Оставаться анонимным в интернете, это не всегда одно и то же что и безопасный веб-серфинг. Важно держать максимум технической информации о вашем устройстве в безопасности от посторонних глаз, чтобы злоумышленники не смогли воспользоваться уязвимостями вашей системы и украсть ваши конфиденциальные данные и использовать их в своих целях, которые могут принести серьезные последствия.

Если вы хотите остаться анонимным в сети и защитить свои данные, в этой статье мы рассмотрим самые безопасные дистрибутивы linux, которые помогут вам в этом.

Большинство из инструментов, перечисленных в этой статье можно использовать полностью бесплатно. Кроме них, есть и платные варианты, например, VPN, но эти бесплатные инструменты справляются со своей задачей гораздо лучше. Необходимость безопасности в интернете постоянно растет, всегда есть риск кибератаки и прослушивания со стороны спецслужб. Не удивительно, что сразу же было создано несколько дистрибутивов, объединяющих в себе инструменты, обеспечивающие максимальную анонимность в сети.

Эти дистрибутивы изначально были ориентированы на узких специалистов, но в последнее время они набрали большую популярность. В связи со спросом на такие системы со стороны пользователей они постоянно развиваются и добавляются новые, возможно, сейчас их существует больше двадцати, но мы рассмотрим только лучшие безопасные linux дистрибутивы.

Большинство из них используют для обеспечения анонимности программное обеспечение Tor, которое обеспечивает действительно высокий уровень анонимности, в отличие от VPN провайдеров, которые все еще знают ваш реальный IP адрес.

Но у VPN и сейчас есть множество преимуществ, что делает его лучшим вариантом в некоторых случаях. Если для вас важна скорость соединения или вы собираетесь передавать файлы по P2P, тут выиграет VPN.

Прежде чем рассматривать самые безопасные linux дистрибутивы, давайте поговорим о том, как обеспечивается анонимность Tor. Tor или The Onion Router это стандартный протокол шифрования, разработанный в ВМС США.

Программное обеспечение Tor работает с несколькими узлами, это и обеспечивает высокую надежность и анонимность. Данные при прохождении через случайный узел каждый раз перешифровываются и становятся полностью расшифрованными только на последнем узле. Разработчики Tor также отвечают за создание дистрибутива Tails, который рекомендует использовать Эдвард Сноуден.

Теперь вернемся к VPN. Обычно, это платные сервисы, найти хороший, бесплатный VPN очень сложно. Качество обслуживания VPN зависит от провайдера, но как правило, скорость работы серверов VPN намного быстрее, чем Tor.

1. Tails - анонимный LiveCD

Если вы хотите остаться неизвестным в интернете, Tails - отличный выбор. Его основная цель - следить, чтобы вы не оставили никаких цифровых следов во время веб-серфинга. Это один из наиболее часто используемых для обеспечения анонимности дистрибутивов, и единственный, где все интернет-соединения направляются через Tor.

Обычно Tails устанавливается на флешку, все данные хранятся в оперативной памяти, а после завершения работы стираются. Операционная система основана на Debian и поставляется с большим набором инструментов с открытым исходным кодом специально разработанных для обеспечения конфиденциальности. Здесь поддерживается подмена MAC адреса и камуфляж Windows, когда система выглядит очень похожей на Windows 8.

Tails использует устаревшую версию Gnome, которая выглядит некрасиво и минималистично без возможности дополнительной настройки и улучшения, поскольку файлы между сессиями не сохраняются. Возможно, для многих это неважно, ведь Tails выполняет свою работу. У дистрибутива есть отличная документация и вы можете прочитать ее на официальном сайте.

2. JonDo Live-DVD

JonDo Live-DVD - это коммерческое решение для анонимности в сети. Оно работает похожим образом на Tor, ваши данные тоже передаются через ряд смешанных серверов JonDonym. На каждом узле данные перешифровываются. Это отличная альтернатива для Tails, особенно если вы ищете что-то с менее ограниченным пользовательским интерфейсом.

Как и Tails, дистрибутив основан на Debian, а также включает в себя набор инструментов для обеспечения анонимности и наиболее часто используемые приложения.

JonDo Live-DVD это платный сервис, для коммерческого использования. Он ориентирован на использование в фирмах, а также быстрее чем Tails и тоже не поддерживает сохранение файлов.

Если вам нужно что-то совершенно другое, вам будет интересен Whonix. Здесь используется совсем другой подход. Это не LiveCD. Whonix работает в виртуальной машине VirtualBox, система изолирована от вашей основной системы, тем самым уменьшается риск подхватить вирусы или засветить свои данные в сети.

Whonix состоит из двух частей. Whonix Gatway выступает в качестве шлюза Tor, вторая - Whonix Workstation является полностью изолированной от сети и направляет все свои сетевые соединения через шлюз Tor.

Таким образом, здесь необходимо использовать две виртуальные машины, что может создать определенные проблемы, если у вас слабое оборудование. Но тем не менее она работает. Правда, это не самый безопасный дистрибутив Linux, как Live CD, поскольку там не сохраняются данные на жестком диске.

Whonix основан на Debian, но в качестве окружения рабочего стола используется KDE. Операционная система не подходит для повседневного использования и вы можете ее использовать только на виртуальной машине.

4. Qubes OS

Это еще один дистрибутив для обеспечения анонимности рекомендуемый Сноуденом. Qubes пытается исправить недостатки всех предыдущих дистрибутивов с недостаточно красивым и настраиваемым пользовательским интерфейсом. Это дистрибутив для повседневного использования, совмещающий в себе мощь Tor и Whonix.

Здесь совсем иной подход к анонимности. Идея Qubes - безопасность путем разделения. Это значит, что ваша цифровая жизнь будет разделена между изолированными виртуальными машинами. Любое приложение запускается в отдельной виртуальной среде.

Нужно отметить, что Qubes поставляется по умолчанию с флагманским ноутбуком от Purism. Этот ноутбук считается самым безопасным устройством для пользователей. И это правда, учитывая мощное программное обеспечения этого дистрибутива.

Если вам нужен удобный дистрибутив для повседневного использования со всей стандартной функциональностью и привычными приложениями, Qubes OS может стать отличным выбором. В отличие от выше перечисленных он может быть установлен на жесткий диск.

5. UPR (Ubuntu Privacy Remix)

UPR, это еще один устанавливаемый дистрибутив, ориентированный на безопасность. Он удобен для пользователей и обеспечивает изолированную среду, в которой конфиденциальные данные могут быть в безопасности.

Уже судя по имени, можно сказать, что он основан на Ubuntu. Дистрибутив предлагает безопасный серфинг в интернете и использование шифрованных флешек, для эффективной защиты ваших данных от несанкционированного доступа. Дистрибутив поставляется с предустановленными инструментами для шифрования, такими как GnuPG и TrueCrypt. UPR предназначен только для безопасного серфинга в интернете, а не для анонимности. Он отлично подойдет, если вы хотите установить систему на свой компьютер, а не использовать LiveCD. Если нужна еще и анонимность можно установить Tor или подключить VPN.

Выводы

Учитывая что Tails самый распространенный из всех упомянутых в этой статье, то можно решить что он самый безопасный. Но другие дистрибутивы тоже отлично служат своей цели. Так что тут все упирается только в личные предпочтения.

Операционную систему называют защищенной, если она предусматривает средства защиты от основных классов угроз. Защищенная ОС обязательно должна содержать средства разграничения доступа пользователей к своим ресурсам, а также средства проверки подлинности пользователя, начинающего работу с ОС. Кроме того, защищенная ОС должна содержать средства противодействия случайному или преднамеренному выводу ОС из строя.

Если ОС предусматривает защиту не от всех основных классов угроз, а только от некоторых, такую ОС называют частично защищенной .

Подходы к построению защищенных ОС

Существуют два основных подхода к созданию защищенных ОС - фрагментарный и комплексный. При фрагментарном подходе вначале организуется защита от одной угрозы, затем от другой и т. д. Примером фрагментарного подхода может служить ситуация, когда за основу берется незащищенная ОС (например, Vindows 98), на нее устанавливаются антивирусный пакет, система шифрования, система регистрации действий пользователей и т. д.

При применении фрагментарного подхода подсистема защиты ОС представляет собой набор разрозненных программных продуктов, как правило, от разных производителей. Эти программные средства работают независимо друг от друга, при этом практически невозможно организовать их тесное взаимодействие. Кроме того, отдельные элементы такой подсистемы защиты могут некорректно работать в присутствии друг друга, что приводит к резкому снижению надежности системы.

При комплексном подходе защитные функции вносятся в ОС на этапе проектирования архитектуры ОС и являются ее неотъемлемой частью. Отдельные элементы подсистемы защиты, созданной на основе комплексного подхода, тесно взаимодействуют друг с другом при решении различных задач, связанных с организацией защиты информации, поэтому конфликты между ее отдельными компонентами практически невозможны. Подсистема защиты, созданная на основе комплексного подхода, может быть устроена так, что при фатальных сбоях в функционировании ее ключевых элементов она вызывает крах ОС, что не позволяет злоумышленнику отключать защитные функции системы. При фрагментарном подходе такая организация подсистемы защиты невозможна.

Как правило, подсистему защиты ОС, созданную на основе комплексного подхода, проектируют так, чтобы отдельные ее элементы были заменяемы. Соответствующие программные модули могут быть заменены другими модулями.

Административные меры защиты

Программно-аппаратные средства защиты ОС обязательно должны дополняться административными мерами защиты. Без постоянной квалифицированной поддержки со стороны администратора даже надежная программно-аппаратная защита может давать сбои. Перечислим основные административные меры защиты.

• 1. Постоянный контроль корректности функционирования ОС, особенно ее подсистемы защиты. Такой контроль удобно организовать, если ОС поддерживает автоматическую регистрацию наиболее важных событий (event logging) в специальном журнале.
• 2. Организация и поддержание адекватной политики безопасности. Политика безопасности ОС должна постоянно корректироваться, оперативно реагируя на попытки злоумышленников преодолеть защиту ОС, а также на изменения в конфигурации ОС, установку и удаление прикладных программ.
• 3. Инструктирование пользователей операционной системы о необходимости соблюдения мер безопасности при работе с ОС и контроль за соблюдением этих мер.
• 4. Регулярное создание и обновление резервных копий программ и данных ОС.
• 5. Постоянный контроль изменений в конфигурационных данных и политике безопасности ОС. Информацию об этих изменениях целесообразно хранить на неэлектронных носителях информации, для того чтобы злоумышленнику, преодолевшему защиту ОС, было труднее замаскировать свои несанкционированные действия.

В конкретных ОС могут потребоваться и другие административные меры защиты информации .

Адекватная политика безопасности

Выбор и поддержание адекватной политики безопасности являются одной из наиболее важных задач администратора ОС. Если принятая в ОС политика безопасности неадекватна, то это может привести к НСД злоумышленника к ресурсам системы и к снижению надежности функционирования ОС.

Известно утверждение: чем лучше защищена ОС, тем труднее с ней работать пользователям и администраторам. Это обусловлено следующими факторами:

• система защиты не всегда способна определить, является ли некоторое действие пользователя злонамеренным. Поэтому система защиты либо не пресекает некоторые виды НСД, либо запрещает некоторые вполне легальные действия пользователей. Чем выше защищенность системы, тем шире класс тех легальных действий пользователей, которые рассматриваются подсистемой защиты как несанкционированные;
• любая система, в которой предусмотрены функции защиты информации, требует от администраторов определенных усилий, направленных на поддержание адекватной политики безопасности. Чем больше в ОС защитных функций, тем больше времени и средств нужно тратить на поддержание защиты;
• подсистема защиты ОС, как и любой другой программный пакет, потребляет аппаратные ресурсы компьютера. Чем сложнее устроены защитные функции ОС, тем больше ресурсов компьютера (процессорного времени, оперативной памяти и др.) затрачивается на поддержание функционирования подсистемы защиты и тем меньше ресурсов остается на долю прикладных программ;
• поддержание слишком жесткой политики безопасности может негативно сказаться на надежности функционирования ОС. Чрезмерно жесткая политика безопасности может привести к трудно выявляемым ошибкам и сбоям в процессе функционирования ОС и даже к ее краху .

Оптимальная адекватная политика безопасности - это такая политика безопасности, которая не только не позволяет злоумышленникам выполнять несанкционированные действия, но и не приводит к описанным выше негативным эффектам.

Адекватная политика безопасности определяется не только архитектурой ОС, но и ее конфигурацией, установленными прикладными программами и т. д. Формирование и поддержание адекватной политики безопасности ОС можно разделить на ряд этапов.

• 1. Анализ угроз. Администратор ОС рассматривает возможные угрозы безопасности данного экземпляра ОС. Среди возможных угроз выделяются наиболее опасные, защите от которых нужно уделять максимум средств.
• 2. Формирование требований к политике безопасности. Администратор определяет, какие средства и методы будут применяться для защиты от тех или иных угроз. Например, защиту от НСД к некоторому объекту ОС можно решать либо средствами разграничения доступа, либо криптографическими средствами, либо используя некоторую комбинацию этих средств.
• 3. Формальное определение политики безопасности. Администратор определяет, как конкретно должны выполняться требования, сформулированные на предыдущем этапе. Формулируются необходимые требования к конфигурации ОС, а также требования к конфигурации дополнительных пакетов защиты, если установка таких пакетов необходима. Результатом данного этапа является развернутый перечень настроек конфигурации ОС и дополнительных пакетов защиты с указанием того, в каких ситуациях, какие настройки должны быть установлены.
• 4. Претворение в жизнь политики безопасности. Задачей данного этапа является приведение конфигурации ОС и дополнительных пакетов защиты в соответствие с политикой безопасности, формально определенной на предыдущем этапе.
• 5. Поддержание и коррекция политики безопасности. В задачу администратора на данном этапе входит контроль соблюдения политики безопасности и внесение в нее необходимых изменений по мере появления изменений в функционировании ос.

Специальных стандартов защищенности ОС не существует. Для оценки защищенности ОС используются стандарты, разработанные для компьютерных систем вообще. Как правило, сертификация ОС по некоторому классу защиты сопровождается составлением требований к адекватной политике безопасности, при безусловном выполнении которой защищенность конкретного экземпляра ОС будет соответствовать требованиям соответствующего класса защиты.

Определяя адекватную политику безопасности, администратор ОС должен в первую очередь ориентироваться на защиту ОС от конкретных угроз ее безопасности .

Операционная система есть специально организованная совокупность программ, которая управляет ресурсами системы (ЭВМ, вычислительной системы, других компонентов ИВС) с целью наиболее эффективного их использования и обеспечивает интерфейс пользователя с ресурсами.

Операционные системы, подобно аппаратуре ЭВМ, на пути своего развития прошли несколько поколений.

ОС первого поколения были направлены на ускорение и упрощение перехода с одной задачи пользователя на другую задачу (другого пользователя), что поставило проблему обеспечения безопасности данных, принадлежащих разным задачам.

Второе поколение ОС характеризовалось наращиванием программных средств обеспечения операций ввода-вывода и стандартизацией обработки прерываний. Надежное обеспечение безопасности данных в целом осталось нерешенной проблемой.

К концу 60-х гг. ХХ в. начал осуществляться переход к мультипроцессорной организации средств ВТ, поэтому проблемы распределения ресурсов и их защиты стали более острыми и трудноразрешимыми. Решение этих проблем привело к соответствующей организации ОС и широкому применению аппаратных средств защиты (защита памяти, аппаратный контроль, диагностика и т.п.).

Основной тенденцией развития вычислительной техники была и остается идея максимальной доступности ее для пользователей, что входит в противоречие с требованием обеспечения безопасности данных.

Под механизмами защиты ОС будем понимать все средства и механизмы защиты данных, функционирующие в составе ОС. Операционные системы, в составе которых функционируют средства и механизмы защиты данных, часто называют защищенными системами.

Под безопасностью ОС будем понимать такое состояние ОС, при котором невозможно случайное или преднамеренное нарушение функционирования ОС, а также нарушение безопасности находящихся под управлением ОС ресурсов системы. Укажем следующие особенности ОС, которые позволяют выделить вопросы обеспечения безопасности ОС в особую категорию:

управление всеми ресурсами системы;

наличие встроенных механизмов, которые прямо или косвенно влияют на безопасность программ и данных, работающих в среде ОС;

обеспечение интерфейса пользователя с ресурсами системы;

размеры и сложность ОС.

Большинство ОС обладают дефектами с точки зрения обеспечения безопасности данных в системе, что обусловлено выполнением задачи обеспечения максимальной доступности системы для пользователя.

Рассмотрим типовые функциональные дефекты ОС, которые могут привести к созданию каналов утечки данных.

Идентификация. Каждому ресурсу в системе должно быть присвоено уникальное имя - идентификатор. Во многих системах пользователи не имеют возможности удостовериться в том, что используемые ими ресурсы действительно принадлежат системе.

Пароли. Большинство пользователей выбирают простейшие пароли, которые легко подобрать или угадать.

Список паролей. Хранение списка паролей в незашифрованном виде дает возможность его компрометации с после-дующим НСД к данным.

Пороговые значения. Для предотвращения попыток несанкционированного входа в систему с помощью подбора па-роля необходимо ограничить число таких попыток, что в некоторых ОС не предусмотрено.

Подразумеваемое доверие. Во многих случаях программы ОС считают, что другие программы работают правильно.

Общая память. При использовании общей памяти не всегда после выполнения программ очищаются участки оперативной памяти (ОП).

Разрыв связи. В случае разрыва связи ОС должна немедленно закончить сеанс работы с пользователем или повторно установить подлинность субъекта.

Система может содержать много элементов (например, программ), имеющих различные привилегии.

Основной проблемой обеспечения безопасности ОС является проблема создания механизмов контроля доступа к ресурсам системы. Процедура контроля доступа заключается в проверке соответствия запроса субъекта предоставленным ему правам доступа к ресурсам. Кроме того, ОС содержит вспомогательные средства защиты, такие как средства мониторинга, профилактического контроля и аудита. В совокупности механизмы контроля доступа и вспомогательные средства защиты образуют механизмы управления доступом.

Средства профилактического контроля необходимы для отстранения пользователя от непосредственного выполнения критичных с точки зрения безопасности данных операций и передачи этих операций под контроль ОС. Для обеспечения безопасности данных работа с ресурсами системы осуществляется с помощью специальных программ ОС, доступ к которым ограничен.

Средства мониторинга осуществляют постоянное ведение регистрационного журнала, в который заносятся записи о всех событиях в системе. В ОС могут использоваться средства сигнализации о НСД, которые используются при обнаружении нарушения безопасности данных или попыток нарушения.

Контроль доступа к данным. При создании механизмов контроля доступа необходимо, прежде всего, определить множества субъектов и объектов доступа. Субъектами могут быть, например, пользователи, задания, процессы и процедуры. Объектами - файлы, программы, семафоры, директории, терминалы, каналы связи, устройства, блоки ОП и т.д. Субъекты могут одновременно рассматриваться и как объекты, поэтому у субъекта могут быть права на доступ к другому субъекту. В конкретном процессе в данный момент времени субъекты являются активными элементами, а объекты - пассивными.

Для осуществления доступа к объекту субъект должен обладать соответствующими полномочиями. Полномочие есть некий символ, обладание которым дает субъекту определенные права доступа по отношению к объекту, область защиты определяет права доступа некоторого субъекта ко множеству защищаемых объектов и представляет собой совокупность всех полномочий данного субъекта.

При функционировании системы необходимо иметь возможность создавать новые субъекты и объекты. При создании объекта одновременно создается и полномочие субъектов по использованию этого объекта. Субъект, создавший такое полномочие, может воспользоваться им для осуществления доступа к объекту или же может создать несколько копий полномочия для передачи их другим субъектам.

С традиционной точки зрения средства управления доступом позволяют специфицировать и контролировать действия, которые субъекты (пользователи и процессы) могут выполнять над объектами (информацией и другими компьютерными ресурсами). В данном разделе речь пойдет о логическом управлении доступом, которое, в отличие от физического, реализуется программными средствами. Логическое управление доступом - это основной механизм многопользовательских систем, призванный обеспечить конфиденциальность и целостность объектов и, до некоторой степени, их доступность (путем запрещения обслуживания неавторизованных пользователей).

Рассмотрим формальную постановку задачи в традиционной трактовке. Имеется совокупность субъектов и набор объектов. Задача логического управления доступом состоит в том, чтобы для каждой пары "субъект-объект" определить множество допустимых операций и контролировать выполнение установленного порядка.

Отношение "субъекты-объекты" можно представить в виде матрицы доступа, в строках которой перечислены субъекты, в столбцах - объекты, а в клетках, расположенных на пересечении строк и столбцов, записаны дополнительные условия (например, время и место действия) и разрешенные виды доступа. Фрагмент матрицы может выглядеть, например, как показано в табл. 1.

Таблица 1. Фрагмент матрицы доступа

Тема логического управления доступом - одна из сложнейших в области информационной безопасности. Дело в том, что само понятие объекта (а тем более видов доступа) меняется от сервиса к сервису. Для операционной системы к объектам относятся файлы, устройства и процессы. Применительно к файлам и устройствам обычно рассматриваются права на чтение, запись, выполнение (для программных файлов), иногда на удаление и добавление. Отдельным правом может быть возможность передачи полномочий доступа другим субъектам (так называемое право владения). Процессы можно создавать и уничтожать. Современные операционные системы могут поддерживать и другие объекты.

Для систем управления реляционными базами данных объект - это база данных, таблица, представление, хранимая процедура. К таблицам применимы операции поиска, добавления, модификации и удаления данных, у других объектов. В результате при задании матрицы доступа нужно принимать во внимание не только принцип распределения привилегий для каждого сервиса, но и существующие связи между сервисами (приходится заботиться о согласованности разных частей матрицы). Аналогичная трудность возникает при экспорте/импорте данных, когда информация о правах доступа, как правило, теряется (поскольку на новом сервисе она не имеет смысла).

Следовательно, обмен данными между различными сервисами представляет особую опасность с точки зрения управления доступом, а при проектировании и реализации разнородной конфигурации необходимо позаботиться о согласованном распределении прав доступа субъектов к объектам и о минимизации числа способов экспорта/импорта данных.

Матрицу доступа, ввиду ее разреженности (большинство клеток - пустые), неразумно хранить в виде двухмерного массива. Обычно ее хранят по столбцам, т.е. для каждого объекта поддерживается список "допущенных" субъектов вместе с их правами. Элементами списков могут быть имена групп и шаблоны субъектов, что служит большим подспорьем администра-тору. Некоторые проблемы возникают только при удалении субъекта, когда приходится удалять его имя из всех списков доступа; впрочем, эта операция производится нечасто.

Списки доступа - исключительно гибкое средство. С их помощью легко выполнить требование о гранулярности прав с точностью до пользователя. Посредством списков несложно добавить права или явным образом запретить доступ (например, чтобы наказать нескольких членов группы пользователей). Безусловно, списки являются лучшим средством произвольного управления доступом.

Подавляющее большинство операционных систем и систем управления базами данных реализуют именно произвольное управление доступом. Основное достоинство произвольного управления - гибкость. К сожалению, у "произвольного" под-хода есть ряд недостатков. Рассредоточенность управления доступом ведет к тому, что доверенными должны быть многие пользователи, а не только системные операторы или администраторы. Из-за рассеянности или некомпетентности сотрудника, владеющего секретной информацией, эту информацию могут узнать и все остальные пользователи. Следовательно, произвольность управления должна быть дополнена жестким контролем за реализацией избранной политики безопасности.

Второй недостаток, который представляется основным, состоит в том, что права доступа существуют отдельно от данных. Ничто не мешает пользователю, имеющему доступ к секретной информации, записать ее в доступный всем файл или заменить полезную утилиту ее "троянским" аналогом. Подобная "разделенность" прав и данных существенно осложняет проведение несколькими системами согласованной политики безопасности и, главное, делает практически невозможным эффективный контроль согласованности.

Возвращаясь к вопросу представления матрицы доступа, укажем, что для этого можно использовать также функциональный способ, когда матрицу не хранят в явном виде, а каждый раз вычисляют содержимое соответствующих клеток. Например, при принудительном управлении доступом применяется сравнение меток безопасности субъекта и объекта.

Удобной надстройкой над средствами логического управления доступом является ограничивающий интерфейс, когда пользователя лишают самой возможности попытаться совершить несанкционированные действия, включив в число видимых ему объектов только те, к которым он имеет доступ. Подобный подход обычно реализуют в рамках системы меню (пользователю показывают лишь допустимые варианты выбора) или посредством ограничивающих оболочек, таких как restricted shell в ОС Unix.

Рисунок 1. Схема модели Харрисона, Руззо и Ульмана

При принятии решения о предоставлении доступа обычно анализируется следующая информация:

идентификатор субъекта (идентификатор пользователя, сетевой адрес компьютера и т.п.). Подобные идентификаторы являются основой произвольного (или дискреционного) управления доступом;

атрибуты субъекта (метка безопасности, группа пользователя и т.п.). Метки безопасности - основа мандатного управления доступом.

Непосредственное управление правами доступа осуществляется на основе одной из моделей доступа:

матричной модели доступа (модель Харрисона-Руззо-Ульмана);

многоуровневой модели доступа (модель Белла-Лападулы).

Разработка и практическая реализация различных защищенных ОС привела Харрисона, Руззо и Ульмана к построению формальной модели защищенных систем. Схема модели Харрисона, Руззо и Ульмана (HRU-модели) приведена на рис. 1.

Защищенные операционные системы представляют собой специальные разновидности своих «коробочных» аналогов, отличающихся усовершенствованной системой безопасности.

Чарлз Калко - большой поклонник защищенных операционных систем (trusted operating system). При помощи инструментария PitBull компании Argus Systems Group он заботится об изоляции жизненно важных компонентов, составляющих основу функционирования своего сайта, где встречаются компании, заинтересованные в разного рода бартере. В результате ему удается добиться большей защищенности и большей стабильности работы системы, хотя бы потому, что администраторы получают меньше возможностей совершить какие-либо неразумные действия в ее отношении.

Но защищенные операционные системы, как заметил Калко, старший инженер по вопросам безопасности компании Bigvine.com, это своего рода нейтронные бомбы, - «они способны очень быстро решить множество проблем, но также и породить новые. Совершая необдуманные поступки, можно здорово испортить себе жизнь». Другими словами, ИТ-менеджеры должны использовать защищенные ОС лишь тогда, когда даваемые ими преимущества оправдывают затраты на обучение и время, которое приходится тратить на их сопровождение.

Защищенные операционные системы представляют собой особые разновидности «коробочных» ОС, таких как Windows NT и Unix, с усовершенствованной защитой. Защищенную версию NT разумно установить на Web-сервере, который содержит сам или имеет доступ к критически важной корпоративной информации. Однако следует помнить: защищенные ОС обычно намного сложнее в изучении и обслуживании, чем их стандартные аналоги.

Например, защищенная ОС может заключить приложения в непроницаемые «скафандры», и в этом случае у системного администратора может возникнуть впечатление, что в приложении возник сбой, когда всего-навсего ему не предоставлено право данное приложение контролировать. И поскольку такие ОС распределяют административные роли между многими людьми, тем, кто занимается их обслуживанием, необходимо особо тщательно координировать свои действия.

Новый порядок

Сейчас происходят кардинальные изменения в отношении организаций к защите своих приложений и данных. Современная Web-экономика заставляет организации заботиться о том, чтобы максимально обезопасить свою корпоративную инфраструктуру от хакеров, в то же время обеспечивая доступ пользователей к приложениям. Вместе с тем конкуренция требует, чтобы компании как можно быстрее развертывали свои системы электронной коммерции, даже если некоторые компоненты этих систем имеют какие-то изъяны в защите.

«Следует определить, какие системы критически важны для вас, - отметил Чак Райан, директор по защите информации компании Molex. - Все защитить просто невозможно».

Операционные системы, особенно на серверах, могут оказаться самым слабым местом, учитывая ту фундаментальную роль, которую они играют в управлении данными.

Любую стандартную операционную систему можно сделать более защищенной или укрепить ее с помощью простых процедур - например, отказаться от очевидных значений пароля администратора или отключить соединения с Web, если они не используются. Но эти отвечающие здравому смыслу шаги могут требовать больших затрат времени и, увы, далеко не всегда способны защитить критически важный сервер от целеустремленного хакера.

Истинная защищенная операционная система изначально строится с учетом требований безопасности. Как заметил Пол Макнабб, директор по технологиям компании Argus Systems, защищенную ОС отличает наличие трех следующих «рычагов».

• Политика принудительного контроля доступа (mandatory access control). Рассмотрим простую задачу совместного использования файла - тривиальную, если вы легитимный пользователь, и, возможно, опасную, если вы хакер. «При работе с NT или Unix операционная система не сообщает, можно ли совместно использовать данный файл или послать его по почте, - заметил Макнабб. - Но при реализации контроля уполномоченного доступа, такого, к примеру, какой применяется в PitBull, можно конфигурировать систему заранее, определив, что данный пользователь никогда не сможет получить доступ к определенным ресурсам или передать свое право доступа к ним кому-либо другому».
• Администрирование привилегий, которые можно использовать для управления и ограничений возможностей пользователя или приложения, управляющих системой или ее частью. «В защищенной ОС можно устанавливать программу, которая никогда не сможет изменить назначение привилегий, даже в том случае, если каким-то образом эта программа попадет в полную власть хакера», - заметил Макнабб. Такое решение не позволит хакеру проникнуть в систему через какое-то приложение, если, скажем, ему удастся отключить пароль, защищающий другие приложения.
• Независимая экспертиза, проводимая, например, в Национальном институте стандартов и технологии или Агентством национальной безопасности США.

Если исходить из этих критериев, то самые распространенные ОС - Microsoft Windows NT и Windows 2000, а также различные версии Unix - не являются защищенными системами, хотя Windows 2000 - это заметный шаг вперед благодаря предусмотренной в ней «защите системных файлов», позволяющей обеспечить безопасность некоторых критически важных компонентов.

Защищенные операционные системы крупнейших производителей Unix-систем, таких как Sun Microsystems и Hewlett-Packard, существуют уже давно, но они не пользовались особой популярностью из-за сложности управления и отсутствия ряда важных функций, которые есть у их коммерческих аналогов. Кроме того, как подчеркнул Джон Пескаторе, аналитик GartnerGroup, они были не полностью совместимы с приложениями, работавшими с их менее защищенными вариантами.

Как правило, эти защищенные ОС использовались только в условиях с высоким уровнем риска - в банках и госучреждениях, которые могли позволить себе уделять достаточно времени и средств управлению подобными системами.

Более новые версии таких программных средств, как HP Virtual Vault (защищенная версия HP-UX) и PitBull (которая улучшает функции защиты Sun Solaris, IBM AIX и NT), использовать намного проще, но, как подчеркнул Пескаторе, они по-прежнему значительно дороже, чем их стандартные аналоги. Таким образом, потребность в достаточно недорогих и надежных операционных системах растет по мере того, как все больше корпоративных систем устанавливают связи с внешним миром.

По мнению специалистов, не только сами операционные системы содержат достаточно много изъянов в защите, но и многие приложения, которые устанавливают пользователи, увеличивают уязвимость корпоративных систем. Обнаруживаются сотни, если не тысячи, изъянов в защите, начиная с ненадежных паролей и заканчивая учетными записями пользователей или файловыми структурами, которые зачастую остаются практически открытыми для хакеров.

Многоуровневая защита

Большинство защищенных ОС разделяют предлагаемые ими службы (например, доступ к файлам, печати или к сети) на изолированные программные среды (так называемые «песочницы») таким образом, что доступ в эти области получают только определенные конечные пользователи, администраторы или приложения.

Для того чтобы гарантировать, что изменения в подобную настройку системы могли вносить только правомочные администраторы, защищенные ОС могут потребовать аутентификации администраторов с помощью пароля и специальной идентификационной карты и разрешить вход только с определенных хостов или конкретных сетевых адресов.

Ограничение перечня лиц, имеющих возможность вносить изменения, как считает Калко, позволяет сократить так называемое «системное отклонение» - недокументированные изменения в конфигурации, которые не только открывают бреши в защите, но и отрицательно сказываются на стабильности системы.

Однако создание многих уровней управления может оказаться чрезвычайно сложным делом. Раздробление возможностей управления системой и получения доступа к корневому каталогу (что позволяет обратиться ко всем остальным каталогам и файлам) потребовало провести специальное обучение каждого из десяти человек, входящих в группу системных администраторов компании Калко.

Существующие системы

Программное обеспечение QSecure компании Qiave Technologies (недавно приобретена корпорацией WatchGuard Technologies) блокирует доступ к тем разделам серверов, которые находятся в рабочем режиме, и предлагает консоль для управления защитой в сети. Как подчеркнул Джек Донахью, директор компании, в рабочем режиме даже правомочный системный администратор не может предпринять действий, способных нарушить функционирование системы.

Кроме того, QSecure использует средства шифрования «по 239-разрядной эллиптической кривой» для передачи запросов к ядру операционной системы.

«Каждый раз, когда вы захотите получить доступ к одному из файлов файловой системы на своем собственном компьютере, вам придется пройти повторную аутентификацию в файловой системе», - заметил Донахью. Что же касается удобства использования, для сравнения он отметил, что при работе с базовой версией для сервера NT необходимо всего лишь пять раз щелкнуть мышью и дважды ввести пароль.

Аналогичным образом, как подчеркнул Гарри Севаунтс, директор по маркетингу подразделения Hewlett-Packard Internet Security Division, «современная версия HP Virtual Vault разделяет функции ОС всего на четыре блока, а не помещает каждый процесс в свой отдельный блок, из-за чего работа существенно усложнилась бы».

Новый программный продукт HP Web Proxy еще проще в работе. Он содержит меньше возможностей для конфигурирования, но намного проще в использовании в качестве внешнего средства защиты для популярных Web-серверов.

Подобная простота в работе имеет огромное значение для некоторых ИТ-менеджеров.

«Мы международная компания, поэтому нам необходимо иметь возможность управлять своим программным обеспечением централизованно», - подчеркнул Райан. Он хотел бы получать отчеты, из которых было бы ясно, какие из уязвимых мест самые важные, а не просто иметь список из 500 возможных источников опасности. «Мы же не можем передать такой список службам поддержки и попросить все это устранить», - заметил он. Наконец, Райан хотел бы получить инструментарий, который работает в NT, Unix и, возможно, даже в NetWare, чтобы не привлекать отдельных специалистов для мониторинга каждой из платформ.

Карл Тианен, директор по защите информационных систем корпорации Halliburton, заметил, что его весьма беспокоят затраты на поддержку защищенных ОС: «Посмотрите на Windows NT и оцените усилия, которые необходимы для ее администрирования. При добавлении уровней защищенности к ней система может стать очень сложной».

По этим причинам Пескаторе предлагает устанавливать защищенные ОС главным образом на серверах, которые используются для передачи финансовых транзакций через Web, и только в том случае, если группа корпоративной защиты может помочь системным администраторам подобные системы обслуживать.

«Когда с одной и той же системой работают люди разной квалификации, различные классы пользователей или когда одна и та же машина подсоединена к сетям различных классов, - сказал Макнабб, - защищенные ОС приобретают критически важное значение».

В качестве примера Макнабб назвал серверы, которые подключены и к Web, и к внутренним информационным системам; системы, управляющие системами шифрования с инфраструктурой открытого ключа; серверы, поддерживающие работу межсетевых экранов.

Защищенные операционные системы и их стоимость

Argus Systems Group

Сертифицированные защищенные ОС в России

SecretNet NT 4.0

Виды защищенных систем

Защищенная операционная система отличается от обычной тем, что соответствует большему классу безопасности. К примеру, по принятой в США классификации к группе C относятся операционные системы с менее изощренной защитой, чем отвечающие требованиям одного из классов B. Эти классы отличаются тем, что в них предусмотрено принудительное управление доступом, в то время как при произвольном управлении владелец ресурса устанавливает для него права доступа других пользователей. В России классы защищенности определены Руководящим документом Гостехкомиссии при Президенте РФ. Однако и в этих документах есть классы - со второго по четвертый, - в которых используется «мандатная защита», или принудительное управление доступом. Защищенная операционная система должна иметь сертификат соответствия одному из этих классов.

Назовем характерные особенности защищенной ОС. Права доступа в таких системах устанавливаются самой системой в соответствии с метками безопасности, которые приписываются всем объектам и субъектам операционной системы. Метки безопасности аналогичны уровням секретности, поэтому для наглядности мы сформулируем правила доступа для уровней секретности. Правила доступа к объектам определяются так: субъект может прочитать объект с меньшим или равным уровнем секретности, и может записать в объект с большим или равным уровнем. Кроме того, субъект может управлять другими субъектами меньшего или равного уровня секретности. По таким правилам обеспечивается базовый уровень принудительного доступа.

Операционную систему можно либо изначально сделать защищенной, либо создать специальный продукт, который обеспечит ее защиту. Если посмотреть на список продуктов, сертифицированных Гостехкомиссией по классу защищенности с четвертого по второй, можно обнаружить в нем и операционные системы, продукты для повышения защищенности операционных систем. Следует отметить, что Гостехкомиссия не сертифицирует производство зарубежных продуктов, а только конкретные их партии.

Валерий Коржов

Атаки хакеров…

…защищенных ОС

A. Во время атаки на защищенную ОС хакер либо копирует, либо угадывает, либо декодирует пароль администратора B. Несмотря на то что хакеру удается выдать себя за администратора, он не может использовать возможности ОС, которые блокируются на время работы системы