Linux distribucije se mogu podijeliti u različite kategorije, ovisno o namjeni i namjeni ciljna grupa... Serveri, obuka, igre i multimedija su neke od popularnih kategorija Linux distribucija.

Za korisnike koji su zabrinuti za sigurnost, postoji nekoliko distribucija koje su dizajnirane za poboljšana zaštita privatnost. Ovi sklopovi osiguravaju da se vaša aktivnost surfanja ne prati.

Međutim, naš izbor uključuje ne samo distribucije s naglaskom na privatnost, već i distribucije za testiranje upada. Ovi sklopovi su posebno dizajnirani za analizu i procjenu sigurnosti sistema i mreže širok raspon specijalizovani alati za testiranje sistema na potencijalne ranjivosti.

Distribucija zasnovana na Ubuntu-u dizajnirana za testiranje upada. Koristeći XFCE kao zadani menadžer prozora, to je vrlo brzo.

Spremišta softverska rješenja se stalno ažuriraju kako bi se osiguralo da korisnik uvijek ima posla s najnovijim verzijama ugrađenih alata koji vam omogućavaju da izvršite analizu web aplikacija, stres testove, procjenu potencijalnih ranjivosti, privilegija i još mnogo toga.

Za razliku od drugih distribucija koje uključuju veliki skup razne aplikacije Backbox ne sadrži ovu redundantnost. Ovdje ćete naći samo najbolji alati za svaki pojedinačni zadatak ili cilj. Svi alati su razvrstani u kategorije, što ih čini lakim za pronalaženje.

Wikipedia predstavlja kratki pregledi mnogo ugrađenih alata. Iako je Backbox prvobitno kreiran isključivo u svrhu testiranja, distribucija također podržava Tor mrežu kako bi vam pomogla sakriti vaše digitalno prisustvo.

Kali

Vjerovatno najviše popularna distribucija za testiranje penetracije, zasnovano na Debian Wheezyju. razvijen od strane Offensive Security Ltd i nastavak je ranijeg BackTrack Linux projekta.

Kali je dostupan kao 32-bitni i 64-bitni ISO slike koje se mogu narezati na USB stick ili CD, ili čak instalirati na tvrdi disk ili SSD uređaj... Projekat takođe podržava ARM arhitektura i čak može raditi na jednoj ploči Raspberry kompjuter Pi, a uključuje i veliki broj alata za analizu i testiranje. Glavna radna površina je Gnome, ali Kali vam omogućava da kreirate personalizovani ISO sa drugačijim radnim okruženjem. Ova veoma prilagodljiva distribucija omogućava korisnicima da čak modifikuju i rekonstruišu Linux kernel kako bi zadovoljili specifične zahteve.

O popularnosti Kalija može se suditi po činjenici da je sistem kompatibilna i podržana platforma za MetaSpoilt Framework - moćan alat koji vam omogućava da razvijete i izvršite exploit kod na udaljenom računaru.

Dostupna za 32-bitne i 64-bitne mašine, ovo je distribucija za testiranje upada zasnovana na Gentoo Linuxu. Korisnici Gentooa mogu opciono da instaliraju Pentoo, koji će se instalirati preko glavnog sistema. Distribucija je bazirana na XFCE i podržava čuvanje promjena, tako da ako isključite USB disk, sve primijenjene promjene će biti sačuvane za buduće sesije.

Ugrađeni alati su podijeljeni u 15 različitih kategorija kao što su Exploit, Fingerprint, Cracker, Database, Scanner, itd. Zasnovano na Gentoo-u, distribucija nasljeđuje skup Gentoo sigurnosnih funkcija koje omogućavaju dodatne sigurnosne postavke i detaljniju kontrolu nad distribucijom. Možete koristiti uslužni program Application Finder za brzo lociranje aplikacija u različitim kategorijama.

Pošto je distribucija zasnovana na Gentoo-u, biće potrebna određena manipulacija da bi mrežna kartica i druge hardverske komponente radile. Prilikom pokretanja, odaberite opciju za provjeru i konfigurirajte sve svoje uređaje.

Zasnovana na Ubuntu-u, ova distribucija je dizajnirana za otkrivanje upada i nadzor mrežne sigurnosti. Za razliku od drugih distribucija za testiranje penetracije, koje su ofanzivnije po prirodi, to je više defanzivni sistem.

Međutim, projekat uključuje veliki broj uvredljivi alati koji se nalaze u drugim distribucijama za testiranje penetracije i alati za praćenje mreže kao što su Wireshark njuškalo paketa i pomoćni program za otkrivanje upada Suricata.

Security Onion je izgrađen oko XFCE i uključuje sve najviše potrebne aplikacije dostupno u Xubuntu. Security Onion nije namijenjen hobistima, već iskusnim profesionalcima koji imaju određeni nivo znanja u nadzoru mreže i prevenciji upada. Na sreću, projekat je stalno popraćen detaljnim tutorijalima i video tutorijalima koji će vam pomoći u radu sa složenim firmverom.

Caine

Podrazumevani nalog je root: blackarch. BlackArch je veličine preko 4 gigabajta i dolazi s nekoliko različitih menadžeri prozora uključujući Fluxbox, Openbox, Awesome.

Za razliku od drugih distribucija za testiranje penetracije, BlackArch se također može koristiti kao alat povećana povjerljivost... Pored raznih alata za analizu, praćenje i testiranje, distribucija uključuje i alate protiv praćenja, posebno sswap i ropeadope za bezbedno brisanje sadržaja datoteke stranične memorije i sistemskih logova, kao i mnoge druge programe za osiguranje privatnosti.

Razvijen od strane talijanske IT sigurnosne i programske mreže Frozenbox, baziran na Debianu, može se koristiti za testiranje upada i održavanje privatnosti. Kao i BlackArch, Parrot Security OS je distribucija izdanja koja se kreće. Podrazumevana prijava za sesiju uživo je root: toor.

Živa slika koju instalirate nudi nekoliko opcija pokretanja, kao što je trajni način rada ili trajni način rada s šifriranim podacima. Pored analitičkih alata, distribucija uključuje nekoliko programa za anonimnost, pa čak i kriptografski softver.

Mate-ovo prilagodljivo desktop okruženje nudi atraktivan interfejs, a sam Parrot Security OS radi veoma glatko, čak i na mašinama sa 2 GB RAM-a. Nekoliko nišnih uslužnih programa ugrađeno je u sistem, na primjer, apktool - alat za modificiranje APK datoteka.

Za korisnike kojima je stalo do privatnosti, distribucija pruža posebnu kategoriju aplikacija gdje korisnici mogu omogućiti anonimni način surfanja internetom (koristi se Tor mreže) jednim klikom.

JonDo

Pronašli ste grešku u kucanju? Pritisnite Ctrl + Enter

Ostati anoniman na mreži nije uvijek isto što i sigurno surfanje internetom. Važno je zadržati maksimum tehničke informacije vaš uređaj je zaštićen od znatiželjnih očiju, tako da napadači ne mogu iskoristiti ranjivost vašeg sistema i ukrasti vaše povjerljive podatke i koristiti ih u svoje svrhe, što može imati ozbiljne posljedice.

Ako želite ostati anonimni na mreži i zaštititi svoje podatke, u ovom članku ćemo pogledati najsigurnije Linux distribucije koje će vam pomoći u tome.

Većina alata navedenih u ovom članku potpuno je besplatna za korištenje. Osim njih, postoje i plaćene opcije, na primjer, VPN, ali ove besplatni alati rade svoj posao mnogo bolje. Potreba za sigurnošću na internetu stalno raste, uvijek postoji rizik od sajber napada i prisluškivanja od strane obavještajnih agencija. Nije iznenađujuće što je odmah kreirano nekoliko distribucija, kombinirajući alate koji pružaju maksimalnu anonimnost na webu.

Ove distribucije su prvobitno bile namenjene uskim stručnjacima, ali su nedavno stekle veliku popularnost. Zbog potražnje za ovakvim sistemima od strane korisnika, oni se stalno razvijaju i dodaju se novi, možda ih sada ima više od dvadeset, ali mi ćemo razmotriti samo najbolje sigurne linux distribucije.

Većina njih koristi Tor softver za anonimnost, što zaista pruža visoki nivo anonimnost, za razliku od VPN provajdera koji još uvijek znaju vašu pravu IP adresu.

Ali VPN i dalje ima mnogo prednosti, što ga čini najboljom opcijom u nekim slučajevima. Ako vam je važna brzina veze ili ćete prenijeti datoteke preko P2P-a, onda će VPN pobijediti.

Prije nego što pogledamo najsigurnije Linux distribucije, hajde da razgovaramo o tome kako se održava anonimnost Tor-a. Tor ili The Onion Router je standardni protokol šifriranja koji je razvila američka mornarica.

Tor softver radi sa više čvorova kako bi se osigurala visoka pouzdanost i anonimnost. Prilikom prolaska kroz nasumični čvor, podaci se svaki put ponovo šifriraju i potpuno dešifriraju tek na posljednjem čvoru. Programeri Tor-a su također odgovorni za kreiranje Tails distribucije koju preporučuje Edward Snowden.

Vratimo se sada na VPN. Obično su to plaćene usluge, vrlo je teško pronaći dobar, besplatni VPN. Kvalitet VPN usluge razlikuje se od provajdera, ali VPN serveri općenito rade mnogo brže od Tor.

1. Tails - anonimni LiveCD

Ako želite da ostanete anonimni na mreži, Tails je odličan izbor. Njegova glavna svrha je osigurati da ne ostavljate nikakve digitalne otiske dok surfate internetom. To je jedna od najčešće korištenih distribucija za anonimnost i jedina u kojoj se sve internetske veze rutiraju preko Tor-a.

Obično se Tails instalira na USB fleš disk, svi podaci se pohranjuju u RAM memoriju i brišu se nakon završetka rada. Operativni sustav je baziran na Debianu i dolazi s velikim skupom alata otvorenog koda izvorni kod posebno dizajniran za povjerljivost. Podržava lažiranje MAC adresa i Windows kamuflažu kada sistem izgleda veoma slično Windows 8.

Tails koristi zastarjela verzija Gnome, koji izgleda ružno i minimalistički bez mogućnosti dodatnog prilagođavanja i poboljšanja, budući da se fajlovi ne spremaju između sesija. Ovo možda nije važno mnogima, jer Tails obavlja posao. Distribucija ima odličnu dokumentaciju i možete je pročitati na službenoj web stranici.

2. JonDo Live-DVD

JonDo Live-DVD je komercijalno rješenje za online anonimnost. Radi na sličan način kao Tor, vaši podaci se također prenose kroz niz JonDonym mješovitih servera. Na svakom čvoru, podaci se ponovo šifriraju. Ovo odlična alternativa za Tails, pogotovo ako tražite nešto s manje ograničenim korisnički interfejs.

Kao i Tails, distribucija se temelji na Debianu i također uključuje skup alata za anonimnost i najčešće korištenih aplikacija.

JonDo Live-DVD je plaćena usluga, za komercijalnu upotrebu. Namijenjen je za korporativnu upotrebu i brži je od Tailsa, a također ne podržava spremanje datoteka.

Ako želite nešto sasvim drugačije, zainteresovat će vas Whonix. Ovo je potpuno drugačiji pristup. Ovo nije LiveCD. Whonix radi na virtuelnoj mašini VirtualBox, sistem je izolovan od vašeg glavnog sistema, čime se smanjuje rizik od hvatanja virusa ili izlaganja vaših podataka na mreži.

Whonix ima dva dijela. Whonix Gatway djeluje kao Tor gateway, drugi - Whonix Workstation je potpuno izoliran od mreže i usmjerava sve svoje mrežne veze kroz Tor kapiju.

Stoga je ovdje potrebno koristiti dvije virtuelne mašine koje mogu stvoriti određene probleme ako imate slab hardver. Ali ipak radi. Istina, ovo nije najsigurnija Linux distribucija poput Live CD-a, jer ne pohranjuje podatke na hard disk.

Whonix je baziran na Debianu, ali koristi KDE kao desktop okruženje. Operativni sistem nije pogodan za svakodnevnu upotrebu i možete ga koristiti samo u virtuelnoj mašini.

4. Qubes OS

Ovo je još jedna anonimna distribucija koju je preporučio Snowden. Qubes pokušava da ispravi nedostatke svih prethodnih distribucija nedovoljno lepim i prilagodljivim korisničkim interfejsom. To je distribucija za svakodnevnu upotrebu koja kombinuje moć Tor i Whonix.

Ovo je potpuno drugačiji pristup anonimnosti. Ideja iza Qubesa je sigurnost odvajanjem. To znači da je vaš digitalni životće biti podijeljen između izolovanih virtuelne mašine... Svaka aplikacija radi u zasebnom virtuelnom okruženju.

Treba napomenuti da se Qubes podrazumevano isporučuje sa Purismovim vodećim laptopom. Ovaj laptop se smatra najsigurnijim uređajem za korisnike. I to je tačno s obzirom na moćan softver distribucije.

Ako tražite praktičan distro za svakodnevnu upotrebu sa svim standardnim funkcijama i poznatim aplikacijama, Qubes OS može biti odličan izbor. Za razliku od gore navedenog, može se instalirati na hard disk.

5. UPR (Ubuntu Privacy Remix)

UPR je još jedna instalirana distribucija fokusirana na sigurnost. Jednostavan je za korisnika i pruža izolovano okruženje u kojem se osjetljivi podaci mogu čuvati na sigurnom.

Kao što ime govori, baziran je na Ubuntu-u. Komplet za distribuciju nudi bezbedno surfovanje Internetom i korišćenje šifrovanih fleš diskova za efikasnu zaštitu vaših podataka od neovlašćenog pristupa. Distribucija dolazi s unaprijed instaliranim alatima za šifriranje kao što su GnuPG i TrueCrypt. UPR je samo za sigurno surfovanje internetom, a ne za anonimnost. Odlično je ako želite da instalirate sistem na svoj računar, a ne da koristite LiveCD. Ako vam je potrebna i anonimnost, možete instalirati Tor ili povezati VPN.

zaključci

S obzirom da je Tails najčešći od svih spomenutih u ovom članku, možete odlučiti da je najsigurniji. Ali i druge distribucije odlično služe svojoj svrsi. Dakle, sve se svodi na lične preferencije.

UVOD

Operaciona sala Linux sistem naslijedio Unix sigurnosni sistem, razvijen još 70-ih godina, napredan u vrijeme nastanka, ali danas je očigledno nedovoljan. Svaki korisnik ima potpunu slobodu djelovanja u granicama svojih ovlaštenja po principu sve ili ništa. To dovodi do činjenice da se korisniku za obavljanje nekih zadataka često dodjeljuje mnogo više prava nego što je stvarno potrebno. Dakle, korisnik koji je stekao pristup sa pravima sistema račun, može postići skoro potpunu kontrolu nad sistemom.

U toku rada bilo koje aplikacije mogu se pojaviti različita odstupanja, koja kao rezultat dovode do njenog nenormalnog izvršavanja. To mogu biti i sistemski kvarovi, programske greške i vještački izazvane situacije. Haker, koji je otkrio da je pod određenim uslovima moguće uticati na izvršavanje programa, naravno, pokušaće da to iskoristi. Gotovo je nemoguće predvidjeti ponašanje programa u slobodnom načinu rada. Primjer za to su antivirusi, koji cijelo vrijeme rade u ritmu “sustizanja”, ne pružaju zaštitu od takozvanih zero-day napada. Međutim, normalno ponašanje programa može se opisati relativno jednostavna pravila... Kao rezultat toga, pojavilo se nekoliko projekata koji implementiraju koncept proaktivne zaštite.

Svrha ovog kursa je učenje softverskih proizvoda sa ciljem jačanja sigurnosti operativnog sistema, komparativna analiza njihove glavne karakteristike, kao i sumiranje rezultata obavljenog rada i opravdanje njihove praktične primjene.

DEFINICIJA ZAŠTIĆENOG OPERATIVNOG SISTEMA. SELINUX

Koncept zaštićenog operativnog sistema

Operativni sistem- softverski paket koji obezbeđuje kontrolu hardvera računara, organizuje rad sa fajlovima i izvršavanje aplikativnih programa, te obezbeđuje unos i izlaz podataka.

Izračunavanje "najsigurnijeg operativnog sistema" nije tako jednostavno kao što se čini na prvi pogled. Glavni kriterijum kojim se rukovode korisnici koji ne razumeju bezbednosne standarde je broj identifikovanih ranjivosti. Međutim, minimum pronađenih rupa u sistemu još uvijek nije razlog da se smatra pouzdano zaštićenim. Postoji niz faktora koje treba uzeti u obzir kada govorimo o sigurnosti, uključujući:

- da li se provjerava kvalitet izvornog koda OS;

- šta se daje standardne postavke sigurnost;

- koliko brzo i efikasno se popravke objavljuju;

- kako funkcioniše sistem raspodele ovlašćenja i još mnogo toga.

Prilikom odabira sigurnog OS-a, svakako treba uzeti u obzir operativni sistem Linux.

Prvo, Windows OS nikada nije dizajniran direktno da osigura sigurnost sistema, on je uvijek bio zatvoren od vanjskih očiju - cijeli windows code encrypted. U teoriji, Windows se može pripremiti bezbedna upotreba, ali to još niko nije uradio, jer bi za to trebalo mnogo vremena. Linux, zahvaljujući svojoj otvorenosti, omogućava rad sa izvornim kodom OS-a. Već su objavljene posebne verzije Linuxa koje su potpuno sigurne.

Drugo, Live CD tehnologija - Linux se može pokrenuti i implementirati vrlo brzo bez instaliranja na tvrdi disk. Na tako sigurnom OS-u se može pisati optički disk ili USB stick i uvijek ga imajte sa sobom. „U tren oka“ moguće je dobiti operativni sistem sa gotovim desktopom i pripadajućim aplikacijama za rad na internetu, bez obzira na instalirani glavni operativni sistem na računaru koji će se koristiti.

Kernel je centralna komponenta operativnog sistema. Odgovoran je za upravljanje sistemskim resursima, komunikaciju između hardvera i softvera i sigurnost. Kernel igra ključnu ulogu u održavanju sigurnosti na višim nivoima.

Kao što je ranije navedeno, postoji niz važnih zakrpa za jezgro Linuxa koje pomažu da vaš sistem bude siguran. Njihove značajne razlike su uglavnom u načinu na koji se administriraju i kako se integrišu u postojeći sistem. Također, zakrpe obezbjeđuju kontrolu pristupa između procesa i objekata, procesa i drugih procesa, objekata i drugih objekata.

15.04.2001 Ruslan Bogatyrev

Nikada do sada u istoriji stvarni svijet nije bio toliko ovisan o umjetnom svijetu, koji je izmislio i izgradio sam čovjek – Internet nije samo gradio mostove između država i kontinenata, već je i zločinca približio žrtvi. Kao rezultat toga, raste interesovanje za pouzdane i sigurne operativne sisteme.

Sigurnost kompjuterskih sistema bila je i ostala glavobolja za one kojima nije ravnodušna sudbina važnih informacija koje utiču na donošenje odluka, finansijsko upravljanje, raspodjelu resursa itd. Godine prolaze, a broj onih koji žele da iskoriste plodove tuđeg rada ili prouzrokuju namjernu štetu ne opada, već se stalno povećava. Štaviše, zahvaljujući mogućnosti brzog i širokog širenja „najboljih praksi“ za prevazilaženje zaštitnih barijera, zbog očigledne nepažnje mnogih vlasnika informacija i retkog poštovanja principa neizbežnosti kazne, čitav svet je suočen sa ozbiljnim i okrutna bolest. Njeno ime je nepoznato, ali njena opasnost je očigledna. Ona je u latentnom obliku zahvatila ogromnu teritoriju i sada prijeti da se razvije u pravu epidemiju.

Nikada prije u istoriji stvarni svijet nije bio toliko ovisan o umjetnom svijetu, koji je izmislio i izgradio sam čovjek. Ne vodeći računa o organizovanju efikasne zaštite naših tvorevina, za dobrobit razvoja civilizacije, nastojimo da ova dva univerzuma sve dublje povežemo informacionim kanalima, kako bismo obezbedili maksimalan prodor nesavršenijeg sveta u manje nesavršen. . Evolucija kompjutera je već prošla tri važne faze:

• koncentracija računarstva i informacionih resursa(u eri velikih računala);
• osiguranje tehničke dostupnosti kompjuterskih objekata za masovnu publiku (u eri PC-a);
• rušenje prirodnih granica prostora i vremena na razmjerima svjetske ekonomije i politike (u eri interneta).

Jedinstvena digitalna forma predstavljanja uvelike je olakšala rješavanje mnogih praktičnih problema, ali je u isto vrijeme neminovno stvorila osnovu za nanošenje maksimalne štete uz minimalne troškove. Štaviše, zbog ujedinjenja razmjena informacija i jednostavnost rada sa softverskim alatima, štetu može učiniti čak i neiskusna osoba. Tek kada smo se suočili sa problemom AIDS-a, mogli smo shvatiti da naše tijelo ima svoju zaštitu na više nivoa, pri čemu imunitet igra gotovo ključnu ulogu. Nedostatak takve sveprožimajuće zaštitne barijere u kompjuterskom svijetu u ne tako dalekoj budućnosti obećava da će donijeti probleme tolikih razmjera, u usporedbi s kojima se nevolje uzrokovane modernim epidemijama čine malim i beznačajnim. Došlo je vrijeme da se ozbiljno razmisli o tome da bez postavljanja umjetnih barijera, bez stvaranja analoga lokalne imunološke zaštite za softver, postaje sve opasnije ići naprijed.

Kada je riječ o problemima sigurnosti informacija, obično pribjegavaju jednostavnom i provjerenom scenariju: prvo temeljito zastraše publiku brojkama i činjenicama koje karakteriziraju razmjere i prirodu nadolazeće opasnosti, a zatim prelaze na glavni dio – predstavljanje recepata za čudesni "lijekovi" koji otklanjaju niz navedenih simptoma... Odajući počast tradiciji, ne skrećimo previše sa utabane staze. Međutim, teško da ima smisla lažirati: ovdje ima mnogo više problema nego rješenja. Dakle, glavni fokus će biti na bolnim tačkama kompjuterskih konfiguracija – njihovim operativnim sistemima.

Na osnovu godišnjeg izvještaja Instituta o kompjuterskom kriminalu i sigurnosti iz 2001. godine kompjuterska sigurnost u San Franciscu i FBI-u, finansijski gubici od kompjuterskih kriminala u Sjedinjenim Državama u protekloj godini porasli su za 43% sa 265,6 miliona dolara na 377,8 miliona dolara. Istovremeno, 85% od 538 ispitanika, uglavnom iz industrijskih i vladinih struktura , objavio je činjenice o narušavanju kompjuterske sigurnosti, i to ne samo zbog napada sajber kriminalaca. Gotovo 64% je bilo zabrinuto zbog nastalih gubitaka, ali je samo 35% bilo u stanju da ih procijeni u novčanom smislu. Oko 70% ispitanika je reklo da su internet kanali najčešće napadani, a 31% je navelo da su napadnuti korporativni sistemi. Slučajeve upada spolja potvrdilo je 40% ispitanika (2000. godine - 25%), a 38% je zabilježilo uskraćivanje usluge (27% 2000. godine). 91% ispitanika požalilo se na kršenje privilegija zbog zloupotrebe rada zaposlenih na Internetu, a 94% je pronašlo viruse u svojim sistemima (2000. godine, 85% je to primijetilo).

Čak i ove oskudne brojke pokazuju jasno negativan trend – internet ne samo da gradi mostove između država i kontinenata, već i približava počinitelja žrtvi. Da parafraziramo jednu dobro poznatu izreku, možemo reći da ako niste zainteresovani za sajber kriminal, vrlo brzo će se sajber kriminalci zainteresovati za vas. Ostavljajući po strani vekovna pitanja obaveštajne i industrijske špijunaže i fokusirajući se samo na „svakodnevnu“ stranu stvari, napade na platne sisteme, diskreditaciju kompanija (uskraćivanje usluge), industrijsku sabotažu, korporativne tajne, kršenje prava intelektualno vlasništvo... Odjel za nauku i tehnologiju pri predsjedniku Sjedinjenih Država procjenjuje da je godišnja šteta koju američkim preduzećima nanose sajber kriminalci u poslednjih godina, dostigao 100 milijardi dolara Gubici od neovlaštenog pristupa informacijama vezanim za aktivnosti američkih finansijskih institucija iznosili su najmanje milijardu dolara godišnje. Time se američki biznis približio tački u kojoj pravovremena i adekvatna sigurnosna rješenja za njih postaju ekonomski isplativa.

Unix u sigurnosnom kontekstu

Istorija OS je neodvojiva od istorije i evolucije samih računara. Desilo se da su klonovi Unixa ti koji danas dominiraju tržištem korporativnih sistema i postali su spona između svijeta osobnih i kompjutera visokih performansi. Nažalost, Unix pati od ozbiljnih nedostataka, a Linux fenomen nas je natjerao da drugačije gledamo na mnoge probleme, uključujući probleme informacione sigurnosti.

Unix nema jasan mehanizam za nametanje integriteta prilagođeni programi i fajlovi ne pružaju kontrolu pristupa za pojedinačnog korisnika; diferencijacija prava se vrši unutar grupa. U normalnom Unixu nije tako teško za spoljnu osobu da preuzme privilegije superkorisnika. Računovodstvo i kontrola nad radnjama korisnika, posebno kada se radi sa sigurnosnim kritičnim resursima, takođe nije jača strana redovnog UNIX-a. Naravno, uz određeni napor u konfiguraciji od strane administratora sistema, neki od nedostataka se mogu eliminisati. Ali općenito, slika ne izgleda ohrabrujuće.

Rad Američke agencije za nacionalnu bezbjednost pruža detaljnu analizu problema sa kojima se susreće sadašnja generacija operativnih sistema u pogledu računarske sigurnosti. Glavni zaključak: potrebni su nam novi posebno dizajnirani sigurni operativni sistemi. Posebno, autori kažu da Kerberos sistem, SSL protokoli i IPSEC su veoma ranjivi jer zaštita postaje iluzorna ako na krajevima veze nije dostupan pouzdan softver.

Elias Levy (Aleph1), moderator poznate mailing liste za kompjutersku bezbednost BugTraq, rekao je u nedavnom intervjuu: „Mislim da je bezbednosni model u Unixu previše pojednostavljen. Pristup sve ili ništa ispada bezvrijedan u poređenju sa principom najmanje privilegija... Pouzdana računarska baza nikada neće pružiti sve što bi korisniku bilo potrebno. S druge strane, smatram da većina implementacija obavezne kontrole pristupa, privilegija itd. previše složena... U konačnici, teško je predvidjeti interakcije koje će dovesti do pojave slabosti. Uzmite u obzir problem sendmaila kao rezultat dozvola implementiranih u jezgru Linuxa."

Levy poziva na napuštanje prakse "krpanja rupa" i na početak izgradnje novog OS-a koji u početku ispunjava sigurnosne zahtjeve.

Ovo odražava trenutno interesovanje za pouzdane i sigurne operativne sisteme. Sigurnosni zahtjevi bi trebali biti odlučujući u dizajnu OS-a, a ne uvoditi se kao pomoćni servisi.

Sigurnosni kriteriji i mjerila

Rad na kriterijumima bezbednosti sistema počeo je još 1967. godine, a 1970. godine pojavio se prvi izveštaj pod nazivom „ Sigurnosne kontrole za kompjuterske sisteme". 1983. Ministarstvo odbrane SAD izdalo je “ Narandžasta knjiga"- narandžasta korice knjige pod nazivom Kriterijumi za evaluaciju pouzdanih kompjuterskih sistema. Region kompjuterske mreže u odnosu na sigurnost definisana je u tzv. X.800 - Sigurnosna arhitektura za interkonekciju otvorenih sistema za CCITT aplikacije. Orange Book definiše sistem od poverenja kao „sistem koji koristi dovoljan hardver i softvera kako bi se osigurala istovremena obrada informacija različitog stepena tajnosti od strane grupe korisnika bez kršenja prava pristupa”.

Postoje dva glavna kriterija za procjenu pouzdanih sistema:

• sigurnosna politika (skup pravila i propisa koji određuju disciplinu obrade, zaštite i širenja informacija, kao i izbor specifičnih sigurnosnih mehanizama; aktivni sastojak zaštita);
• sigurnost (stepen povjerenja koji se može pružiti određenoj implementaciji OS; odražava nivo ispravnosti sigurnosnih mehanizama; pasivna je komponenta zaštite).

Prema Orange Book-u, postoje tri uloge: sistemski administrator, sistemski operater i administrator sigurnosti. Prema zahtjevima TCSEC-a, dokumentacija proizvođača mora uključivati ​​četiri važan element: sigurnosna politika; pouzdani računarski osnovni interfejsi; TCB mehanizmi; smjernice o djelotvornoj upotrebi TCB mehanizama.

Uopšteno govoreći, operativni sistemi nisu jedini domen zaštićenih komponenti. Tako, posebno, pored TCSEC Orange Book, koji reguliše bezbednosna pitanja u OS-u, postoje slični dokumenti američkog Nacionalnog centra za računarsku bezbednost za DBMS (TDI, “ Ljubičasta knjiga") I mreže (TNI," Crvena knjiga"). Dakle, Narandžasta knjiga nije jedini, iako važan, dokument. Cijeli niz dokumenata u višebojnim koricama, pod nazivom "Duga" ( Rainbow serija; www.radium.ncsc.mil/tpep/library/ rainbow). Istovremeno, kao što se vidi na ulošku, ponekad se ispod korica iste boje pojavljivao različit materijal.

Izvan Sjedinjenih Država pojavili su se i analozi Orange Book: ovo su smjernice Državne tehničke komisije (1992.), kao i kriterij procjene sigurnosti informacione tehnologije”(ITSEC - Kriterijumi za procjenu sigurnosti informacijske tehnologije, 1991.), važeći u Velikoj Britaniji, Njemačkoj, Francuskoj i Holandiji.

Naravno, zbog potrebe objedinjavanja pristupa informacionoj bezbednosti, na kraju se ukazala potreba da se otkloni dualnost regulative, koja je odvojeno vođena u Sjedinjenim Državama (TCSEC) i Evropi (ITSEC). Na sl. 1 prikazuje „porodično stablo“ usvajanja novog međunarodnog standarda pod nazivom „Jedinstveni kriterijumi za procenu bezbednosti u oblasti informacionih tehnologija“. Češće nego ne, to se jednostavno naziva "Zajedničkim kriterijima" međunarodni standard ISO / IEC 15408, u koautorstvu Agencije za nacionalnu sigurnost i Nacionalnog instituta za standarde i tehnologiju (SAD), Grupe za sigurnost elektronike i komunikacija (Velika Britanija), Federalne agencije za informacione tehnologije (Njemačka), Centralne službe za sigurnost informacija sistemi (Francuska), Holandska agencija za nacionalnu bezbednost za komunikaciju podataka, Služba bezbednosti za komunikaciju podataka (Kanada).

Zajednički kriterijumi V2.1 opisani su u tri knjige:

1. Uvod i opći model (CCIMB-99-031).
2. Funkcionalni zahtjevi sigurnosti (CCIMB-99-032).
3. Zahtjevi za osiguranje sigurnosti (CCIMB-99-033).

U "Jedinstvenim kriterijumima" postoji 11 funkcionalnih klasa:

• revizija;
• kriptografska podrška;
• prijenos podataka;
• zaštita podataka korisnika;
• identifikacija i autentifikacija;
• upravljanje sigurnošću;
• povjerljivost;
• zaštita sigurnosnih funkcija ciljnog sistema;
• korištenje resursa;
• pristup ciljnom sistemu;
• pouzdani putevi / kanali.

Svaka od ovih klasa sadrži nekoliko porodica, a svaka porodica sadrži od jedne do nekoliko komponenti.

Kriterijumi formulisani u TCSEC, ITSEC i CCITSE određuju podelu računarskih sistema na 4 nivoa bezbednosti (A, B, C, D), u zavisnosti od stepena poverenja. Nivo A je najviši. Slijedi nivo B (po redu sigurnosti, ovdje su klase B3, B2, B1). Tada je najčešći nivo C (ocene C2 i C1). Najniži nivo je D (sistemi koji nisu mogli dobiti sertifikat za gore navedene klase).

Prateći kompromis između sigurnosnih zahtjeva, efikasnosti sistema i njegove cijene, velika većina kompanija danas nastoji postići C2 certifikat.

Književnost

1. P. Hristov. Sigurnost podataka u UNIX OS-u // "Otvoreni sistemi", 1993, br. 3
2. V. Galatenko. Sigurnost informacija // "Otvoreni sistemi", 1995, br. 4, 1996, br.
3.R.Bogatyrev. Linux: porijeklo nove filozofije programiranja // World of PCs, 2001, br.1.
4.11 Istraživanje o kompjuterskom kriminalu i sigurnosti // Computer Security Institute, San Francisco, 12. mart 2001; www.gocsi.com/prelea_000321.htm
5. Zajednički kriterijumi za informaciju Procjena sigurnosti tehnologije (CCITSE) V2.1 // 1998; www.radium.ncsc.mil/tpep/library/ccitse/ccitse.html
6 P. Loscocco et al. Neizbježnost neuspjeha: pogrešna pretpostavka sigurnosti u modernim računarskim okruženjima // Agencija za nacionalnu sigurnost, 1998.

Ruslan Bogatyrev

Predmet kompleta knjiga o kompjuterskoj bezbednosti TCSEC u seriji "Duga".

• TCSEC (1983, 1985, Orange Book, 5200.28-STD).
• TNI, Tumačenje pouzdanih računarskih mreža (1987, 1990, Crvena knjiga, NCSC-TG-005, NCSC-TG-011).
• TDI, Pouzdana interpretacija baze podataka (1991, The Purple Book, NCSC-TG-021).
• Formalni sistemi verifikacije (1989, Ljubičasta knjiga, NCSC-TG-014).
• Verified Systems Manufacturing (1992-1994, Purple Books, NCSC-TG-024).
• Zaštita pristupa (1992, Purpurna knjiga, NCSC-TG-028).
• Distribucija povjerenja (1988, Tamnozelena knjiga, NCSC-TG-008).
• Izrada dokumentacije (1988, Ruby Book, NCSC-TG-007).
• RAMP (1995, Pink Book, NCSC-TG-013).
• Analiza tajnih kanala (1993, "Light Pink Book", NCSC-TG-030).
• Testiranje sigurnosti (1991, Bright Orange Book, NCSC-TG-023).
• Diskreciona kontrola pristupa (1987, Neonska knjiga, NCSC-TG-003).
• Smjernice za kreiranje korisničkih vodiča (1991, The Peach Book, NCSC-TG-026).
• Upravljanje konfiguracijom (1988, Amber Book, NCSC-TG-006).
• Zahtjevi za kompjutersku sigurnost (1985, Bright Yellow Book, CSC-STD-003-85).
• Tehnička pojašnjenja za zahtjeve kompjuterske sigurnosti (1985, Žuta knjiga, CSC-STD-004-85).
• Pouzdan oporavak od katastrofe (1991, Žuta knjiga, NCSC-TG-022).
• Pisanje smjernica za upravljanje kredibilnim fondovima (1992, Zeleno-žuta knjiga, NCSC-TG-016).
• Prikupljanje podataka automatizirano informacioni sistemi(1991, Pale Green Book, NCSC-TG-025).
• Upravljanje lozinkama (1985, Zelena knjiga, CSC-STD-002-85).
• Terminološki rječnik kompjuterske sigurnosti (1988, Tamnozelena knjiga, NCSC-TG-004).
• Sigurnosno modeliranje (1992, Plavo-zelena knjiga, NCSC-TG-010).
• Kompetencija sigurnosnog administratora (1992, Tirkizna knjiga, NCSC-TG-027).
• Identifikacija i autentifikacija (1991, svijetloplava knjiga, NCSC-TG-017).
• Višekratni predmeti (1992, svijetloplava knjiga, NCSC-TG-018).
• Upitnici za procjenu pouzdanih sistema (1992, "Plava knjiga", NCSC-TG-019).
• Koncepti za sertifikaciju i akreditaciju (1994, Plava knjiga, NCSC-TG-029).
• Evaluating Credible Products (1990, Bright Blue Book, NCSC-TG-002).
• Interpreting Computer Security Subsystems (1988, Sky Blue Book, NCSC-TG-009).
• Upravljanje pouzdanim fondovima (1989, The Brown Book, NCSC-TG-015).
• Revizija u pouzdanim sistemima (1988, Light Brown Book, NCSC-TG-001).
• TRUSIX (1989, Srebrna knjiga, NCSC-TG-020).

Sigurnosne klase računarskih sistema (TCSEC, zajednički kriteriji)

Klasa D. Minimalni nivo sigurnosti. Ova klasa uključuje sisteme koji su prijavljeni za sertifikaciju, ali je nisu prošli. Dok je u ovu klasu nijedan OS nije registrovan.

Klasa C1. Selektivna zaštita pristupa. Obezbeđuje dostupnost pouzdane računarske baze (TCB), ispunjavajući zahteve za selektivnu bezbednost. Obezbeđena je odvajanje korisnika od podataka (mere za sprečavanje čitanja ili uništavanja podataka, mogućnost zaštite privatnih podataka). Trenutno ne postoji certifikat za ovu klasu.

Klasa C2. Upravljana zaštita pristupa. Sistemi ove klase mogu implementirati jasniju namjensku kontrolu u smislu selektivne zaštite pristupa. Radnje korisnika su povezane sa procedurama identifikacije/autentifikacije. Davanje i oduzimanje privilegija pristupa korisnicima. Pored toga, događaji od ključne važnosti za sigurnost se revidiraju i resursi su izolovani. Sertifikovan u ovoj klasi: AIX 4.3.1, OS / 400 V4R4M0 sa kodom karakteristika 1920, AOS / VS II, izdanje 3.10, OpenVMS VAX i Alpha verzija 6.1, CA-ACF2 MVS izdanje 6.1, NT radna stanica i NT server, ver. 4.0, Guardian-90 w / Safeguard S00.01.

Klasa B1. Označena sigurnost. Pored zahtjeva klase C2, potreban je neformalni opis modela sigurnosne politike, označavanje podataka i provođenje kontrole pristupa imenovanim subjektima i objektima. Certificiran u ovoj klasi: CA-ACF2 MVS Release 6.1 u paketu sa CA-ACF2 MAC, UTS / MLS, Verzija 2.1.5+ (Amdahl), SEVMS VAX i Alpha Verzija 6.1, ULTRIX MLS + Verzija 2.1 na VAX Station 3100, CX platformi / SX 6.2.1 (Harris Computer Systems), HP-UX BLS izdanje 9.0.9+, Trusted IRIX / B izdanje 4.0.5EPL, OS 1100/2200 Izdanje SB4R7 (Unisys).

Klasa B2. Strukturirana zaštita. U ovoj klasi sistema, TCB treba da se osloni na dobro definisan i dokumentovan formalni model bezbednosne politike. Selektivna i obavezna kontrola pristupa se odnosi na sve subjekte i objekte u sistemu. Otkrivaju se tajni kanali. TCB treba jasno razložiti na kritične i nesigurnosne kritične elemente. Mehanizmi autentifikacije se jačaju. Kontrola mehanizama valjanosti je obezbeđena u vidu podrške funkcijama sistem administratora i operatera. Pretpostavljaju se jaki mehanizmi upravljanja konfiguracijom. Sistem je relativno otporan na upad. Trusted Xenix 4.0 (Trusted Information Systems) je sertifikovan u ovoj klasi.

Klasa B3. Sigurnosne domene. TCB mora ispuniti zahtjeve referentnog nadzornog mehanizma koji kontrolira apsolutno sav pristup subjekata objektima i istovremeno biti dovoljno kompaktan da se analizira i testira. Potreban je sigurnosni administrator. Mehanizmi revizije su prošireni kako bi uključili mogućnost prijavljivanja kritičnih sigurnosnih događaja. Potrebne su procedure za oporavak sistema. Sistem je izuzetno otporan na upad. XTS-300 STOP 5.2.E (Wang Government Services) je sertifikovan za ovu klasu.

Klasa A1. Verifikovan dizajn. Ova klasa sistema je funkcionalno ekvivalentna klasi B3 u smislu da nisu potrebne nikakve dodatne arhitektonske karakteristike ili drugi zahtjevi sigurnosne politike. Značajna razlika je u tome što su potrebne formalne specifikacije dizajna i odgovarajuće metode verifikacije kako bi se osiguralo da se TCB ispravno implementira. Nijedan OS nije registrovan u ovoj klasi.