных, у других объектов. В результате при задании матрицы доступа нужно принимать во внимание не только принцип распределения привилегий для каждого сервиса, но и существующие связи между сервисами (приходится заботиться о согласованности разных частей матрицы). Аналогичная трудность возникает при экспорте/импорте данных, когда информация о правах доступа, как правило, теряется (поскольку на новом сервисе она не имеет смысла).

Следовательно, обмен данными между различными сервисами представляет особую опасность с точки зрения управления доступом, а при проектировании и реализации разнородной конфигурации необходимо позаботиться о согласованном распределении прав доступа субъектов к объектам и о минимизации числа способов экспорта/импорта данных.

Матрицу доступа, ввиду ее разреженности (большинство клеток - пустые), неразумно хранить в виде двухмерного массива. Обычно ее хранят по столбцам, т.е. для каждого объекта поддерживается список "допущенных" субъектов вместе с их правами. Элементами списков могут быть имена групп и шаблоны субъектов, что служит большим подспорьем администра-тору. Некоторые проблемы возникают только при удалении субъекта, когда приходится удалять его имя из всех списков доступа; впрочем, эта операция производится нечасто.

Списки доступа - исключительно гибкое средство. С их помощью легко выполнить требование о гранулярности прав с точностью до пользователя. Посредством списков несложно добавить права или явным образом запретить доступ (например, чтобы наказать нескольких членов группы пользователей). Безусловно, списки являются лучшим средством произвольного управления доступом.

Подавляющее большинство операционных систем и систем управления базами данных реализуют именно произвольное управление доступом. Основное достоинство произвольного управления - гибкость. К сожалению, у "произвольного" под-хода есть ряд недостатков. Рассредоточенность управления доступом ведет к тому, что доверенными должны быть многие пользователи, а не только системные операторы или администраторы. Из-за рассеянности или некомпетентности сотрудника, владеющего секретной информацией, эту информацию могут узнать и все остальные пользователи. Следовательно, произвольность управления должна быть дополнена жестким контролем за реализацией избранной политики безопасности.

Второй недостаток, который представляется основным, состоит в том, что права доступа существуют отдельно от данных. Ничто не мешает пользователю, имеющему доступ к секретной информации, записать ее в доступный всем файл или заменить полезную утилиту ее "троянским" аналогом. Подобная "разделенность" прав и данных существенно осложняет проведение несколькими системами согласованной политики безопасности и, главное, делает практически невозможным эффективный контроль согласованности.

Возвращаясь к вопросу представления матрицы доступа, укажем, что для этого можно использовать также функциональный способ, когда матрицу не хранят в явном виде, а каждый раз вычисляют содержимое соответствующих клеток. Например, при принудительном управлении доступом применяется сравнение меток безопасности субъекта и объекта.

Удобной надстройкой над средствами логического управления доступом является ограничивающий интерфейс, когда пользователя лишают самой возможности попытаться совершить несанкционированные действия, включив в число видимых ему объектов только те, к которым он имеет доступ. Подобный подход обычно реализуют в рамках системы меню (пользователю показывают лишь допустимые варианты выбора) или посредством ограничивающих оболочек, таких как restricted shell в ОС Unix.

Рисунок 1. Схема модели Харрисона, Руззо и Ульмана

При принятии решения о предоставлении доступа обычно анализируется следующая информация:

идентификатор субъекта (идентификатор пользователя, сетевой адрес компьютера и т.п.). Подобные идентификаторы являются основой произвольного (или дискреционного) управления доступом;

атрибуты субъекта (метка безопасности, группа пользователя и т.п.). Метки безопасности - основа мандатного управления доступом.

Непосредственное управление правами доступа осуществляется на основе одной из моделей доступа:

матричной модели доступа (модель Харрисона-Руззо-Ульмана);

многоуровневой модели доступа (модель Белла-Лападулы).

Разработка и практическая реализация различных защищенных ОС привела Харрисона, Руззо и Ульмана к построению формальной модели защищенных систем. Схема модели Харрисона, Руззо и Ульмана (HRU-модели) приведена на рис. 1.

Оставаться анонимным в интернете, это не всегда одно и то же что и безопасный веб-серфинг. Важно держать максимум технической информации о вашем устройстве в безопасности от посторонних глаз, чтобы злоумышленники не смогли воспользоваться уязвимостями вашей системы и украсть ваши конфиденциальные данные и использовать их в своих целях, которые могут принести серьезные последствия.

Если вы хотите остаться анонимным в сети и защитить свои данные, в этой статье мы рассмотрим самые безопасные дистрибутивы linux, которые помогут вам в этом.

Большинство из инструментов, перечисленных в этой статье можно использовать полностью бесплатно. Кроме них, есть и платные варианты, например, VPN, но эти бесплатные инструменты справляются со своей задачей гораздо лучше. Необходимость безопасности в интернете постоянно растет, всегда есть риск кибератаки и прослушивания со стороны спецслужб. Не удивительно, что сразу же было создано несколько дистрибутивов, объединяющих в себе инструменты, обеспечивающие максимальную анонимность в сети.

Эти дистрибутивы изначально были ориентированы на узких специалистов, но в последнее время они набрали большую популярность. В связи со спросом на такие системы со стороны пользователей они постоянно развиваются и добавляются новые, возможно, сейчас их существует больше двадцати, но мы рассмотрим только лучшие безопасные linux дистрибутивы.

Большинство из них используют для обеспечения анонимности программное обеспечение Tor, которое обеспечивает действительно высокий уровень анонимности, в отличие от VPN провайдеров, которые все еще знают ваш реальный IP адрес.

Но у VPN и сейчас есть множество преимуществ, что делает его лучшим вариантом в некоторых случаях. Если для вас важна скорость соединения или вы собираетесь передавать файлы по P2P, тут выиграет VPN.

Прежде чем рассматривать самые безопасные linux дистрибутивы, давайте поговорим о том, как обеспечивается анонимность Tor. Tor или The Onion Router это стандартный протокол шифрования, разработанный в ВМС США.

Программное обеспечение Tor работает с несколькими узлами, это и обеспечивает высокую надежность и анонимность. Данные при прохождении через случайный узел каждый раз перешифровываются и становятся полностью расшифрованными только на последнем узле. Разработчики Tor также отвечают за создание дистрибутива Tails, который рекомендует использовать Эдвард Сноуден.

Теперь вернемся к VPN. Обычно, это платные сервисы, найти хороший, бесплатный VPN очень сложно. Качество обслуживания VPN зависит от провайдера, но как правило, скорость работы серверов VPN намного быстрее, чем Tor.

1. Tails - анонимный LiveCD

Если вы хотите остаться неизвестным в интернете, Tails - отличный выбор. Его основная цель - следить, чтобы вы не оставили никаких цифровых следов во время веб-серфинга. Это один из наиболее часто используемых для обеспечения анонимности дистрибутивов, и единственный, где все интернет-соединения направляются через Tor.

Обычно Tails устанавливается на флешку, все данные хранятся в оперативной памяти, а после завершения работы стираются. Операционная система основана на Debian и поставляется с большим набором инструментов с открытым исходным кодом специально разработанных для обеспечения конфиденциальности. Здесь поддерживается подмена MAC адреса и камуфляж Windows, когда система выглядит очень похожей на Windows 8.

Tails использует устаревшую версию Gnome, которая выглядит некрасиво и минималистично без возможности дополнительной настройки и улучшения, поскольку файлы между сессиями не сохраняются. Возможно, для многих это неважно, ведь Tails выполняет свою работу. У дистрибутива есть отличная документация и вы можете прочитать ее на официальном сайте.

2. JonDo Live-DVD

JonDo Live-DVD - это коммерческое решение для анонимности в сети. Оно работает похожим образом на Tor, ваши данные тоже передаются через ряд смешанных серверов JonDonym. На каждом узле данные перешифровываются. Это отличная альтернатива для Tails, особенно если вы ищете что-то с менее ограниченным пользовательским интерфейсом.

Как и Tails, дистрибутив основан на Debian, а также включает в себя набор инструментов для обеспечения анонимности и наиболее часто используемые приложения.

JonDo Live-DVD это платный сервис, для коммерческого использования. Он ориентирован на использование в фирмах, а также быстрее чем Tails и тоже не поддерживает сохранение файлов.

Если вам нужно что-то совершенно другое, вам будет интересен Whonix. Здесь используется совсем другой подход. Это не LiveCD. Whonix работает в виртуальной машине VirtualBox, система изолирована от вашей основной системы, тем самым уменьшается риск подхватить вирусы или засветить свои данные в сети.

Whonix состоит из двух частей. Whonix Gatway выступает в качестве шлюза Tor, вторая - Whonix Workstation является полностью изолированной от сети и направляет все свои сетевые соединения через шлюз Tor.

Таким образом, здесь необходимо использовать две виртуальные машины, что может создать определенные проблемы, если у вас слабое оборудование. Но тем не менее она работает. Правда, это не самый безопасный дистрибутив Linux, как Live CD, поскольку там не сохраняются данные на жестком диске.

Whonix основан на Debian, но в качестве окружения рабочего стола используется KDE. Операционная система не подходит для повседневного использования и вы можете ее использовать только на виртуальной машине.

4. Qubes OS

Это еще один дистрибутив для обеспечения анонимности рекомендуемый Сноуденом. Qubes пытается исправить недостатки всех предыдущих дистрибутивов с недостаточно красивым и настраиваемым пользовательским интерфейсом. Это дистрибутив для повседневного использования, совмещающий в себе мощь Tor и Whonix.

Здесь совсем иной подход к анонимности. Идея Qubes - безопасность путем разделения. Это значит, что ваша цифровая жизнь будет разделена между изолированными виртуальными машинами. Любое приложение запускается в отдельной виртуальной среде.

Нужно отметить, что Qubes поставляется по умолчанию с флагманским ноутбуком от Purism. Этот ноутбук считается самым безопасным устройством для пользователей. И это правда, учитывая мощное программное обеспечения этого дистрибутива.

Если вам нужен удобный дистрибутив для повседневного использования со всей стандартной функциональностью и привычными приложениями, Qubes OS может стать отличным выбором. В отличие от выше перечисленных он может быть установлен на жесткий диск.

5. UPR (Ubuntu Privacy Remix)

UPR, это еще один устанавливаемый дистрибутив, ориентированный на безопасность. Он удобен для пользователей и обеспечивает изолированную среду, в которой конфиденциальные данные могут быть в безопасности.

Уже судя по имени, можно сказать, что он основан на Ubuntu. Дистрибутив предлагает безопасный серфинг в интернете и использование шифрованных флешек, для эффективной защиты ваших данных от несанкционированного доступа. Дистрибутив поставляется с предустановленными инструментами для шифрования, такими как GnuPG и TrueCrypt. UPR предназначен только для безопасного серфинга в интернете, а не для анонимности. Он отлично подойдет, если вы хотите установить систему на свой компьютер, а не использовать LiveCD. Если нужна еще и анонимность можно установить Tor или подключить VPN.

Выводы

Учитывая что Tails самый распространенный из всех упомянутых в этой статье, то можно решить что он самый безопасный. Но другие дистрибутивы тоже отлично служат своей цели. Так что тут все упирается только в личные предпочтения.

15.04.2001 Руслан Богатырев

Еще никогда в истории реальный мир так не зависел от мира искусственного, придуманного и построенного самим человеком - Интернет не только навел мосты между странами и континентами, но и приблизил преступника к жертве. Как следствие, наметился интерес к достоверным (trusted) и защищенным (secure) операционным системам.

Безопасность компьютерных систем была и остается головной болью для тех, кому небезразлична судьба важной информации, влияющей на принятие решений, управление финансами, распределение ресурсов и т.п. Годы идут, а число желающих воспользоваться плодами чужого труда или же нанести умышленный ущерб не уменьшается, а непрерывно возрастает. Более того, благодаря возможности быстрого и широкого распространения «передового опыта» по преодолению защитных барьеров, ввиду явной беспечности многих владельцев информации и редкого соблюдения принципа неотвратимости наказания весь мир столкнулся с серьезной и жестокой болезнью. Имя ее неизвестно, но опасность ее очевидна. Она в скрытой форме поразила огромную территорию и теперь грозит перерасти в настоящую эпидемию.

Еще никогда в истории реальный мир так не зависел от мира искусственного, придуманного и построенного самим человеком. Не позаботившись должным образом об организации действенной защиты своих творений, мы во благо развития цивилизации стремимся все глубже связать информационными каналами два этих мироздания, обеспечить максимальное проникновение более несовершенного мира в менее несовершенный. Компьютерная эволюция уже преодолела три важных этапа:

• концентрацию вычислительных и информационных ресурсов (в эпоху мэйнфреймов);
• обеспечение технической доступности компьютерных мощностей для массовой аудитории (в эпоху ПК);
• ломку естественных границ пространства и времени в масштабах мировой экономики и политики (в эпоху Internet).

Единая цифровая форма представления в огромной степени облегчила решение многих практических задач, но при этом поневоле создала почву для нанесения максимального ущерба с минимальными затратами. Более того, в силу унификации информационного обмена и простоты работы с программными инструментами вред может осуществить даже неискушенный человек. Только лишь столкнувшись с проблемой СПИД, мы смогли осознать, что наш организм обладает своей многоуровневой защитой, где иммунитет играет едва ли не ключевую роль. Отсутствие в компьютерном мире подобного всепроникающего защитного барьера не в столь уж отдаленном будущем обещает принести проблемы такого масштаба, по сравнению с которыми беды, вызванные современными эпидемиями, покажутся мелкими и незначительными. Наступает время всерьез задуматься над тем, что без возведения искусственных барьеров, без создания аналогов локальной иммунной защиты для ПО дальше двигаться вперед становится все опаснее.

Когда речь заходит о проблемах информационной безопасности, прибегают обычно к простому и проверенному сценарию: сначала хорошенько запугать аудиторию цифрами и фактами, характеризующими масштабы и природу грозящей опасности, а затем приступить к основной части - к изложению рецептов чудодейственных «препаратов», устраняющих ряд упомянутых симптомов. Отдавая дань традиции, не будем чересчур далеко отходить от проторенного пути. Однако вряд ли имеет смысл лукавить: проблем здесь куда больше, чем решений. Так что в зону нашего внимания попадут в основном болевые точки компьютерных конфигураций - их операционных систем.

По данным годового отчета «2001 Computer Crime and Security Survey» Института компьютерной безопасности в Сан-Франциско и ФБР, финансовые потери от компьютерных преступлений в США за минувший год выросли на 43% с 265,6 млн. долл. до 377,8 млн. При этом 85% респондентов из 538, в основном из промышленных и государственных структур, заявили о фактах нарушения компьютерной безопасности, причем не только из-за атак злоумышленников. Почти 64% были озабочены понесенными убытками, но лишь 35% смогли оценить их в денежном выражении. Около 70% респондентов заявили, что чаще всего атакам подвергались Internet-каналы, а 31% показали, что атакам подвергались внутрикорпоративные системы. Случаи вторжения извне подтверждали 40% респондентов (в 2000 г. - 25%), а 38% фиксировали отказ в обслуживании (27% в 2000 г.). На нарушение привилегий из-за злоупотребления сотрудниками работой в Сети жаловались 91% респондентов, а 94% обнаружили в своих системах вирусы (в 2000 г. это отмечали 85%).

Даже из этих скупых цифр видна явно негативная тенденция - Internet не только возводит мосты между странами и континентами, но и приближает преступника к жертве. Перефразируя известное изречение, можно сказать, что если вы не интересуетесь киберкриминалом, очень скоро киберкриминал заинтересуется вами. Если оставить в стороне извечные вопросы разведки и промышленного шпионажа и сосредоточиться только на «бытовой» стороне дела, то одними из ведущих проблем в области информационной безопасности в минувшем году стали атаки на платежные системы, дискредитация компаний (отказ в обслуживании), производственный саботаж, вскрытие корпоративных секретов, нарушение прав интеллектуальной собственности. По оценкам отдела по науке и технологиям при Президенте США, ежегодный урон, наносимый американскому бизнесу компьютерными злоумышленниками в последние годы, достигал 100 млрд. долл. Потери от несанкционированного доступа к информации, связанной с деятельностью финансовых институтов США, составляли не менее 1 млрд. долл. в год. Таким образом, американский бизнес вплотную подошел к тому рубежу, когда своевременное и адекватное решение вопросов безопасности для него становится экономически целесообразным.

Unix в контексте безопасности

История ОС неотделима от истории и эволюции самих компьютеров. Так уж сложилось, что именно клоны Unix доминируют сегодня на рынке корпоративных систем и стали связующим звеном между миром персональных и высокопроизводительных компьютеров. К сожалению, Unix страдает серьезными недостатками, а феномен Linux , заставил по-иному взглянуть на многие проблемы, в том числе и на проблемы информационной безопасности.

Unix не имеет четкого механизма, обеспечивающего целостность пользовательских программ и файлов, не обеспечивает управление доступом для отдельного пользователя; разграничение прав ведется в рамках групп. В обычном варианте Unix не столь уж трудно стороннему человеку захватить полномочия суперпользователя. Учет и контроль действий пользователя, особенно при работе с критичными для безопасности ресурсами, также не является сильным местом обычного UNIX. Конечно, определенными усилиями по конфигурированию со стороны системного администратора некоторые изъяны можно устранить. Но, в общем, картина не выглядит обнадеживающей .

В работе сотрудников Агентства национальной безопасности США приводится подробный анализ проблем, стоящих перед существующим поколением операционных систем в плане компьютерной безопасности. Основной вывод: нужны новые специально спроектированные защищенные ОС. В частности, авторы говорят о том, что система Kerberos, протоколы SSL и IPSEC в значительной степени уязвимы в силу того, что при невозможности обеспечить наличие достоверного ПО на концах соединения защита становится иллюзорной.

Вот что сказал в своем недавнем интервью Элиас Леви (Aleph1), модератор известного списка рассылки BugTraq, посвященного проблемам компьютерной безопасности: «Я считаю, что модель безопасности в Unix чересчур упрощенная. Подход «все или ничего» оказывается никуда не годным по сравнению с принципом наименьших полномочий (least privilege)... Достоверная вычислительная база (Trusted Computing Base) никогда не предоставит всего того, что требовалось бы пользователю. С другой стороны, я нахожу, что большинство реализаций механизмов принудительного управления доступом (mandatory access control), привилегиями и т.д. слишком усложнены... В конечном итоге трудно предсказать те взаимодействия, которые приведут к появлению слабых мест. Вспомним хотя бы проблему sendmail, которая появилась в результате полномочий, внедренных в ядро Linux».

Леви призывает отказаться от практики «латания дыр» и начать строить новую ОС, изначально удовлетворяющую требованиям безопасности.

Это перекликается с наметившимся сегодня интересом к достоверным (trusted) и защищенным (secure) операционным системам. Требования к безопасности должны быть определяющими в проектировании ОС, а не вводиться как вспомогательные службы.

Критерии и ориентиры в области безопасности

Работы над критериями безопасности систем начались еще в 1967 г. и в 1970 г. появился первый отчет под названием «Security Controls for Computer Systems ». В 1983 г. Министерство обороны США выпустило «Orange Book » - книгу в оранжевой обложке под названием «Критерии оценки достоверных компьютерных систем» (Trusted Computer Systems Evaluation Criteria). Область компьютерных сетей в отношении безопасности определялась в так называемых рекомендациях X.800 - Security Architecture for Open Systems Interconnection for CCITT Applications. В «Оранжевой книге» достоверная система определяется как «система, использующая достаточные аппаратные и программные средства для обеспечения одновременной обработки информации разной степени секретности группой пользователей без нарушения прав доступа».

Выделяются два основных критерия оценивания достоверных систем:

• политика безопасности (набор правил и норм, определяющих дисциплину обработки, защиты и распространения информации, а также выбор конкретных механизмов обеспечения безопасности; это активный компонент защиты);
• гарантированность (степень доверия, которая может быть оказана конкретной реализации ОС; отражает уровень корректности механизмов безопасности; является пассивным компонентом защиты).

В соответствии с «Оранжевой книгой» выделяются три роли: системный администратор, системный оператор и администратор безопасности. Согласно требованиям TCSEC документация производителя должна включать в себя четыре важных элемента: политику безопасности; интерфейсы достоверной вычислительной базы; механизмы TCB; руководство по эффективному использованию механизмов TCB.

Вообще говоря, в область защищенных компонентов входят не только операционные системы. Так, в частности, в дополнение к «Оранжевой книге» TCSEC, регламентирующей вопросы обеспечения безопасности в ОС, существуют аналогичные документы Национального центра компьютерной безопасности США для СУБД (TDI, «Пурпурная книга ») и сетей (TNI, «Красная книга »). Так что «Оранжевая книга» - не единственный, хотя и важный документ. В США давно уже появилась целая серия документов в разноцветных обложках, получившая название «Радуга» (Rainbow Series ; www.radium.ncsc.mil/tpep/library/ rainbow). При этом, как видно из врезки, иногда под обложкой одного и того же цвета выступал разный материал.

За пределами США также появились аналоги «Оранжевой книги»: это руководящие документы Гостехкомиссии (1992 г.), а также «Критерий оценки безопасности информационных технологий» (ITSEC - Information Technology Security Evaluation Criteria, 1991), действующий в Великобритании, Германии, Франции и Нидерландах.

Конечно же, в силу необходимости унификации подходов к информационной безопасности в конце концов возникла потребность снять двойственность регулирования, которая отдельно велась в США (TCSEC) и Европе (ITSEC). На рис. 1 показано «генеалогическое древо» принятия нового международного стандарта, получившего название «Единые критерии для оценки безопасности в области информационных технологий» . Чаще всего его называют просто «Common Criteria» («Единые критерии»), определяющие международный стандарт ISO/IEC 15408, в разработке которого приняли участие Агентство национальной безопасности и Национальный институт стандартов и технологий (США), Группа по безопасности в области электроники и передачи данных (Великобритания), Федеральное агентство в области информационных технологий (Германия), Центральная служба безопасности информационных систем (Франция), Агентство национальной безопасности Нидерландов в области передачи данных, Служба безопасности в области передачи данных (Канада).

Описание Common Criteria V2.1 содержится в трех книгах:

1. Введение и общая модель (CCIMB-99-031).
2. Функциональные требования к безопасности (CCIMB-99-032).
3. Требования к гарантиям безопасности (CCIMB-99-033).

В «Единых критериях » выделяются 11 функциональных классов:

• аудит;
• криптографическая поддержка;
• передача данных;
• защита данных пользователя;
• идентификация и аутентификация;
• управление безопасностью;
• конфиденциальность;
• защита функций безопасности целевой системы;
• утилизация ресурсов;
• доступ к целевой системе;
• достоверные пути/каналы.

Внутри каждого их этих классов содержится несколько семейств, а в каждом семействе - от одного до нескольких компонентов.

Критерии, сформулированные в TCSEC, ITSEC и CCITSE, определяют разбиение компьютерных систем на 4 уровня безопасности (A, B, C, D) в зависимости от степени достоверности. Уровень A самый высокий. Далее идет уровень B (в порядке понижения безопасности здесь идут классы B3, B2, B1). Затем наиболее распространенный уровень C (классы C2 и C1). Самый нижний уровень - D (системы, которые не смогли получить аттестацию по заявленным выше классам).

Следуя компромиссу между требованиями безопасности, эффективностью системы и ее ценой, подавляющее большинство компаний стремится сегодня получить сертификат по классу C2.

Литература

1. П. Христов. Безопасность данных в ОС UNIX // «Открытые системы», 1993, № 3
2. В. Галатенко. Информационная безопасность // «Открытые системы», 1995, № 4, 1996, № 1
3. Р. Богатырев. Linux: истоки новой философии программирования // Мир ПК, 2001, No.1.
4. 2001 Computer Crime and Security Survey // Computer Security Institute, San Francisco, March 12, 2001; www.gocsi.com/prelea_000321.htm
5. Common Criteria for Information Technology Security Evaluation (CCITSE) V2.1 // 1998; www.radium.ncsc.mil/tpep/library/ccitse/ccitse.html
6 P. Loscocco et al. The Inevitability of Failure: The Flawed Assumptiom of Security in Modern Computing Environments // National Security Agency, 1998.

Руслан Богатырев

Тематика набора книг по компьютерной безопасности TCSEC в серии «Радуга»

• TCSEC (1983, 1985, «Оранжевая книга», 5200.28-STD).
• TNI, интерпретация достоверных компьютерных сетей (1987, 1990, «Красная книга», NCSC-TG-005, NCSC-TG-011).
• TDI, интерпретация достоверных СУБД (1991, «Пурпурная книга», NCSC-TG-021).
• Системы формальной верификации (1989, «Пурпурная книга», NCSC-TG-014).
• Производство достоверных систем (1992-1994, «Пурпурные книги», NCSC-TG-024).
• Защита доступа (1992, «Фиолетовая книга», NCSC-TG-028).
• Доверительное распределение (1988, «Темнолиловая книга», NCSC-TG-008).
• Создание документации (1988, «Рубиновая книга», NCSC-TG-007).
• RAMP (1995, «Розовая книга», NCSC-TG-013).
• Анализ тайных каналов (1993, «Светлорозовая книга», NCSC-TG-030).
• Тестирование безопасности (1991, «Яркооранжевая книга», NCSC-TG-023).
• Дискреционное управление доступом (1987, «Неоновая книга», NCSC-TG-003).
• Правила создания руководств пользователя (1991, «Персиковая книга», NCSC-TG-026).
• Управление конфигурациями (1988, «Янтарная книга», NCSC-TG-006).
• Требования к компьютерной безопасности (1985, «Яркожелтая книга», CSC-STD-003-85).
• Технические уточнения для требований к компьютерной безопасности (1985, «Желтая книга», CSC-STD-004-85).
• Достоверное восстановление после сбоев (1991, «Желтая книга», NCSC-TG-022).
• Написание руководств для управления достоверными средствами (1992, «Желто-зеленая книга», NCSC-TG-016).
• Комплектование данных в автоматизированных информационных системах (1991, «Бледнозеленая книга», NCSC-TG-025).
• Управление паролями (1985, «Зеленая книга», CSC-STD-002-85).
• Терминологический словарь в области компьютерной безопасности (1988, «Темнозеленая книга», NCSC-TG-004).
• Моделирование безопасности (1992, «Зеленовато-голубая книга», NCSC-TG-010).
• Компетенция администратора безопасности (1992, «Бирюзовая книга», NCSC-TG-027).
• Идентификация и аутентификация (1991, «Светлоголубая книга», NCSC-TG-017).
• Многократное использование объектов (1992, «Светлоголубая книга», NCSC-TG-018).
• Анкетирование при оценивании достоверных систем (1992, «Голубая книга», NCSC-TG-019).
• Концепции сертификации и аккредитации (1994, «Голубая книга», NCSC-TG-029).
• Оценивание достоверных продуктов (1990, «Яркоголубая книга», NCSC-TG-002).
• Интерпретация подсистем компьютерной безопасности (1988, «Небесноголубая книга», NCSC-TG-009).
• Управление достоверными средствами (1989, «Коричневая книга», NCSC-TG-015).
• Аудит в достоверных системах (1988, «Светлокоричневая книга», NCSC-TG-001).
• TRUSIX (1989, «Серебряная книга», NCSC-TG-020).

Классы безопасности компьютерных систем (TCSEC, Common Criteria)

Класс D. Минимальный уровень безопасности. В этот класс попадают системы, которые были заявлены на сертификацию, но ее не прошли. Пока в данном классе не зарегистрировано ни одной ОС.

Класс С1. Избирательная защита доступа. Предусматривает наличие достоверной вычислительной базы (TCB), выполнение требований к избирательной безопасности. Обеспечивается отделение пользователей от данных (меры по предотвращению считывания или разрушения данных, возможность защиты приватных данных). В настоящее время по этому классу сертификация не предусмотрена.

Класс C2. Управляемая защита доступа. Системы данного класса способны осуществлять более четко выделенный контроль в плане избирательной защиты доступа. Действия пользователя связываются с процедурами идентификации/аутентификации. Наделение и лишение пользователей привилегий доступа. Кроме этого, ведется аудит событий, критичных с точки зрения безопасности, выполняется изоляция ресурсов. По данному классу сертифицированы: AIX 4.3.1, OS/400 V4R4M0 with Feature Code 1920, AOS/VS II, Release 3.10, OpenVMS VAX and Alpha Version 6.1, CA-ACF2 MVS Release 6.1, NT Workstation и NT Server, Ver. 4.0, Guardian-90 w/Safeguard S00.01.

Класс B1. Маркированное обеспечение безопасности. В дополнение к требованиям класса C2 необходимо неформальное описание модели политики безопасности, маркировки данных, а также принудительного управления доступом к поименованным субъектам и объектам. По этому классу сертифицированы: CA-ACF2 MVS Release 6.1 в комплекте с CA-ACF2 MAC, UTS/MLS, Version 2.1.5+ (Amdahl), SEVMS VAX and Alpha Version 6.1, ULTRIX MLS+ Version 2.1 на платформе VAX Station 3100, CX/SX 6.2.1 (Harris Computer Systems), HP-UX BLS release 9.0.9+, Trusted IRIX/B release 4.0.5EPL, OS 1100/2200 Release SB4R7 (Unisys).

Класс B2. Структурированная защита. В этом классе систем TCB должна опираться на четко определенную и документированную формальную модель политики безопасности. Действие избирательного и принудительного управления доступом распространяется на все субъекты и объекты в системе. Выявляются тайные каналы (covert channel). TCB должна четко декомпозироваться на элементы, критичные и некритичные с точки зрения безопасности. Усиливаются механизмы аутентификации. Обеспечивается управление механизмами достоверности в виде поддержки функций системного администратора и оператора. Подразумевается наличие механизмов строгого управления конфигурацией. Система относительно устойчива к вторжению. По данному классу сертифицирована Trusted Xenix 4.0 (Trusted Information Systems).

Класс B3. Домены безопасности. TCB должна удовлетворять требованиям эталонного механизма мониторинга, который контролирует абсолютно весь доступ субъектов к объектам и при этом быть достаточно компактным, чтобы его можно было проанализировать и оттестировать. Требуется наличие администратора по безопасности. Механизмы аудита расширяются до возможностей оповещения о событиях, критичных по отношению к безопасности. Требуются процедуры восстановления системы. Система крайне устойчива к вторжению. По данному классу сертифицирована XTS-300 STOP 5.2.E (Wang Government Services).

Класс A1. Верифицированное проектирование. Данный класс систем функционально эквивалентен классу B3 в том смысле, что не требуется добавления дополнительных архитектурных особенностей или предъявления иных требований к политике безопасности. Существенное отличие состоит в том, что для гарантии корректной реализации TCB требуется наличие формальной спецификации проектирования и соответствующих методов верификации. В данном классе не зарегистрировано ни одной ОС.

Сегодня в компьютерном мире активно развиваются. Доказательством этому может быть количество дистрибутивов, существующих на данный момент. Сейчас их количество превышает тысячу. Они бывают разнообразные и заточенные под самые разные цели и задачи. В данной публикации будет рассмотрен дистрибутив Linux под названием Tails. Это самая защищённая и анонимная ОС в мире.

Tails позволяет добиться высокой степени безопасности при работе в интернете. Благодаря тому, что весь трафик заворачивается в анонимную сеть TOR, получается высокий уровень защищённости. Но на сети TOR дело не заканчивается, по умолчанию система подменяет мак-адреса сетевых механизмов чтобы было невозможно идентифицировать само устройство, с которого выполняется выход в сеть.

Защищённость операционной системы

От других защищённая операционная система Tails отличается тем, что она не устанавливается на компьютер, её можно запустить только с предварительно подготовленной или компакт-диска. Особенностью ОС является то, что она загружается в оперативную память ПК и работает из неё. Для работы Tails жёсткий диск компьютера не нужен, но при желании можно получить доступ к файлам на носителе.

Данная система не оставляет никаких следов на компьютере, при выключении ПК или извлечении загрузочного устройства оперативная память стирается, просто перезаписывается нулями. Это нужно для того, чтобы никто и никогда не смог сделать снимок ОЗУ. Минимальный для нормальной работы ОС должен быть 2 GB. Также, выполнить на работоспособность поможет одна из статей находящаяся на страницах сайта.

Еще одна особенность обсуждаемой ОС в том, что она не сохраняет ничего, никаких файлов и настроек. Что бы вы ни сохранили и какие бы установки не внесли в эту систему, после последующей перезагрузки всё стирается. Каждый раз запускается чистая безопасная операционная система, и всё время при загрузке нужно выбирать язык, а также если необходимо устанавливать пароль.

Если требуется что-нибудь сохранить, то путём дополнительных манипуляций всё-таки можно создать постоянное хранилище, в котором будут содержаться некоторые данные. Для этого, нужно с уже предустановленной загрузочной флешки загрузиться на другой USB-флеш-накопитель и повторно установить Tails. Когда система будет клонирована на другое устройство, то на втором носителе появится функция для постоянного сохранения данных, которую потом понадобится настроить. После всех манипуляций получится, зашифрованное хранилище, доступ к которому можно будет получить только тогда, когда будет произведена загрузка со второй флешки и введён пароль.

Софт и безопасность ОС

Что касается предустановленного софта, то мы имеем набор открытого программного обеспечения, которому можно доверять. Разработчики утверждают, что ПО не содержит бэкдоров и вредоносного кода. Также, в целях безопасности и анонимности не рекомендуется устанавливать стороннее программное обеспечение.

В Tails есть набор нестандартных для большинства операционных систем программ, например утилита для работы с шифрованием PGP. С её помощью можно управлять ключами, шифровать и расшифровывать текст и файлы. Также присутствуют биткоин, кошелёк Electrum, менеджер паролей KeePass. Ещё, в Tails существует плеер для , обычный браузер Firefox, который подписан как "небезопасный браузер", мессенджер Pidgin и многое другое.

Давайте подытожим, что мы имеем с операционной системой Tails. Также какими основными плюсами обладает данная ОС:

• Когда загрузочная флешка при себе можно загрузиться на любом ПК, будь то в гостях, на работе или интернет-кафе, где требуется , а уровень безопасности оставляет желать лучшего.
• Благодаря шифрованию трафика через сеть TOR, провайдер не видит, чем занимается человек, а сайт не может идентифицировать пользователя.
• Подмена мак-адреса не даёт распознать устройство при подключении к общественному WI-FI.
• Переписка посредством данной ОС может быть зашифрованной, доступные транзакции через биткоин, кошелёк с фальшивым мак-адресом выполняются из сети TOR.
• Если есть постоянное хранилище — оно зашифровано.
• Операционная система работает из оперативной памяти и после работы она обнуляется, не оставляя следов на ПК.

Работая с Tails можно быть спокойным за свою анонимность и безопасность, если она действительно нужна. Вот ссылка на официальный сайт дистрибутива Tails https://tails.boum.org/ . Ваши вопросы можно задать в комментариях, либо перейдите на страницу "Контакты" заполните и пошлите мне форму.