Linux distribucije mogu se podijeliti u različite kategorije, ovisno o namjeni i namjeni. Ciljna skupina. Poslužitelji, obrazovanje, igre i multimedija neke su od popularnih kategorija distribucija Linuxa.

Za korisnike koji su zabrinuti za sigurnost, postoji nekoliko distribucija koje su namijenjene pojačana zaštita privatnost. Ove verzije osiguravaju da se vaša aktivnost pregledavanja ne prati.

Međutim, naš izbor uključuje ne samo distribucije s fokusom na privatnost, već i distribucije za testiranje upada. Ove su verzije posebno dizajnirane za analizu i procjenu sigurnosti sustava i mreže širok raspon specijalizirani alati za testiranje sustava na potencijalne ranjivosti.

Distribucija temeljena na Ubuntuu dizajnirana za testiranje upada. Zbog korištenja XFCE-a kao standardnog upravitelja prozora, radi vrlo brzo.

Spremišta softverska rješenja se stalno ažuriraju tako da korisnik uvijek ima posla s najnovijim verzijama ugrađenih alata koji vam omogućuju analizu web aplikacija, stres testove, procjenu potencijalnih ranjivosti, privilegija i još mnogo toga.

Za razliku od drugih distribucija, koje uključuju veliki skup razne aplikacije, Backbox ne sadrži takvu redundanciju. Ovdje ćete naći samo najbolji alati za svaki pojedinačni zadatak ili cilj. Svi su alati razvrstani u kategorije, što olakšava njihovo pronalaženje.

Wikipedia predstavlja kratke recenzije mnogo ugrađenih alata. Iako je Backbox izvorno stvoren isključivo za potrebe testiranja, distribucija također podržava Tor mrežu, što će vam pomoći sakriti vašu digitalnu prisutnost.

Kali

Vjerojatno najviše popularna distribucija za testiranje penetracije, temeljeno na Debian Wheezyju. razvijen od strane Offensive Security Ltd i nastavak je ranijeg BackTrack Linux projekta.

Kali je dostupan kao 32-bitne i 64-bitne ISO slike koje se mogu snimiti na USB stick ili CD, ili čak instalirati na tvrdi disk ili SSD disk. Projekt također podržava ARM arhitektura i može raditi čak i na jednoj ploči Raspberry računalo Pi i također uključuje ogroman broj alata za analizu i testiranje. Glavna radna površina je Gnome, ali Kali vam omogućuje stvaranje prilagođene ISO slike s drugačijim radnim okruženjem. Ova vrlo prilagodljiva distribucija čak omogućuje korisnicima da modificiraju i ponovno izgrade jezgru Linuxa kako bi odgovarala njihovim specifičnim potrebama.

O popularnosti Kalija može se suditi po činjenici da je sustav kompatibilna i podržana platforma za MetaSpoilt Framework - moćan alat, koji vam omogućuje razvoj i izvršavanje exploit koda na udaljenom računalu.

Dostupan za 32-bitne i 64-bitne strojeve, to je distribucija za testiranje upada temeljena na Gentoo Linuxu. Korisnici Gentooa mogu po želji instalirati Pentoo, koji će se instalirati na vrhu glavnog sustava. Distribucija se temelji na XFCE-u i podržava spremanje promjena, tako da kada se USB disk isključi, sve primijenjene promjene bit će spremljene za buduće sesije.

Ugrađeni alati podijeljeni su u 15 različitih kategorija kao što su Exploit, Fingerprint, Cracker, Database, Scanner, itd. Temeljena na Gentoou, distribucija nasljeđuje skup sigurnosnih značajki od Gentooa koje vam omogućuju postavljanje dodatnih sigurnosnih postavki i detaljnije upravljanje distribucijom. Možete koristiti uslužni program Application Finder za brzo otkrivanje aplikacija koje se nalaze u različitim kategorijama.

Budući da se distribucija temelji na Gentoou, bit će potrebne neke manipulacije kako bi mrežna kartica i ostale hardverske komponente radile. Prilikom preuzimanja odaberite opciju provjere i postavite sve svoje uređaje.

Temeljena na Ubuntuu, ova distribucija je dizajnirana za otkrivanje upada i nadzor mrežne sigurnosti. Za razliku od drugih distribucija za testiranje penetracije, koje su više uvredljive prirode, to je više obrambeni sustav.

Međutim, projekt uključuje veliki broj uvredljivi alati koji se nalaze u drugim distribucijama za testiranje penetracije, kao i alati za praćenje mreže kao što su Wireshark njuškalo paketa i Suricata alat za otkrivanje upada.

Security Onion je izgrađen oko XFCE i uključuje sve najviše potrebne aplikacije dostupno u Xubuntu. Security Onion nije namijenjen amaterima, već iskusnim profesionalcima koji imaju određenu razinu znanja u području nadzora mreže i prevencije upada. Srećom, projekt je stalno popraćen detaljnim uputama i video tutorijalima koji će vam pomoći sa složenim firmwareom.

Caine

Zadani račun: root:blackarch. BlackArch je veličine preko 4 gigabajta i dolazi s nekoliko različitih upravitelji prozora, uključujući Fluxbox, Openbox, Awesome.

Za razliku od drugih distribucija za ispitivanje penetracije, BlackArch se također može koristiti kao alat za testiranje penetracije. povećana privatnost. Uz razne alate za analizu, praćenje i testiranje, distribucija također uključuje alate protiv praćenja, posebice sswap i ropeadope za sigurno brisanje sadržaja swap datoteke i sistemskih logova, te mnoge druge programe za zaštitu privatnosti.

Razvijen od strane talijanske IT sigurnosne i programske mreže Frozenbox, baziran na Debianu, može se koristiti za testiranje upada i održavanje privatnosti. Kao i BlackArch, Parrot Security OS je distribucija izdanja koja se kreće. Zadana prijava za sesiju uživo je root:toor.

Živa slika koju instalirate nudi nekoliko opcija pokretanja, kao što je trajni način rada ili trajni način rada s šifriranjem podataka. Osim analitičkih alata, distribucija uključuje nekoliko programa za anonimnost, pa čak i kriptografski softver.

Mateovo prilagodljivo desktop okruženje nudi atraktivno sučelje, a sam Parrot Security OS radi vrlo brzo čak i na strojevima s 2 gigabajta RAM-a. U sustav je ugrađeno nekoliko nišnih uslužnih programa, na primjer, apktool je alat za izmjenu APK datoteka.

Za korisnike koji brinu o privatnosti, distribucija nudi posebnu kategoriju aplikacija u kojima korisnici mogu omogućiti anonimno surfanje internetom (koristi se Tor mreže) jednim klikom.

Jondo

Pronašli ste pogrešku? Pritisnite Ctrl+Enter

Ostati anoniman na mreži nije uvijek isto što i sigurno surfanje webom. Važno je zadržati maksimum tehničke informacije o vašem uređaju od znatiželjnih očiju, kako napadači ne bi mogli iskoristiti ranjivosti vašeg sustava i ukrasti vaše povjerljive podatke i koristiti ih u vlastite svrhe, što može imati ozbiljne posljedice.

Ako želite ostati anonimni na mreži i zaštititi svoje podatke, u ovom članku ćemo pogledati najsigurnije distribucije Linuxa koje će vam pomoći u tome.

Većina alata navedenih u ovom članku potpuno je besplatna za korištenje. Osim njih, postoje i plaćene opcije, poput VPN-a, ali ove besplatni alati rade svoj posao puno bolje. Potreba za sigurnošću na internetu stalno raste, uvijek postoji rizik od cyber napada i prisluškivanja od strane obavještajnih agencija. Nije iznenađujuće da je odmah stvoreno nekoliko distribucija, kombinirajući alate koji pružaju maksimalnu anonimnost na mreži.

Ove su distribucije izvorno bile usmjerene na uske stručnjake, ali su nedavno stekle veliku popularnost. Zbog potražnje za takvim sustavima od strane korisnika, oni se stalno razvijaju i dodaju novi, možda ih sada ima više od dvadeset, ali ćemo razmotriti samo najbolje sigurne linux distribucije.

Većina njih koristi softver Tor za anonimnost, koji pruža stvarnu visoka razina anonimnost, za razliku od VPN davatelja koji još uvijek znaju vašu pravu IP adresu.

Ali VPN i dalje ima mnoge prednosti, što ga u nekim slučajevima čini najboljom opcijom. Ako vam je važna brzina veze ili ćete prenijeti datoteke putem P2P-a, VPN će ovdje pobijediti.

Prije nego pogledamo najsigurnije distribucije Linuxa, razgovarajmo o tome kako je Tor anoniman. Tor ili The Onion Router standardni je protokol za šifriranje koji je razvila američka mornarica.

Softver Tor radi s više čvorova, a to osigurava visoku pouzdanost i anonimnost. Prilikom prolaska kroz nasumični čvor, podaci se svaki put ponovno šifriraju i potpuno dešifriraju tek na posljednjem čvoru. Programeri Tor također su odgovorni za stvaranje distribucije Tailsa, koju preporučuje Edward Snowden.

Sada se vratimo na VPN. Obično su to plaćene usluge, vrlo je teško pronaći dobar, besplatni VPN. Kvaliteta VPN usluge ovisi o davatelju, ali je u pravilu brzina VPN poslužitelja puno veća od Tor.

1. Tails - Anonymous LiveCD

Ako želite ostati anonimni na internetu, Tails je izvrstan izbor. Njegova glavna svrha je osigurati da ne ostavljate nikakve digitalne otiske dok surfate webom. To je jedna od najčešće korištenih distribucija za anonimnost i jedina u kojoj se sve internetske veze usmjeravaju kroz Tor.

Obično se Tails instalira na USB flash pogon, svi podaci se pohranjuju u RAM-u, a nakon završetka rada brišu se. Operativni sustav temelji se na Debianu i dolazi s velikim skupom alata otvorenog koda. izvorni kod posebno dizajniran za privatnost. Podržava lažiranje MAC adrese i kamuflažu Windowsa kada sustav izgleda vrlo slično sustavu Windows 8.

repovi koristi zastarjela verzija Gnome, koji izgleda ružno i minimalistički bez mogućnosti daljnje prilagodbe i poboljšanja, budući da se datoteke ne spremaju između sesija. Možda mnogima to nije važno, jer Tails radi svoj posao. Distribucija ima izvrsnu dokumentaciju i možete je pročitati na službenim stranicama.

2.JonDo Live-DVD

JonDo Live-DVD je komercijalno rješenje za online anonimnost. Radi na sličan način kao Tor, vaši se podaci također prenose kroz niz mješovitih JonDonym poslužitelja. Na svakom čvoru podaci se ponovno šifriraju. Ovo je odlična alternativa za Tails, pogotovo ako tražite nešto s manje ograničenim korisničko sučelje.

Poput Tailsa, distribucija se temelji na Debianu i također uključuje komplet alata za anonimnost i najčešće korištene aplikacije.

JonDo Live-DVD je plaćena usluga, za komercijalnu upotrebu. Usmjeren je na tvrtke, brži je od Tailsa, a ne podržava ni spremanje datoteka.

Ako trebate nešto sasvim drugo, Whonix će vam biti zanimljiv. Ovdje se koristi potpuno drugačiji pristup. Ovo nije LiveCD. Whonix radi na virtualnom stroju VirtualBox, sustav je izoliran od vašeg glavnog sustava, čime se smanjuje rizik od hvatanja virusa ili izlaganja vaših podataka na mreži.

Whonix se sastoji od dva dijela. Whonix Gatway djeluje kao Tor gateway, drugi - Whonix Workstation je potpuno izoliran od mreže i prosljeđuje sve svoje mrežne veze kroz Tor gateway.

Dakle, ovdje se moraju koristiti dva virtualna stroja, što može stvoriti određene probleme ako imate slab hardver. Ali ipak radi. Istina, to nije najsigurnija distribucija Linuxa, poput Live CD-a, jer ne pohranjuje podatke na tvrdi disk.

Whonix se temelji na Debianu, ali koristi KDE kao svoje desktop okruženje. Operativni sustav nije prikladan za svakodnevnu upotrebu i možete ga koristiti samo u virtualnom stroju.

4.Qubes OS

Ovo je još jedna anonimna distribucija koju je preporučio Snowden. Qubes pokušava ispraviti nedostatke svih dosadašnjih distribucija nedovoljno lijepim i prilagodljivim korisničkim sučeljem. Ovo je distribucija za svakodnevnu upotrebu koja kombinira snagu Tora i Whonixa.

Ovdje je potpuno drugačiji pristup anonimnosti. Ideja iza Qubesa je sigurnost kroz odvajanje. To znači da vaš digitalni život bit će podijeljeni na izolirane virtualnih strojeva. Svaka aplikacija radi u zasebnom virtualnom okruženju.

Treba napomenuti da Qubes standardno dolazi s Purismovim vodećim prijenosnim računalom. Ovaj laptop se smatra najsigurnijim uređajem za korisnike. I to je istina, s obzirom na moćan softver distribucije.

Ako želite praktičan distro za svakodnevnu upotrebu sa svim standardnim funkcijama i poznatim aplikacijama, Qubes OS može biti izvrstan izbor. Za razliku od gore navedenih, može se instalirati na tvrdi disk.

5. UPR (Ubuntu Privacy Remix)

UPR, ovo je još jedan instalacijski distro fokusiran na sigurnost. Jednostavan je za korisnika i pruža izolirano okruženje u kojem se osjetljivi podaci mogu čuvati na sigurnom.

Sudeći po nazivu, već se može zaključiti da je baziran na Ubuntuu. Distribucija nudi sigurno surfanje Internetom i korištenje šifriranih flash diskova za učinkovitu zaštitu vaših podataka od neovlaštenog pristupa. Distribucija dolazi s unaprijed instaliranim alatima za šifriranje kao što su GnuPG i TrueCrypt. UPR je samo za sigurno surfanje internetom, a ne za anonimnost. Izvrsno je ako želite instalirati sustav na svoje računalo umjesto korištenja LiveCD-a. Ako vam je potrebna i anonimnost, možete instalirati Tor ili spojiti VPN.

nalazima

S obzirom da je Tails najčešći od svih spomenutih u ovom članku, možemo zaključiti da je najsigurniji. Ali i druge distribucije također dobro služe svojoj svrsi. Dakle, sve se svodi na osobne preferencije.

UVOD

operacijsku salu Linux sustav naslijedio Unix sigurnosni sustav, razvijen još 70-ih godina, napredan u vrijeme nastanka, ali danas je očito nedovoljan. Svaki korisnik ima potpunu slobodu djelovanja u okviru svojih ovlasti po principu „sve ili ništa“. To dovodi do činjenice da se za određene zadatke korisniku često daje puno više prava nego što je stvarno potrebno. Dakle, korisnik koji je stekao pristup s pravima sustava račun, može postići gotovo potpunu kontrolu nad sustavom.

Tijekom rada bilo koje aplikacije mogu se pojaviti različita odstupanja koja rezultiraju njezinim anomalnim izvođenjem. To mogu biti i kvarovi sustava, programske pogreške i umjetno uzrokovane situacije. Haker, nakon što je otkrio da je pod određenim uvjetima moguće utjecati na izvršavanje programa, prirodno će to pokušati iskoristiti. Gotovo je nemoguće predvidjeti ponašanje programa u slobodnom načinu rada. Primjer za to su antivirusni programi koji cijelo vrijeme rade u ritmu "sustizanja", ne osiguravajući zaštitu od tzv. zero-day napada. Međutim, normalno ponašanje programa može se opisati relativno jednostavna pravila. Kao rezultat toga, pojavilo se nekoliko projekata koji provode koncept proaktivne zaštite.

Svrha ovog kolegija je učenje softverskih proizvoda usmjerena na jačanje sigurnosti operativnog sustava, komparativna analiza njihova glavna obilježja, kao i zbrajanje rezultata obavljenog rada i obrazloženje njihove praktične primjene.

KONCEPT ZAŠTIĆENOG OPERACIJSKOG SUSTAVA. SELINUX

Koncept sigurnog operativnog sustava

Operacijski sustav- skup programa koji omogućuje upravljanje računalnim hardverom, organizira rad s datotekama i izvršavanje aplikativnih programa, čime se vrši unos i izlaz podataka.

Izračunati "najsigurniji OS" nije tako jednostavno kao što se čini na prvi pogled. Glavni kriterij kojim se vode korisnici koji nisu upućeni u sigurnosne standarde je broj identificiranih ranjivosti. Međutim, minimum pronađenih rupa u sustavu još nije razlog da se smatra pouzdano zaštićenim. Kada je riječ o sigurnosti, postoji niz čimbenika koje treba uzeti u obzir, uključujući:

- provodi li se kontrola kvalitete izvornog koda OS-a;

- što se daje standardne postavke sigurnost;

– koliko brzo i učinkovito se objavljuju popravci;

- kako je uređen sustav raspodjele ovlasti i još mnogo toga.

Prilikom odabira sigurnog OS-a, svakako treba uzeti u obzir operacijski sustav linux.

Prvo, operacijski sustav Windows nikada nije bio dizajniran izravno kako bi osigurao sigurnost sustava, uvijek je bio zatvoren od vanjskih očiju - sve windows kodšifrirano. U teoriji, Windows se može pripremiti za sigurno korištenje, ali to još nitko nije učinio, jer bi za to trebalo puno vremena. Linux, zahvaljujući svojoj otvorenosti, omogućuje rad s izvornim kodom OS-a. Posebne verzije Linux OS-a su već objavljene, koje su apsolutno sigurne.

Drugo, Live CD tehnologija - Linux se "može" pokrenuti i implementirati vrlo brzo bez instaliranja na tvrdi disk. Na takav siguran OS može se pisati optički disk ili USB stick i uvijek ga imajte sa sobom. „U tren oka“ moguće je nabaviti operativni sustav s gotovim desktopom i pripadajućim aplikacijama za rad na internetu, neovisno o tome koji je glavni operativni sustav instaliran na računalu koji će se koristiti.

Kernel je središnja komponenta operacijskog sustava. Odgovoran je za upravljanje resursima sustava, komunikaciju između hardvera i softvera te sigurnost. Kernel igra ključnu ulogu u održavanju sigurnosti na višim razinama.

Kao što je već navedeno, postoji niz važnih zakrpa jezgre Linuxa koje imaju za cilj osiguranje sigurnosti sustava. Njihove značajne razlike leže uglavnom u načinu na koji se administriraju i kako su integrirani u postojeći sustav. Također, zakrpe pružaju kontrolu pristupa između procesa i objekata, procesa i drugih procesa, objekata i drugih objekata.

15.04.2001 Ruslan Bogatyrev

Nikada prije u povijesti stvarni svijet nije bio toliko ovisan o umjetnom svijetu, koji je čovjek izmislio i izgradio sam – internet nije samo izgradio mostove između država i kontinenata, već je i zločinca približio žrtvi. Kao rezultat toga, pojavio se interes za pouzdane i sigurne operativne sustave.

Sigurnost računalnih sustava bila je i ostaje glavobolja za one kojima je stalo do sudbine važnih informacija koje utječu na donošenje odluka, financijsko upravljanje, raspodjelu resursa i tako dalje. Godine prolaze, a broj onih koji žele iskoristiti plodove tuđeg rada ili nanijeti namjernu štetu ne smanjuje se, već se stalno povećava. Štoviše, zbog mogućnosti brzog i širokog širenja "najboljih praksi" u prevladavanju zaštitnih barijera, zbog očite nepažnje mnogih vlasnika informacija i rijetkog poštivanja načela neizbježnosti kazne, cijeli svijet je suočen s ozbiljnim i okrutna bolest. Njezino ime je nepoznato, ali njezina opasnost je očigledna. Pogodila je ogroman teritorij u skrivenom obliku i sada prijeti da se razvije u pravu epidemiju.

Nikada prije u povijesti stvarni svijet nije bio toliko ovisan o umjetnom svijetu koji je čovjek sam izmislio i izgradio. Bez odgovarajuće brige o organizaciji učinkovite zaštite naših tvorevina, za dobrobit razvoja civilizacije, nastojimo sve dublje povezivati ​​ova dva svemira informacijskim kanalima, kako bismo osigurali maksimalan prodor nesavršenijeg svijeta u manje nesavršenog. Računalna evolucija već je prošla tri važne faze:

• koncentracija računalstva i informacijski resursi(u eri mainframe-a);
• osiguranje tehničke dostupnosti računalnih kapaciteta za masovnu publiku (u eri PC-a);
• razbijanje prirodnih granica prostora i vremena na razmjerima globalne ekonomije i politike (u eri interneta).

Jedinstveni digitalni oblik predstavljanja uvelike je olakšao rješavanje mnogih praktičnih problema, ali je istovremeno, nesvjesno, stvorio teren za nanošenje maksimalne štete uz minimalne troškove. Štoviše, zbog ujedinjenja razmjena informacija i jednostavnost rada sa softverskim alatima, štetu može učiniti čak i neiskusna osoba. Tek kad smo se suočili s problemom AIDS-a, mogli smo shvatiti da naše tijelo ima svoju zaštitu na više razina, pri čemu imunitet igra gotovo ključnu ulogu. Odsutnost takve sveprožimajuće zaštitne barijere u svijetu računala u ne tako dalekoj budućnosti obećava da će donijeti probleme tolikih razmjera da će se, u usporedbi s tim, nevolje uzrokovane modernim epidemijama činiti malim i beznačajnim. Došlo je vrijeme da se ozbiljno razmisli o tome da bez postavljanja umjetnih barijera, bez stvaranja analoga lokalne imunološke zaštite za softver, postaje sve opasnije ići naprijed.

Kada je riječ o problemima informacijske sigurnosti, obično pribjegavaju jednostavnom i provjerenom scenariju: najprije zastraše publiku brojkama i činjenicama koje karakteriziraju razmjer i prirodu prijeteće opasnosti, a zatim prelaze na glavni dio – predstavljanje recepata. za čudesne "lijekove" koji otklanjaju niz navedenih simptoma. Odajući počast tradiciji, ne skrećimo previše s utabane staze. Međutim, teško da ima smisla prevariti: ovdje ima puno više problema nego rješenja. Stoga će područje naše pažnje uglavnom pasti na bolne točke računalnih konfiguracija - njihovih operativnih sustava.

Prema godišnjem izvješću Instituta "Računalni kriminal i sigurnost 2001.". računalna sigurnost u San Franciscu i FBI-u, financijski gubici od računalnog kriminala u Sjedinjenim Državama tijekom prošle godine porasli su za 43% s 265,6 milijuna dolara na 377,8 milijuna dolara, objavile su činjenice o kršenju računalne sigurnosti, i to ne samo zbog napada uljeza. Gotovo 64% je bilo zabrinuto zbog nastalih gubitaka, ali samo 35% ih je moglo procijeniti u novčanom smislu. Oko 70% ispitanika reklo je da su najčešće napadani internetski kanali, a 31% je navelo da su napadnuti interni korporativni sustavi. Upade izvana potvrdilo je 40% ispitanika (2000. - 25%), a uskraćivanje usluge zabilježilo je 38% (27% u 2000.). 91% ispitanika požalilo se na kršenje privilegija zbog zlouporabe rada zaposlenika na webu, a 94% je pronašlo viruse u svojim sustavima (2000. godine 85% je to primijetilo).

Čak i iz ovih mršavih brojki vidljiv je jasno negativan trend – internet ne samo da gradi mostove između zemalja i kontinenata, već i približava kriminalca žrtvi. Da parafraziramo jednu dobro poznatu izreku, možemo reći da ako niste zainteresirani za cyber kriminal, vrlo brzo će se cyber kriminal zainteresirati za vas. Ako ostavimo po strani prastara pitanja obavještajne i industrijske špijunaže i usredotočimo se samo na “domaću” stranu stvari, onda su jedan od vodećih problema u području informacijske sigurnosti u protekloj godini bili napadi na platne sustave, diskreditacija poduzeća (uskraćivanje usluge), industrijska sabotaža, obdukcija korporativnih tajni, kršenje prava intelektualno vlasništvo. Američki predsjednički ured za znanost i tehnologiju procjenjuje da godišnja šteta koju američkim poduzećima nanose cyber kriminalci u posljednjih godina, dosegnuo 100 milijardi dolara Gubici od neovlaštenog pristupa informacijama vezanim uz aktivnosti američkih financijskih institucija iznosili su najmanje milijardu dolara godišnje. Time se američki biznis približio točki da mu pravovremeno i adekvatno rješenje sigurnosnih pitanja postaje ekonomski isplativo.

Unix u sigurnosnom kontekstu

Povijest OS-a neodvojiva je od povijesti i evolucije samih računala. Slučajno se dogodilo da su klonovi Unixa ti koji danas dominiraju tržištem korporativnih sustava i postali poveznica između svijeta osobnih i računala visokih performansi. Nažalost, Unix pati od ozbiljnih nedostataka, a fenomen Linuxa nametnuo je drugačiji pogled na mnoge probleme, uključujući probleme informacijske sigurnosti.

Unix nema jasan mehanizam za osiguranje integriteta prilagođeni programi i datotekama, ne pruža kontrolu pristupa za pojedinog korisnika; prava se razlikuju unutar grupa. U normalnom Unixu nije tako teško trećoj strani preuzeti ovlaštenje superkorisnika. Računovodstvo i kontrola radnji korisnika, posebno kada se radi sa sigurnosno kritičnim resursima, također nije jača strana redovitog UNIX-a. Naravno, uz određeni napor u konfiguraciji od strane administratora sustava, neki nedostaci se mogu popraviti. Ali, općenito, slika ne izgleda ohrabrujuće.

Rad osoblja Američke agencije za nacionalnu sigurnost pruža detaljnu analizu problema s kojima se susreće sadašnja generacija operativnih sustava u smislu računalne sigurnosti. Glavni zaključak: potrebni su nam novi posebno dizajnirani sigurni operativni sustavi. Konkretno, autori kažu da Kerberos sustav, SSL protokoli i IPSEC su uglavnom ranjivi zbog činjenice da, ako nije moguće osigurati prisutnost pouzdanog softvera na krajevima veze, zaštita postaje iluzorna.

Elias Levy (Aleph1), moderator poznate računalne sigurnosne mailing liste BugTraq, rekao je u nedavnom intervjuu: “Mislim da je Unix sigurnosni model previše pojednostavljen. Pristup "sve ili ništa" ne ispunjava princip najmanje privilegija... Pouzdana računalna baza nikada neće pružiti sve što bi korisniku trebalo. S druge strane, smatram da većina implementacija mehanizama za prisilnu kontrolu pristupa (obavezna kontrola pristupa), privilegija itd. previše komplicirano... U konačnici, teško je predvidjeti interakcije koje će dovesti do pojave slabosti. Uzmimo u obzir, na primjer, problem sendmaila koji je nastao kao rezultat dopuštenja ugrađenih u jezgru Linuxa.”

Levy poziva da se napusti praksa "krpanja rupa" i počne graditi novi operativni sustav koji u početku zadovoljava sigurnosne zahtjeve.

To odražava trenutni interes za pouzdane i sigurne operacijske sustave. Sigurnosni zahtjevi trebali bi upravljati dizajnom OS-a, a ne uvoditi se kao pomoćne usluge.

Kriteriji i mjerila u području sigurnosti

Rad na kriterijima sigurnosti sustava započeo je još 1967. godine, a 1970. godine pojavilo se prvo izvješće pod naslovom “ Sigurnosne kontrole za računalne sustave". Godine 1983. Ministarstvo obrane SAD-a izdalo je " Narančasta knjiga” - knjiga s narančastim koricama pod nazivom Kriteriji ocjenjivanja pouzdanih računalnih sustava. Regija računalne mrežešto se tiče sigurnosti, definirana je u tzv. preporukama X.800 - Security Architecture for Open Systems Interconnection for CCITT Applications. Orange Book definira pouzdan sustav kao „sustav koji koristi dovoljan hardver i softver osigurati istovremenu obradu informacija različitog stupnja tajnosti od strane grupe korisnika bez kršenja prava pristupa.

Dva su glavna kriterija za ocjenjivanje pouzdanih sustava:

• sigurnosna politika (skup pravila i propisa koji određuju disciplinu obrade, zaštite i širenja informacija, kao i izbor specifičnih sigurnosnih mehanizama; aktivni sastojak zaštita);
• osiguranje (stupanj povjerenja koji se može pružiti određenoj implementaciji OS-a; odražava razinu ispravnosti sigurnosnih mehanizama; pasivna je komponenta zaštite).

Orange Book definira tri uloge: administratora sustava, operatera sustava i administratora sigurnosti. Prema zahtjevima TCSEC-a, dokumentacija proizvođača mora sadržavati četiri važan element: sigurnosna politika; pouzdana računalna baza sučelja; TCB mehanizmi; vodič za učinkovito korištenje TCB mehanizama.

Općenito govoreći, područje zaštićenih komponenti ne uključuje samo operativne sustave. Tako, posebno, uz "Narančastu knjigu" TCSEC, koja regulira sigurnosna pitanja u OS-u, postoje slični dokumenti američkog Nacionalnog centra za računalnu sigurnost za DBMS (TDI, " ljubičasta knjiga”) i mreže (TNI, “ Crvena knjiga"). Dakle, "Narančasta knjiga" nije jedini dokument, iako je važan. U Sjedinjenim Državama odavno se pojavio cijeli niz dokumenata u višebojnim koricama pod nazivom "Duga" ( Duga serija; www.radium.ncsc.mil/tpep/library/rainbow). Istodobno, kao što je vidljivo iz uloška, ​​ponekad se ispod korica iste boje pojavio različit materijal.

Izvan Sjedinjenih Država pojavili su se i analozi "Narančaste knjige": ovo su upravljački dokumenti Državne tehničke komisije (1992.), kao i "Kriterij za procjenu sigurnosti informacijske tehnologije” (ITSEC - Kriteriji procjene sigurnosti informacijske tehnologije, 1991.), vrijedi u Velikoj Britaniji, Njemačkoj, Francuskoj i Nizozemskoj.

Naravno, zbog potrebe objedinjavanja pristupa informacijskoj sigurnosti, na kraju se ukazala potreba za otklanjanjem dualnosti regulacije, što je odvojeno provedeno u SAD-u (TCSEC) i Europi (ITSEC). Na sl. 1 prikazuje "obiteljsko stablo" usvajanja novog međunarodnog standarda pod nazivom "Jedinstveni kriteriji za procjenu sigurnosti u području informacijske tehnologije". Najčešće se jednostavno naziva "Zajednički kriteriji" ("Jedinstveni kriteriji"), definirajući međunarodni standard ISO/IEC 15408, koji je razvijen uz sudjelovanje Agencije za nacionalnu sigurnost i Nacionalnog instituta za standarde i tehnologiju (SAD), Grupe za sigurnost elektronike i podataka (UK), Federalne agencije za informacijsku tehnologiju (Njemačka), Središnjeg Sustavi Službe informacijske sigurnosti (Francuska), Nizozemska agencija za nacionalnu sigurnost u području prijenosa podataka, Služba sigurnosti u području prijenosa podataka (Kanada).

Opis Common Criteria V2.1 sadržan je u tri knjige:

1. Uvod i opći model (CCIMB-99-031).
2. Funkcionalni zahtjevi na sigurnost (CCIMB-99-032).
3. Zahtjevi za osiguranje sigurnosti (CCIMB-99-033).

U "Jedinstvenim kriterijima" razlikuje se 11 funkcionalnih klasa:

• revizija;
• kriptografska podrška;
• Prijenos podataka;
• zaštita podataka korisnika;
• identifikacija i autentifikacija;
• upravljanje sigurnošću;
• povjerljivost;
• zaštita sigurnosnih značajki ciljnog sustava;
• korištenje resursa;
• pristup ciljnom sustavu;
• valjane staze/kanale.

Svaka od ovih klasa sadrži nekoliko obitelji, a svaka obitelj sadrži od jedne do nekoliko komponenti.

Kriteriji formulirani u TCSEC, ITSEC i CCITSE određuju podjelu računalnih sustava na 4 razine sigurnosti (A, B, C, D) ovisno o stupnju sigurnosti. Razina A je najviša. Slijedi razina B (silaznim redoslijedom sigurnosti, ovdje su klase B3, B2, B1). Zatim najčešća razina C (ocjene C2 i C1). Najniža razina je D (sustavi koji nisu uspjeli dobiti certifikat za gore navedene klase).

Nakon kompromisa između sigurnosnih zahtjeva, učinkovitosti sustava i njegove cijene, velika većina tvrtki danas nastoji dobiti certifikat klase C2.

Književnost

1. P. Christov. Sigurnost podataka u UNIX OS-u // Otvoreni sustavi, 1993., br. 3
2. V. Galatenko. Informacijska sigurnost // "Otvoreni sustavi", 1995., br. 4, 1996., br.
3. R. Bogatyrev. Linux: podrijetlo nove filozofije programiranja // PC World, 2001, br.1.
4. 2001 Computer Crime and Security Survey // Computer Security Institute, San Francisco, 12. ožujka 2001.; www.gocsi.com/prelea_000321.htm
5 zajedničkih kriterija za informaciju Procjena sigurnosti tehnologije (CCITSE) V2.1 // 1998; www.radium.ncsc.mil/tpep/library/ccitse/ccitse.html
6 P. Loscocco i sur. Neizbježnost neuspjeha: pogrešna pretpostavka sigurnosti u modernim računalnim okruženjima // Agencija za nacionalnu sigurnost, 1998.

Ruslan Bogatyrev

Predmet TCSEC računalne sigurnosti knjige smještene u seriji Rainbow

• TCSEC (1983, 1985, Orange Book, 5200.28-STD).
• TNI, Interpreting Trustworthy Computer Networks (1987., 1990., Crvena knjiga, NCSC-TG-005, NCSC-TG-011).
• TDI, Interpretacija pouzdanih DBMS-ova (1991, Purple Book, NCSC-TG-021).
• Formalni sustavi provjere (1989, Purpurna knjiga, NCSC-TG-014).
• Credible Systems Manufacturing (1992-1994, Purple Books, NCSC-TG-024).
• Zaštita pristupa (1992, "Purpurna knjiga", NCSC-TG-028).
• Distribucija povjerenja (1988, Tamnoljubičasta knjiga, NCSC-TG-008).
• Izrada dokumentacije (1988, "Ruby Book", NCSC-TG-007).
• RAMP (1995., "Pink Book", NCSC-TG-013).
• Analiza skrivenih kanala (1993., svijetloružičasta knjiga, NCSC-TG-030).
• Sigurnosno testiranje (1991, "Bright Orange Book", NCSC-TG-023).
• Diskrecijska kontrola pristupa (1987, "Neonska knjiga", NCSC-TG-003).
• Pravila za izradu korisničkih vodiča (1991, The Peach Book, NCSC-TG-026).
• Upravljanje konfiguracijom (1988, The Amber Book, NCSC-TG-006).
• Računalni sigurnosni zahtjevi (1985., "Bright Yellow Book", CSC-STD-003-85).
• Tehnička poboljšanja za zahtjeve računalne sigurnosti (1985., Žuta knjiga, CSC-STD-004-85).
• Pouzdan oporavak od kvara (1991., Žuta knjiga, NCSC-TG-022).
• Pisanje smjernica za upravljanje pouzdanim sredstvima (1992, "Žuto-zelena knjiga", NCSC-TG-016).
• Prikupljanje podataka u automatiziranom informacijski sustavi(1991, Pale Green Book, NCSC-TG-025).
• Upravljanje lozinkama (1985, Zelena knjiga, CSC-STD-002-85).
• Terminologija računalne sigurnosti (1988., Tamnozelena knjiga, NCSC-TG-004).
• Sigurnosno modeliranje (1992, Zelenkasto plava knjiga, NCSC-TG-010).
• Kompetencija sigurnosnog administratora (1992, "Teal Book", NCSC-TG-027).
• Identifikacija i provjera autentičnosti (1991, svijetloplava knjiga, NCSC-TG-017).
• Ponovno korištenje objekata (1992, svijetloplava knjiga, NCSC-TG-018).
• Upitnici u ocjenjivanju pouzdanih sustava (1992., Plava knjiga, NCSC-TG-019).
• Koncepti za certifikaciju i akreditaciju (1994, Plava knjiga, NCSC-TG-029).
• Procjena vjerodostojnih proizvoda (1990, Bright Blue Book, NCSC-TG-002).
• Interpretacija podsustava računalne sigurnosti (1988, Sky Blue Book, NCSC-TG-009).
• Povjerljivo upravljanje fondovima (1989, Brown Book, NCSC-TG-015).
• Revizija u pouzdanim sustavima (1988, svijetlosmeđa knjiga, NCSC-TG-001).
• TRUSIX (1989, Srebrna knjiga, NCSC-TG-020).

Sigurnosne klase računalnog sustava (TCSEC, zajednički kriteriji)

Klasa D. Minimalna razina sigurnosti. Ovaj razred uključuje sustave koji su deklarirani za certificiranje, ali ga nisu prošli. Dok u dati razred nijedan OS nije registriran.

Klasa C1. Selektivna zaštita pristupa. Osigurava prisutnost pouzdane računalne baze (TCB), ispunjavanje zahtjeva za izbornu sigurnost. Osigurana je odvojenost korisnika od podataka (mjere sprječavanja čitanja ili uništavanja podataka, mogućnost zaštite privatnih podataka). Trenutačno ne postoji certifikat za ovu klasu.

Klasa C2. Upravljana zaštita pristupa. Sustavi ove klase mogu provoditi jasnije definiranu kontrolu u smislu selektivne zaštite pristupa. Korisničke radnje povezane su s postupcima identifikacije/autentifikacije. Dodijelite i opozovite privilegije pristupa korisnicima. Osim toga, događaji kritični za sigurnost se revidiraju i resursi su izolirani. Certificirano za ovu klasu: AIX 4.3.1, OS/400 V4R4M0 s kodom značajke 1920, AOS/VS II, izdanje 3.10, OpenVMS VAX i Alpha verzija 6.1, CA-ACF2 MVS izdanje 6.1, NT radna stanica i NT poslužitelj, ver. 4.0, Guardian-90 w/Safeguard S00.01.

Klasa B1. Označena sigurnost. Uz zahtjeve klase C2, potreban je neformalni opis modela sigurnosne politike, označavanje podataka i provedba kontrole pristupa imenovanim subjektima i objektima. Certificiran u ovoj klasi: CA-ACF2 MVS izdanje 6.1 u paketu s CA-ACF2 MAC, UTS/MLS, verzija 2.1.5+ (Amdahl), SEVMS VAX i Alpha verzija 6.1, ULTRIX MLS+ verzija 2.1 na VAX Station 3100, CX platformi SX 6.2.1 (Harris Computer Systems), HP-UX BLS izdanje 9.0.9+, Trusted IRIX/B izdanje 4.0.5EPL, OS 1100/2200 izdanje SB4R7 (Unisys).

Klasa B2. Strukturirana obrana. U ovoj klasi sustava, TCB se mora oslanjati na dobro definiran i dokumentiran formalni model sigurnosne politike. Selektivna i prisilna kontrola pristupa primjenjuje se na sve subjekte i objekte u sustavu. Otkrivaju se skriveni kanali. TCB bi trebao biti jasno raščlanjen na sigurnosne kritične i nesigurnosne kritične elemente. Jačaju se mehanizmi provjere autentičnosti. Mehanizmi valjanosti upravljaju se u obliku podrške za funkcije administratora sustava i operatera. To podrazumijeva postojanje mehanizama za strogo upravljanje konfiguracijom. Sustav je relativno otporan na upad. Ova klasa je certificirana od strane Trusted Xenix 4.0 (Trusted Information Systems).

Klasa B3. sigurnosne domene. TCB mora zadovoljiti zahtjeve referentnog mehanizma za praćenje koji nadzire apsolutno sav pristup subjekta objektima, ali mora biti dovoljno kompaktan da se može analizirati i testirati. Zahtijeva sigurnosnog administratora. Mehanizmi revizije se proširuju kako bi uključili izvješćivanje o sigurnosno kritičnim događajima. Zahtijeva postupke oporavka sustava. Sustav je iznimno otporan na upad. XTS-300 STOP 5.2.E (Wang Government Services) certificiran je za ovu klasu.

Klasa A1. Provjereni dizajn. Ova klasa sustava funkcionalno je ekvivalentna klasi B3 u smislu da nije potrebno dodavati dodatne arhitektonske značajke ili druge zahtjeve sigurnosne politike. Bitna razlika je u tome što je potrebna formalna specifikacija dizajna i odgovarajuće metode provjere kako bi se osigurala ispravna implementacija TCB-a. U ovoj klasi nema registriranih operativnih sustava.