LINUX.ORG.RU
решено ФорумTalks

Лаборатория Касперского разработала собственную операционную систему

 , , , ,


1

1

Это вам не Денис Попов с нескучными обоями. Они утверждают, что всё «с нуля».

«Лаборатория Касперского» завершила разработку безопасной операционной системы KasperskyOS, предназначенной для использования в критически важных инфраструктурах и устройствах. Решение будет поставляться в качестве предустановленного программного обеспечения на различных типах оборудования, применяемого в индустриальных и корпоративных сетях. В настоящее время безопасная ОС «Лаборатории Касперского» внедрена в маршрутизирующий коммутатор уровня L3, разработанный компанией Kraftway. Маршрутизатор, ставший первым полностью доверенным телекоммуникационным комплексом, обеспечивает полную конфиденциальность трафика и уже доступен на российском рынке.

«Лаборатория Касперского» разрабатывала безопасную операционную систему с нуля. В силу своей архитектуры и предназначения KasperskyOS гарантирует высокий уровень информационной безопасности. Основной принцип работы безопасной ОС сводится к правилу «запрещено все, что не разрешено». Это помогает исключить возможность эксплуатирования как уже известных уязвимостей, так и тех, что будут обнаружены в будущем. При этом система крайне гибкая, и все политики безопасности, в том числе запреты на выполнение определенных процессов и действий, настраиваются в соответствии с потребностями организации.

Продолжение маркетингового потока по ссылке: http://www.kaspersky.ru/about/news/business/2016/KasperskyOS

Подробностей не знаю, просто разместил объяву.

Кто в курсе, что это такое, и зачем нужно? Хорошее начинание? Судя по поиску, они даже искали здесь разработчиков. Может нашли и кто-то знает более детально?

★★★★★

Микроядерная операционка. Микроядро все ipc запросы передает на проверку серверу безопасности. Сервер безопасности решает разрешать этот ipc, или нет. Конфигурация сервера безопасности для каждого продукта на базе операционки разрабатывается в содружестве с вендором продукта.

iliyap ★★★★★ ()
Ответ на: комментарий от iliyap

Микроядро все ipc запросы передает на проверку серверу безопасности.

И это быстро и безопасно работает?

another ★★★★★ ()

Эпидемия? То гугль какие-то этюды студента выкатывает, теперь Главный Вирусописатель. Кто следующий?

beastie ★★★★★ ()

Сколько этих коммутаторов уровня L3 от компании Kraftway продаётся, целых полторы штуки, вероятность взлома 0. Четвертая NT тоже не ломалась, потом в неё добавили флешки, назвали вин2000 и прикрыли вин98 и тут писец что началось.

ilovewindows ★★★★★ ()
Ответ на: комментарий от vasya_pupkin

В этот раз утверждают, что таки выпустили. До того - просто обещали.

another ★★★★★ ()

Свист.

атаки на корпоративные и индустриальные сети нередко осуществляются через уязвимости в базовом программном обеспечении, но в то же время именно оно на сегодняшний день защищено недостаточно надежно

Чтобы оно стало надежным, его нужно переписать, а не защитить.

tailgunner ★★★★★ ()
Ответ на: комментарий от ilovewindows

Четвертая NT тоже не ломалась

Чо ? ping -l 65510 mycool.win4nt.com валили NT в аут, а ломалась он только в путь, ибо в далеких 90-х о безопасности вообще никто не думал =)

vasya_pupkin ★★★★★ ()
Ответ на: комментарий от vasya_pupkin

А вот странно, антивирусов Касперского и Куранина не было, про ping -l 65510 знала, по твоим словам, каждая собака, про безопасность никто не думал, а такого беспредела, когда голая пися с экрана требует отправить смс, а не то родители увидят, не было.

ilovewindows ★★★★★ ()
Ответ на: комментарий от ilovewindows

Ну каспер был даже под DOS :)
А в писе под NT в те времена не было никакого смысла, ибо тогда не были развиты средства электронных платежей. Да и интернет был у избранных =)
В те времена были в почете пароли на диалап и подделка данных кредиток =)

vasya_pupkin ★★★★★ ()
Последнее исправление: vasya_pupkin (всего исправлений: 1)

Маршрутизатор, ставший первым полностью доверенным телекоммуникационным комплексом, обеспечивает полную конфиденциальность трафика и уже доступен на российском рынке.

ХА! Доверенным кому? Или они думают, что я вот так просто должен абсолютно доверять софту, который разработала эта контора? Даже без исходников? Да я даже себе не доверяю!

Да и какая нафиг конфиденциальность с этими ребятами?

nighthawk ()
Ответ на: комментарий от tailgunner

осуществляются через уязвимости в базовом программном обеспечении

А мне казалось что ломают в основном высокоуровневую «полезную нагрузку».

но в то же время именно оно на сегодняшний день защищено недостаточно надежно

А мне казалось основное решето как-раз в высокоуровневой полезной нагрузке, потому-что её тестирую меньше и пишут быстрее.

Хотя возможно в кровавом ынтырпрайзе всё по другому. У них там, в ынырпрайзе, какой-то свой мир.

MrClon ★★★★★ ()
Ответ на: комментарий от nighthawk

ХА! Доверенным кому?

«доверенный» = сертифицированный ФСТЭК на предмет «защиты от несанкционированного доступа к информации», на предмет «контроля отсутствия недекларированных возможностей», и всё такое

Я так понимаю, они охотно попытаются пройти любые аналогичные сертификации, если найдётся достаточно толстосумый покупатель с соответствующими требованиями.

Или они думают, что я вот так просто должен абсолютно доверять

Это не для тебя делается. Доверять этому софту будут госорганы. А также всякие-разные промышленные объекты, которые хотели бы снизить свою уязвимую для хакерских поверхность.

Manhunt ★★★★★ ()
Последнее исправление: Manhunt (всего исправлений: 1)
Ответ на: комментарий от MrClon

осуществляются через уязвимости в базовом программном обеспечении

А мне казалось что ломают в основном высокоуровневую «полезную нагрузку».

Ну, даже Касперский не может притворяться, что написал свою высокоуровневую «полезную нагрузку».

tailgunner ★★★★★ ()
Ответ на: комментарий от Manhunt

Доверять этому софту будут госорганы. А также всякие-разные промышленные объекты, которые хотели снизить свою уязвимую для хакерских поверхность.

Прикрыть задницу бумагой.

tailgunner ★★★★★ ()
Ответ на: комментарий от tailgunner

А чем ещё можно задницу прикрыть?

Понятно, что лучше всего держать важные системы в полной физической изоляции от этих ваших интернетов, а также от придурковатых сотрудников с дискетками, флешками и прочими вайфаями.

Но это не всегда получается сделать. Скажем, для географически распределенных объектов, если таки между сайтами нужен канал связи, особых альтернатив интернетам нет.

А когда жопа таки оказалась выставлена в интернеты, обнаруживается, что куча всякого промышленного оборудования несёт в себе дырявые словно дуршлаг прошивки. И никто их тебе переписывать не будет.

В плане бумажности, какая-то рациональ за всеми этими сертификациями всё-таки есть. Примерно в таком ключе: http://citforum.ru/security/articles/techproc/techproc2.shtml

Manhunt ★★★★★ ()
Ответ на: комментарий от Manhunt

А чем ещё можно задницу прикрыть?

Разумными защитными мерами.

Скажем, для географически распределенных объектов, если таки между сайтами нужен канал связи, особых альтернатив интернетам нет.

Для этого нужно сделать надежное ПО VPN, а не поставить на оконечные устройства защищенную ОС.

А когда жопа таки оказалась выставлена в интернеты, обнаруживается, что куча всякого промышленного оборудования несёт в себе дырявые словно дуршлаг прошивки. И никто их тебе переписывать не будет.

Да. Но я не вижу, как здесь поможет трижды защишенная ОС.

В плане бумажности, какая-то рациональ за всеми этими сертификациями всё-таки есть

Конечно. Но она не техническая.

tailgunner ★★★★★ ()
Последнее исправление: tailgunner (всего исправлений: 1)
Ответ на: комментарий от ilovewindows

когда голая пися с экрана требует отправить смс

очень ярко себе это представил. очень хотелось громко ржать в голос, однако дите спит, момент упущен

Kompilainenn ★★★★★ ()

["НЕИМЕЕТАНАЛОГОВ"(С)(TM)]["СДЕЛАНОУНАС"(C)(R)]

Да круче, чем QNX будет.

Судя по поиску, они даже искали здесь разработчиков.

Сам проФФеСор A.S.Tanenbaum уже россiянский паспорт получил.

Инфа 146%.

Bioreactor ★★★★★ ()
Последнее исправление: Bioreactor (всего исправлений: 1)
Ответ на: комментарий от Manhunt

сертифицированный ФСТЭК на предмет «защиты от несанкционированного доступа к информации», на предмет «контроля отсутствия недекларированных возможностей», и всё такое

Это и ежу понятно, но не от попсовой ИБ-шной конторки же! У них этих самых «недекларированных возможностей» для «несанкционированного доступа к информации», наверное, в первую очередь реализовали. А «сертифицируется» это всё у нас известно как.

Это не для тебя делается.

А вот хрен знает, что нам будут насильно пропихивать через некоторое время.

Доверять этому софту будут госорганы.

Это и самое забавное.

nighthawk ()

Судя по сертификатам - да же ясно кому и по какой цене это втюхивать будут !

robot12 ★★★★★ ()

Ааа, еще одни пытаются пронести воду в решете? Что ж, пожелаем им удачи.

znenyegvkby ()

Они изобрели Gentoo? Ах нет, там же исходники закрыты, а потом будут писать на неё вирусы и продавать антивирусы.

Promusik ★★★★★ ()
Ответ на: комментарий от Manhunt

От NSA (да и любой другой серьёзной конторы) и Air Gap не спасает. ;) Давно известно, но и проскакивало недавно опять в новостях.

beastie ★★★★★ ()

Нескучные обои завезли или оно терминального типа?

foror ★★★★ ()
Ответ на: комментарий от iliyap

Comrade Major

Микроядро все ipc запросы передает на проверку серверу безопасности.

Я бы переименовал «сервер безопасности» в «товарища майора».

Camel ★★★★★ ()
Ответ на: комментарий от tailgunner

Разумными защитными мерами.

И какие же меры защиты считать разумными?

Для этого нужно сделать надежное ПО VPN, а не поставить на оконечные устройства защищенную ОС.

Да-да, если писать софт без ошибок, то нам ничего будет не страшно. И как до этого никто раньше не догадался?

Да. Но я не вижу, как здесь поможет трижды защишенная ОС.

Защищенная ОС может мониторить активность приклада, и блокировать подозрительные вызовы. Типа, как это делает Symantec CSP.

Конечно. Но она не техническая.

By design, сертификация - это подтверждение доверенной третьей стороной соответствия софта некоторому набору требований.

CaveRat ★★ ()
Ответ на: комментарий от tailgunner

Чтобы оно стало надежным, его нужно переписать, а не защитить

Так ведь защитить нужно не для того чтобы стало надежным, а для того чтобы брать деньги за защиту. Разве не понимаете как работает рэкет?

Karapuz ★★★★★ ()
Ответ на: комментарий от CaveRat

И какие же меры защиты считать разумными?

Те, которые учитывают имеющиеся угрозы, технические средства, и квалификацию персонала. Повальная сертификация используемого софта разумной мерой не является.

Да-да, если писать софт без ошибок, то нам ничего будет не страшно.

Большая ошибка.

И как до этого никто раньше не догадался?

До того, что надо писать без ошибок, догадались многие.

Защищенная ОС может мониторить активность приклада, и блокировать подозрительные вызовы.

Это прекрасно. Теперь надо показать, что для мониторинга «активности приклада» нужно написать сертифицированную ОС с нуля. Потом можно переходить к эффективности мониторинга.

сертификация - это подтверждение доверенной третьей стороной соответствия софта некоторому набору требований.

Доверенной? Windows XP с известными дырами еще сертифицирована?

tailgunner ★★★★★ ()
Ответ на: комментарий от tailgunner

Для этого нужно сделать надежное ПО VPN, а не поставить на оконечные устройства защищенную ОС.

Проблема в том, что тебе подобные «надежное ПО VPN» начинают крутить на железке, в сетевую карту которой залита фирмварь или на операционке, которую тебе тоже добрый иностранный дяди например из циски или чекпоинта поставили. И, разумеется, добрые дяди из самых лучших побуждений и требований ихнего (буржуинскаво) законодательства не станут тебе раскрывать того, что по требованию их экспортных органов они заложили в фирмварь и операционку закладки.

И получится stuxnet, да.

Доверенная ОС, доверенное оборудование - они нужны очень немногим. Но кому нужны - тому нужны до зарезу.

no-dashi ★★★★★ ()
Ответ на: комментарий от no-dashi

тебе подобные «надежное ПО VPN» начинают крутить на железке, в сетевую карту которой залита фирмварь или на операционке, которую тебе тоже добрый иностранный дяди например из циски или чекпоинта поставили.

Ты знаешь обо мне ровно ничего. Перестань фантазировать, а то выглядишь глупее обычного.

И получится stuxnet, да.

Анализ Stuxnet ты не читал.

Доверенная ОС, доверенное оборудование - они нужны очень немногим. Но кому нужны - тому нужны до зарезу.

Банальность, сказанная напыщенным тоном, остается банальностью.

tailgunner ★★★★★ ()
Ответ на: комментарий от tailgunner

Те, которые учитывают имеющиеся угрозы, технические средства, и квалификацию персонала. Повальная сертификация используемого софта разумной мерой не является.

А повальная сертификация обязательной и не является. Сурпрайз?

До того, что надо писать без ошибок, догадались многие.

Жаль только, что не догадались, как это сделать.

Это прекрасно. Теперь надо показать, что для мониторинга «активности приклада» нужно написать сертифицированную ОС с нуля. Потом можно переходить к эффективности мониторинга.

Ну, ЛК решила, что так будет удобнее. Symantec делал еще один приклад, который делал тоже самое. Что тебе показать-то надо?

Доверенной? Windows XP с известными дырами еще сертифицирована?

это подтверждение доверенной третьей стороной соответствия софта некоторому набору требований

Выделил специально для тебя. Доверенной является третья сторона. И наличие тех или иных дыр может никак не сказываться на сертификации, если в требованиях нет раздела про защиту информации.

CaveRat ★★ ()
Ответ на: комментарий от KillTheCat

Ждем КуранинОС.

Типун тебе на язык.

Deleted ()
Ответ на: комментарий от tailgunner

Для этого нужно сделать надежное ПО VPN, а не поставить на оконечные устройства защищенную ОС.

Мне кажется, что собственно в ОП говорится об аппаратном комплексе, с прошивкой от касперского, для организации такого vpn ... другой вменяемой трактовки для фразы «обеспечивает полную конфиденциальность трафика» я придумать не могу.

Manhunt ★★★★★ ()
Ответ на: комментарий от tailgunner

Анализ Stuxnet ты не читал.

Если бы ты его не только почитал, но и подумал над прочитанным, то понял бы, что это представитель достаточно редкой разновидности червей, написанных под конкретную цель. А если бы еще немного поработал межушным тестом, то смог бы предположить, что есть и другие организации, работа которых очень интересна «партнеру и вероятному противнику», который располагает очень большими ресурсами, как административными, так и техническими. От такого напряжения на внутримозговом тесте прорезались бы извилины, и ты наверное даже вспомнил бы, что например фирмварь интеловскиъ адаптеров занимает сотни килобайт, а вхерачить какой-нибудь конечный автомат который включается при определенных условиях займет пару сотен байт, что EFI при загрузке подгружает и исполняет код из раздела EFI, куда легко можно записать что-нибудь полученное ранее и т.д. и т.п.

Банальность, сказанная напыщенным тоном, остается банальностью.

Картина маслом - хипстер учит информационной безопасности тупого ватника, который несколько лет ходил на работу через пост, нак котором сидят охранники с табельными «ксюхами», получал ключи от кабинета по индивидульной электронной карте под роспись, в должностной инструкции было написано «проверить целостность печати, при нарушении сообщить дежурному», сеть была защищена межсетевым экраном модели «плоскогубцы», а все внешние порты у рабочих мест опечатаны. Но ведь хипстеры лучше знают про режимные предприятия, да?

no-dashi ★★★★★ ()
Ответ на: комментарий от CaveRat

А повальная сертификация обязательной и не является. Сурпрайз?

Нет. Трижды насквозь сертифицированные ОС не для всего есть, слава ТНБ.

До того, что надо писать без ошибок, догадались многие.

Жаль только, что не догадались, как это сделать.

И не догадаются. Но будут приближаться к цели (см. непроверенную инфу ниже).

Теперь надо показать, что для мониторинга «активности приклада» нужно написать сертифицированную ОС с нуля. Потом можно переходить к эффективности мониторинга.

Ну, ЛК решила, что так будет удобнее. Symantec делал еще один приклад, который делал тоже самое

ЛК и Symantec сделали продукты для продажи. Если эти продукты просто будут играть роли в security theater, продавцам хуже не станет.

Что тебе показать-то надо?

Повторюсь: необходимость написанной с нуля ОС и эффективность самого мониторинга.

соответствия софта некоторому набору требований

Эти требования что-то гарантируют в плане безопасности? Если нет, нафиг они такие нужны?

Выделил специально для тебя.

Ты бы лучше на вопрос про XP ответил. Мне правда интересно.

tailgunner ★★★★★ ()
Ответ на: комментарий от no-dashi

Анализ Stuxnet ты не читал.

Если бы ты его не только почитал

В случае Stuxnet был air gap, так что твой пафос о фирмвари карт мимо тазика - air gap преодолели с флешками и дырами венды. А дальше использовали дыры в софте управления контроллерами. И ни от чего сертифицированная система не помогла бы.

несколько лет ходил на работу через пост, нак котором сидят охранники с табельными «ксюхами», получал ключи от кабинета по индивидульной электронной карте под роспись, в должностной инструкции было написано «проверить целостность печати, при нарушении сообщить дежурному», сеть была защищена межсетевым экраном модели «плоскогубцы», а все внешние порты у рабочих мест опечатаны

А под конвоем вооруженного офицера ты не работал? Нет? Тогда я не впечатлен, извини.

Но ведь хипстеры лучше знают про режимные предприятия, да?

Встретишь хипстера - померяйся. Но я не удивлюсь, если у него будет длиннее.

tailgunner ★★★★★ ()
Последнее исправление: tailgunner (всего исправлений: 1)
Ответ на: комментарий от Manhunt

Мне кажется, что собственно в ОП говорится об аппаратном комплексе, с прошивкой от касперского, для организации такого vpn ...

Вопрос в том, написал Касперский свое «базовое программное обеспечение» или нет, и если написал (во что я не верю), почему бы ему быть более безопасным, чем какой-нибудь OpenVPN.

tailgunner ★★★★★ ()

В силу своей архитектуры и предназначения

Основа архитектуры и безопасность основаны на закрытом коде?

andreyu ★★★★★ ()
Ответ на: комментарий от tailgunner

Нет. Трижды насквозь сертифицированные ОС не для всего есть, слава ТНБ.

Они и нужны не для всего. Есть 100500 разных случаев, когда ты можешь защищаться, как на душу положит. Сертификация необходима только в регулируемых сферах деятельности - если ты работает с ГТ, ПДн, у банкиров есть какие-то свои заморочки с СТОБРом, не вникал в них особо.

И не догадаются. Но будут приближаться к цели (см. непроверенную инфу ниже).

Когда приблизятся - тогда поговорим :) А пока - будем ходить другими путями.

ЛК и Symantec сделали продукты для продажи. Если эти продукты просто будут играть роли в security theater, продавцам хуже не станет.

Ну это как бы очевидный факт, не?

Повторюсь: необходимость написанной с нуля ОС и эффективность самого мониторинга.

Необходимость для кого? Какие у них требования по безопасности и какая модель угроз? Какой-то беспредметный разговор получается. Эффективность мониторинга может подтвердить только заключение независимого испытательного центра, что данный продукт выполняет данные требования. Что, собственно, и есть сертификация. Касательно наличия/отсутствия сертификатов к КошмарскийОС - не в курсе.

Эти требования что-то гарантируют в плане безопасности? Если нет, нафиг они такие нужны?

Эм... Какие требования? ФСТЭК? У ФСТЭКа есть несколько программ сертификации - по защите от несанкционированного доступа, требования к межсетевым экранам (1995 года!! Хотя, по слухам, скоро таки выйдут новые), отсутствию недекларированных возможностей. И что-то они дают.

Ты бы лучше на вопрос про XP ответил. Мне правда интересно.

Специально полез погуглить. Таки да, Win XP SP2 и SP3 соответствуют требованиям задания по безопасности и могут применяться при обработке ПДн. Алтэкс-Софт их испытывали :) Задание по безопасности - MS.WIN_XP.ЗБ, нагугливается очень легко.

Вообще, у меня сложилось впечатление, что ты не особо копенгаген в том, что представляет из себя сертификация ПО в России.

CaveRat ★★ ()
Ответ на: комментарий от tailgunner

почему бы ему быть более безопасным, чем какой-нибудь OpenVPN

Стесняюсь спросить, а OpenVPN по какому уровню доверия сертифицирован, и кем? Если ни по какому, то вопрос нужно развернуть в обратную сторону: с чего бы OpenVPN-у дотягивать по уровню безопасности до решений, которые изначально и осознанно разрабатывались в соответствии с требованиями соответствующих стандартов (и, само собой, успешно прошли соответствующие сертификации)? Ну, всякие там ISO/IEC 15408, FIPS 140, и так далее..

Manhunt ★★★★★ ()
Ответ на: комментарий от tailgunner

А под конвоем вооруженного офицера ты не работал?

А зачем нас конвоировать? Только водитель с табельным оружием, который вторую смену после 22-х часов по домам доставляет, или при аврале на работу везет.

no-dashi ★★★★★ ()
Ответ на: комментарий от no-dashi

А под конвоем вооруженного офицера ты не работал?

А зачем нас конвоировать?

Потому что если ваша работа действительно важна, то ее выполнение контролирует живой человек.

tailgunner ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.