Поделиться
«Лаборатория Касперского» перенесла на свою ОС Linux-драйверы и запустила на ней Quake III
«Лаборатория Касперского» научилась переносить драйверы для Linux на KasperskyOS с минимальной модификацией кода. Кроме того, под KasperskyOS была портирована игра Quake III. В компании надеются тем самым развеять мифы о слабой функциональности и трудностях работы с микроядерными ОС.
Драйвера под Linux на KasperskyOS
«Лаборатория Касперского» запустила исследовательский проект по портированию драйверов Linux на KasperskyOS - защищенную операционную систему, созданную «Лабораторией». Об этом руководитель департамента платформенных решений KasperskyOS Дмитрий Лукиян рассказал на конференции Kaspersky Cyber Immunity Conference.
Выяснилось, что в среднем для портирования Linux-драйвера под KasperskyOS требуется модификация не более чем 5% его кода. В случае с драйвером для акселерометра из 7 тыс. строчек кода потребовалась модификация не более 20 строчек кода. В случае с драйвером NFC-чипа из 1,2 тыс. строчек кода изменений не потребовалось вообще.
Quake III на KasperskyOS
Кроме того, «Лаборатория Касперского» провела портирование популярной в 1990-х 3D-игры Quake III (шутер от первого лица, давший основу киберспорту) под KasperskyOS. Целью этого проекта была демонстрация производительности KasperskyOS и поддержки графического ускорителя.
Для чего нужна KasperskyOS
KasperskyOS появилась в 2016 г. Система построена по принципу secure by design. При обычном подходе к разработке продукта сначала создается код, а потом изучаются вопросы безопасности. Указанный принцип предполагает анализ вопросов безопасности перед началом его разработки.
В результате должен появиться продукт, защищенный не только от существующих, но и от будущих угроз информационной безопасности. Сам подход к разработке безопасных приложений и устройств в «Касперском» называли «кибериммунностью».
KasperskyOS создана на базе микроядра. В отличие от традиционного, монолитного ядра для операционных систем, микроядро реализует только минимальный набор функций.
Согласно дорожной карте «Новое общесистемное ПО», подготовленной «Касперским», «1С», VK и «Ростелекомом» для Правительства России, KasperskyOS предназначена для создания корпоративных сетевых устройств с основным фокусом на обеспечение безопасности данных в бизнес-процессоров, работающих на нем. Безопасность сетевого устройства (кибериммунность) обеспечиваются на уровне операционной системы KasperskyOS.
Ключевую роль в этом играют: микроядерная архитектура операционной системы; собственная кодовая база микроядра KasperskyOS; использование подходов MILS и FLASK в архитектуре KasperskyOS (изоляция компонент от микроядер и друг от друга на базе архитектуры и гибких политик, единый центр управления безопасностью информационной системы); практика проектирования кибериммунной архитектуры конечного решения; централизованное управление ИТ и ИБ функциями, настройками и процессами через консоль управления Kaspersky Security Center.
Мифы об ОС на базе микроядра
Как отмечает Дмитрий Лукиян, вокруг ОС на базе микроядра существует ряд «мифов». Помимо слабой производительности и недостатка драйверов, принято считать, что ОС на базе микроядра не обладают реальными преимуществами в вопросах безопасности, управление политикой безопасности не позволяет расширить функциональность ОС за счет приложений, кроме того, существует мнение, что такую же политику безопасности можно реализовать на Linux-контейнерах.
В «Касперском» с этими «мифами» не согласны. В компании утверждают, что 96% существующих критических уязвимостей и эксплойтов не являются критическими для микроядра: 57% уязвимостей верифицируются на уровне микроядра, 29% - «испаряются» при переходе от монолитных ядер к микроядрам.
Кибериммунный шлюз на базе KasperskyOS при работе с 200 доменами безопасности использует менее 4 Гбайт оперативной памяти. На Linux-контейнерах для этого же потребуется более 5 Гбайт оперативной памяти. С 2021 г. сторонние приложения под KasperskyOS создаются для шлюзов, с 2022 г. – для тонких клиентов.
Устройства на базе KasperskyOS
Первым устройством на базе KasperskyOS стал маршрутизатор от компании Kraftway. Впоследствии ЛК через свою «дочку» - НПО «Адаптивные промышленные технологии» («Апротех») - запустила производство собственной линейки шлюзов для интернета вещей. Также планирует выпуск шлюза, созданного на базе отечественной аппаратной платформы от Kraftway.
Кроме того, на базе KasperskyOS созданы тонкий клиент, контроллеры «умного дома» и АСУ ТП (автоматизированные систему управления технологическими процессами), автомобильный шлюз (для подключенных авто) и т.д. Запланирован и выпуск профессиональных мобильных устройств на базе KasperskyOS. Тонкий клиент в настоящее время может запускать удаленный рабочий стол. Сейчас идут работы по портированию на тонкий клиент веб-браузера, что превратит его в полноценную автоматизированную рабочую станцию (АРМ).
«Лаборатория Касперского» запланировала также создание маркетплейса приложений. В первую очередь он будет запущен для маршрутизаторов. Предполагается, что программы для шлюзов будут создавать в виде веб-приложений, для тонких клиентов – в виде QT-приложений, для контролеров - в виде консольных приложений.
Риски для России в случае отказа от развития микроядерных ОС
Согласно дорожной карте «Новое общесистемное ПО», сейчас KasperskyOS для активных сетевых устройств находится на максимальном возможном девятом уровне технологической готовности (УГТ-9). Для мобильных устройств УГТ-9 будет достигнут в 2024 г., для автоматизированных рабочих мест – в 2025 г.
Как предупреждают авторы дорожной карты, отставание России от мировых трендов, связанных с разработкой и внедрением микроядерных операционных систем, станет критично важный фактором, влияющим на технологическое развитие и информационную безопасность всего ИТ-ландшафта России.
«Промышленники лишаться возможности создавать современные и перспективные цифровые системы, включающие в себя промышленное цифровое оборудование, соответствующее принципам развития Industry 4.0, - сказано в документе. - Это связано с тем, что использование операционных систем на базе монолитных ядер (Linux, Windows и т.п.), которые спроектированы более 30 лет назад, принципиально не может обеспечить уровень информационной безопасности, необходимый для такого рода систем».
Короткая ссылка
