Shpërndarjet Linux mund të ndahen në kategori të ndryshme, në varësi të qëllimit të tyre dhe përdorimit të synuar. grupi i synuar. Serverët, arsimi, lojërat dhe multimedia janë disa nga kategoritë e njohura të shpërndarjeve Linux.

Për përdoruesit e shqetësuar për sigurinë, ka disa shpërndarje që janë krijuar për të mbrojtje e shtuar privatësi. Këto ndërtime garantojnë mbrojtje nga gjurmimi i aktivitetit tuaj gjatë shfletimit në internet.

Sidoqoftë, përzgjedhja jonë përfshin jo vetëm shpërndarjet me theks në privatësi, por edhe shpërndarje për kryerjen e testimit të ndërhyrjes. Këto asamble janë krijuar posaçërisht për analizimin dhe vlerësimin e sigurisë së sistemit dhe rrjetit dhe përmbajnë gamë të gjerë mjete të specializuara për testimin e sistemeve për dobësitë e mundshme.

Një shpërndarje e bazuar në Ubuntu e krijuar për testimin e ndërhyrjes. Duke përdorur XFCE si një menaxher standard të dritareve, ai funksionon shumë shpejt.

Depot zgjidhje softuerike përditësohen vazhdimisht për të siguruar që përdoruesi të ketë gjithmonë versionet më të fundit të mjeteve të integruara që ju lejojnë të kryeni analiza të aplikacioneve në ueb, teste stresi, vlerësim të dobësive të mundshme, privilegje dhe shumë më tepër.

Ndryshe nga shpërndarjet e tjera, të cilat përfshijnë një grup të madh aplikacione të ndryshme,Backbox nuk përmban një tepricë të tillë. Këtu do të gjeni vetëm mjetet më të mira për çdo detyrë apo qëllim individual. Të gjitha mjetet janë të renditura në kategori, duke i bërë ato të lehta për t'u zbuluar.

Wikipedia paraqet komente të shkurtra shumë mjete të integruara. Megjithëse Backbox u krijua fillimisht vetëm për testim, shpërndarja gjithashtu mbështet rrjetin Tor, i cili do të ndihmojë në fshehjen e pranisë tuaj dixhitale.

Kali

Ndoshta më shpërndarje popullore për testimin e penetrimit, bazuar në Debian Wheezy. zhvilluar nga Offensive Security Ltd dhe është një vazhdimësi e projektit të mëparshëm BackTrack Linux.

Kali disponohet në formën e imazheve ISO 32-bit dhe 64-bit, të cilat mund të digjen në një disk USB ose CD, ose edhe të instalohen në një hard disk ose makinë në gjendje të ngurtë. Projekti gjithashtu mbështet Arkitektura ARM dhe madje mund të kandidojë në një tabelë të vetme Kompjuter raspberry Pi, dhe gjithashtu përfshin një numër të madh të mjeteve të analizës dhe testimit. Desktopi kryesor është Gnome, por Kali ju lejon të krijoni një ISO të personalizuar me një mjedis të ndryshëm desktopi. Kjo shpërndarje shumë e personalizueshme i lejon përdoruesit të modifikojnë dhe rindërtojnë kernelin Linux për t'iu përshtatur kërkesave specifike.

Popullariteti i Kali mund të gjykohet nga fakti se sistemi është i pajtueshëm dhe i mbështetur nga Korniza MetaSpoilt - mjet i fuqishëm, i cili ju lejon të zhvilloni dhe ekzekutoni kodin e shfrytëzimit në një kompjuter të largët.

E disponueshme për makinat 32-bit dhe 64-bit, është një shpërndarje testimi e ndërhyrjes që bazohet në Gentoo Linux. Përdoruesit e Gentoo mund të instalojnë opsionalisht Pentoo, i cili do të instalohet në krye të sistemit kryesor. Shpërndarja bazohet në XFCE dhe mbështet ndryshimet e ruajtjes, kështu që nëse shkëputni diskun USB, të gjitha ndryshimet e aplikuara do të ruhen për seancat e ardhshme.

Mjetet e integruara ndahen në 15 kategori të ndryshme, si Exploit, Fingerprint, Cracker, Database, Scanner etj. Duke u bazuar në Gentoo, shpërndarja trashëgon një sërë veçorish sigurie Gentoo që ju lejojnë të kryeni cilësime shtesë sigurie dhe kontroll më të gjerë të shpërndarjes. Ju mund të përdorni mjetin "Application Finder" për të zbuluar shpejt aplikacionet e vendosura në kategori të ndryshme.

Meqenëse shpërndarja bazohet në Gentoo, do të kërkohen disa manipulime për të vënë në punë kartën e rrjetit dhe komponentët e tjerë të harduerit. Pas nisjes, zgjidhni opsionin e verifikimit dhe konfiguroni të gjitha pajisjet tuaja.

Bazuar në Ubuntu, kjo shpërndarje është krijuar për zbulimin e ndërhyrjeve dhe monitorimin e sigurisë së rrjetit. Ndryshe nga shpërndarjet e tjera pentestuese, të cilat janë më fyese në natyrë, ai është një sistem më mbrojtës.

Megjithatë, projekti përfshin nje numer i madh i mjete fyese që gjenden në shpërndarje të tjera të testimit të depërtimit, si dhe mjete të monitorimit të rrjetit si sniffer i paketave Wireshark dhe mjeti për zbulimin e ndërhyrjeve Suricata.

Security Onion është ndërtuar rreth XFCE dhe përfshin gjithçka më shumë aplikacionet e nevojshme, i disponueshëm në Xubuntu. Security Onion nuk është menduar për amatorë, por më tepër për profesionistë me përvojë që kanë një nivel të caktuar njohurish në fushën e monitorimit të rrjetit dhe parandalimit të ndërhyrjeve. Për fat të mirë, projekti shoqërohet vazhdimisht me manuale të hollësishme dhe video mësimore për t'ju ndihmuar të punoni me softuer kompleks të integruar.

Kejni

Llogaria e parazgjedhur: root:blackarch. BlackArch është mbi 4 gigabajt në madhësi dhe vjen me disa të ndryshme menaxherët e dritareve, duke përfshirë Fluxbox, Openbox, Awesome.

Ndryshe nga shpërndarjet e tjera të testimit të depërtimit, BlackArch mund të përdoret gjithashtu si mjet privatësia e rritur. Përveç mjeteve të ndryshme të analizës, monitorimit dhe testimit, shpërndarja përfshin gjithashtu mjete kundër gjurmimit, veçanërisht sswap dhe ropeadope për fshirjen e sigurt të përmbajtjes së skedarit të faqes dhe regjistrave të sistemit, përkatësisht, dhe shumë programe të tjera të privatësisë.

Zhvilluar nga rrjeti italian i sigurisë dhe programimit të IT Frozenbox, i bazuar në Debian, mund të përdoret për testimin e ndërhyrjeve dhe ruajtjen e privatësisë. Ashtu si BlackArch, Parrot Security OS është një shpërndarje në qarkullim. Hyrja e parazgjedhur për një sesion Live është root:toor.

Imazhi i instaluar Live ofron disa opsione të nisjes, të tilla si modaliteti i vazhdueshëm ose modaliteti i vazhdueshëm me kriptim të të dhënave. Përveç mjeteve analitike, shpërndarja përfshin disa programe për anonimitetin dhe madje edhe softuer kriptografik.

Mjedisi i personalizueshëm i desktopit i Mate ofron një ndërfaqe tërheqëse dhe vetë Parrot Security OS funksionon shumë shpejt, madje edhe në makinat me 2 gigabajt RAM. Sistemi ka disa shërbime të veçanta të integruara në të, për shembull, apktool - një mjet për ndryshimin e skedarëve APK.

Për përdoruesit që kujdesen për privatësinë, shpërndarja ofron një kategori të veçantë aplikacionesh ku përdoruesit mund të aktivizojnë modalitetin anonim të surfimit në internet (duke përdorur Rrjetet Tor) me një klikim.

JonDo

Keni gjetur një gabim shkrimi? Shtypni Ctrl + Enter

Të mbetesh anonim në internet nuk është gjithmonë njësoj si të lundrosh në internet në mënyrë të sigurt. Është e rëndësishme të ruani maksimumin informacion teknik pajisja juaj është e sigurt nga sytë kureshtarë, kështu që sulmuesit nuk mund të përfitojnë nga dobësitë e sistemit tuaj dhe të vjedhin të dhënat tuaja të ndjeshme dhe t'i përdorin ato për qëllimet e tyre, gjë që mund të sjellë pasoja të rënda.

Nëse dëshironi të qëndroni anonim në internet dhe të mbroni të dhënat tuaja, në këtë artikull do të shikojmë shpërndarjet më të sigurta të Linux që do t'ju ndihmojnë ta bëni këtë.

Shumica e mjeteve të listuara në këtë artikull janë plotësisht falas për t'u përdorur. Përveç tyre, ka opsione me pagesë, për shembull, VPN, por këto mjete falas ata e bëjnë punën e tyre shumë më mirë. Nevoja për siguri në internet është vazhdimisht në rritje dhe gjithmonë ekziston rreziku i sulmeve kibernetike dhe përgjimeve nga agjencitë e inteligjencës. Nuk është për t'u habitur që disa shpërndarje u krijuan menjëherë, duke kombinuar mjete që ofrojnë anonimitetin maksimal në rrjet.

Këto shpërndarje fillimisht kishin për qëllim specialistë të ngushtë, por kohët e fundit ato kanë fituar popullaritet të madh. Për shkak të kërkesës për sisteme të tilla nga përdoruesit, ato po zhvillohen vazhdimisht dhe po shtohen të reja, ndoshta tani ka më shumë se njëzet prej tyre, por ne do të konsiderojmë vetëm shpërndarjet më të mira të sigurta Linux.

Shumica e tyre përdorin softuerin Tor për të siguruar anonimitetin, gjë që siguron vërtet nivel të lartë anonimiteti, ndryshe nga ofruesit e VPN që ende e dinë adresën tuaj të vërtetë IP.

Por një VPN ka ende shumë përfitime që e bëjnë atë një opsion më të mirë në disa raste. Nëse shpejtësia e lidhjes është e rëndësishme për ju ose planifikoni të transferoni skedarë përmes P2P, një VPN do të fitojë.

Përpara se të shikojmë shpërndarjet më të sigurta Linux, le të flasim se si sigurohet anonimiteti i Tor. Tor ose The Onion Router është një protokoll standard kriptimi i zhvilluar nga Marina e SHBA.

Softueri Tor punon me nyje të shumta, gjë që siguron besueshmëri dhe anonimitet të lartë. Kur të dhënat kalojnë nëpër një nyje të rastësishme, ato rikriptohen çdo herë dhe deshifrohen plotësisht vetëm në nyjen e fundit. Zhvilluesit e Tor janë gjithashtu përgjegjës për krijimin e shpërndarjes Tails, të cilën Edward Snowden e rekomandon.

Tani le të kthehemi te VPN. Zakonisht, këto janë shërbime me pagesë; gjetja e një VPN të mirë, falas është shumë e vështirë. Cilësia e shërbimit VPN varet nga ofruesi, por në përgjithësi serverët VPN janë shumë më të shpejtë se Tor.

1. Tails - LiveCD anonime

Nëse dëshironi të mbeteni anonim në internet, Tails është një zgjedhje e shkëlqyer. Qëllimi i tij kryesor është të sigurojë që të mos lini asnjë gjurmë dixhitale gjatë shfletimit në internet. Kjo është një nga shpërndarjet më të përdorura për anonimitet, dhe e vetmja ku të gjitha lidhjet e internetit drejtohen përmes Tor.

Në mënyrë tipike, Tails instalohet në një flash drive, të gjitha të dhënat ruhen në RAM dhe fshihen pas përfundimit të punës. Sistemi operativ bazohet në Debian dhe vjen me një grup të madh mjetesh me burim të hapur Kodi i burimit projektuar posaçërisht për të siguruar privatësinë. Ai mbështet mashtrimin e adresave MAC dhe kamuflimin e Windows, kur sistemi duket shumë i ngjashëm me Windows 8.

Bishtat përdor version i vjetëruar Gnome, i cili duket i shëmtuar dhe minimalist pa mundësinë e personalizimit dhe përmirësimit shtesë, pasi skedarët nuk ruhen midis seancave. Kjo mund të mos ketë rëndësi për shumë njerëz, sepse Tails e kryen punën. Shpërndarja ka dokumentacion të shkëlqyer dhe mund ta lexoni në faqen zyrtare të internetit.

2. JonDo Live-DVD

JonDo Live-DVD është një zgjidhje komerciale për anonimitetin në internet. Ai funksionon në mënyrë të ngjashme me Tor, me të dhënat tuaja që transferohen gjithashtu përmes një serie serverësh të përzier JonDonym. Në çdo nyje, të dhënat rikriptohen. Kjo alternativë e madhe për Tails, veçanërisht nëse jeni duke kërkuar për diçka me më pak kufizuese ndërfaqja e përdoruesit.

Ashtu si Tails, shpërndarja bazohet në Debian dhe përfshin gjithashtu një grup mjetesh për të siguruar anonimitetin dhe aplikacionet më të përdorura.

JonDo Live-DVD është shërbim me pagesë, per perdorim komercial. Ai synon të përdoret në kompani, dhe është gjithashtu më i shpejtë se Tails dhe gjithashtu nuk mbështet ruajtjen e skedarëve.

Nëse dëshironi diçka krejtësisht të ndryshme, do t'ju interesojë Whonix. Këtu përdoret një qasje krejtësisht e ndryshme. Ky nuk është një LiveCD. Whonix funksionon në makinën virtuale VirtualBox, sistemi është i izoluar nga sistemi juaj kryesor, duke reduktuar kështu rrezikun e marrjes së viruseve ose ekspozimit të të dhënave tuaja në rrjet.

Whonix përbëhet nga dy pjesë. Whonix Gatway vepron si një portë Tor, e dyta - Whonix Workstation është plotësisht i izoluar nga rrjeti dhe drejton të gjitha lidhjet e rrjetit nëpërmjet portës Tor.

Kështu, kërkon përdorimin e dy makinave virtuale, të cilat mund të krijojnë disa probleme nëse keni harduer të dobët. Por megjithatë funksionon. Sidoqoftë, nuk është shpërndarja më e sigurt Linux si Live CD, pasi nuk ruan të dhëna në hard disk.

Whonix është i bazuar në Debian, por përdor KDE si mjedisin e tij të desktopit. Sistemi operativ nuk është i përshtatshëm për përdorim të përditshëm dhe mund ta përdorni vetëm në një makinë virtuale.

4.Qubes OS

Kjo është një tjetër shpërndarje anonimiteti e rekomanduar nga Snowden. Qubes përpiqet të korrigjojë të metat e të gjitha shpërndarjeve të mëparshme të cilave u mungonte një ndërfaqe e bukur dhe e personalizueshme e përdoruesit. Kjo është një shpërndarje për përdorim të përditshëm që kombinon fuqinë e Tor dhe Whonix.

Kjo është një qasje krejtësisht e ndryshme ndaj anonimitetit. Ideja pas Qubes është siguria nga ndarja. Kjo do të thotë që juaji jeta dixhitale do të ndahet në mes të izoluar makina virtuale. Çdo aplikacion funksionon në një mjedis të veçantë virtual.

Duhet të theksohet se Qubes vjen standard me laptopin kryesor të Purism. Ky laptop konsiderohet të jetë pajisja më e sigurt për përdoruesit. Dhe kjo është e vërtetë, duke pasur parasysh softuerin e fuqishëm të kësaj shpërndarjeje.

Nëse dëshironi një shpërndarje të përshtatshme për përdorim të përditshëm me të gjithë funksionalitetin standard dhe aplikacionet e njohura, Qubes OS mund të jetë një zgjedhje e shkëlqyer. Ndryshe nga ato të listuara më sipër, mund të instalohet në një hard disk.

5. UPR (Ubuntu Privacy Remix)

UPR është një tjetër shpërndarje e instalueshme që fokusohet në siguri. Është miqësor për përdoruesit dhe ofron një mjedis të izoluar ku të dhënat e ndjeshme mund të mbahen të sigurta.

Vetëm nga emri, mund të dalloni se bazohet në Ubuntu. Shpërndarja ofron surfim të sigurt në internet dhe përdorimin e disqeve flash të koduar për të mbrojtur në mënyrë efektive të dhënat tuaja nga aksesi i paautorizuar. Shpërndarja vjen e para-instaluar me mjete kriptimi si GnuPG dhe TrueCrypt. UPR është vetëm për shfletim të sigurt në internet dhe jo për anonimitet. Është mirë nëse dëshironi të instaloni sistemin në kompjuterin tuaj në vend që të përdorni një LiveCD. Nëse keni nevojë gjithashtu për anonimitet, mund të instaloni Tor ose të lidhni një VPN.

konkluzionet

Duke marrë parasysh që Tails është më i zakonshmi nga të gjitha të përmendura në këtë artikull, mund të vendosim që është më i sigurti. Por shpërndarjet e tjera i shërbejnë qëllimit të tyre gjithashtu. Pra, gjithçka varet nga preferencat personale.

PREZANTIMI

salla e operacionit Sistemi Linux trashëgoi sistemin e sigurisë Unix, i zhvilluar në vitet '70, i avancuar në kohën e krijimit të tij, por sot është qartësisht i pamjaftueshëm. Çdo përdorues ka liri të plotë veprimi brenda kufijve të autoritetit të tij sipas parimit "të gjitha ose asgjë". Kjo çon në faktin se për të kryer detyra të caktuara, përdoruesit shpesh i jepen shumë më tepër të drejta sesa është e nevojshme në të vërtetë. Prandaj, një përdorues që ka akses me të drejtat e sistemit llogari, mund të arrijë kontroll pothuajse të plotë mbi sistemin.

Gjatë funksionimit të çdo aplikacioni, mund të ndodhin devijime të ndryshme, duke çuar përfundimisht në ekzekutimin e tij jonormal. Këto mund të jenë dështime të sistemit, gabime programimi ose situata të shkaktuara artificialisht. Një haker, pasi ka zbuluar se në kushte të caktuara është e mundur të ndikohet në ekzekutimin e një programi, natyrisht do të përpiqet të përfitojë nga kjo. Është pothuajse e pamundur të parashikohet sjellja e një programi në modalitetin e pavarur. Një shembull i kësaj janë antiviruset, të cilët funksionojnë gjithmonë në një ritëm "mbushjeje", pa siguruar mbrojtje kundër të ashtuquajturave sulme të ditës zero. Megjithatë, sjellja normale e një programi mund të përshkruhet duke përdorur relativisht rregulla të thjeshta. Si rezultat, janë shfaqur disa projekte që zbatojnë konceptin e mbrojtjes proaktive.

Qëllimi i punës së kësaj lënde është të studiojë produkte softuerike që synon forcimin e sigurisë së sistemit operativ, analiza krahasuese karakteristikat e tyre kryesore, si dhe përmbledhja e punës së bërë dhe arsyetimi i zbatimit të tyre praktik.

KONCEPTI I NJË SISTEMI OPERATIV TË SIGURTË. SELINUX

Koncepti i një sistemi operativ të sigurt

sistemi operativ-- një grup programesh që siguron kontrollin e pajisjeve kompjuterike, organizon punën me skedarët dhe ekzekutimin e programeve aplikative dhe kryen futjen dhe daljen e të dhënave.

Llogaritja e "OS më të sigurt" nuk është aq e thjeshtë sa duket në shikim të parë. Kriteri kryesor në të cilin fokusohen përdoruesit që nuk i kuptojnë standardet e sigurisë është numri i dobësive të identifikuara. Megjithatë, numri minimal i zbrazëtirave të gjetura në sistem nuk është një arsye për ta konsideruar atë të mbrojtur në mënyrë të besueshme. Kur flasim për sigurinë, duhet të merren parasysh një sërë faktorësh, duke përfshirë:

– nëse është kontrolluar cilësia e kodit burimor të OS;

– cilat janë të specifikuara cilësimet standarde siguria;

– sa shpejt dhe me efikasitet lëshohen rregullimet;

– si funksionon sistemi i shpërndarjes së pushteteve dhe shumë më tepër.

Kur zgjidhni një OS të sigurt, duhet patjetër të merret parasysh sistemi operativ Linux.

Së pari, sistemi operativ Windows nuk është krijuar kurrë drejtpërdrejt për të siguruar sigurinë e sistemit; ai ka qenë gjithmonë i mbyllur nga sytë e jashtëm - i tëri Kodi i Windows të koduara Në teori, Windows mund të përgatitet për përdorim të sigurt, por askush nuk e ka bërë këtë ende, pasi do të merrte një sasi të madhe kohe. Linux, për shkak të hapjes së tij, ju lejon të punoni me kodin burimor të OS. Versione speciale të Linux OS tashmë janë lëshuar që janë absolutisht të sigurta.

Së dyti, teknologjia Live CD - Linux "mund" të nisë dhe të vendoset shumë shpejt pa e instaluar atë në një hard disk. Një OS i tillë i sigurt mund të shkruhet disk optik ose një disk USB dhe mbajeni gjithmonë me vete. "Në hap të syrit" është e mundur të merrni një sistem operativ me një desktop të gatshëm dhe aplikacione shoqëruese për të punuar në internet, pavarësisht nga sistemi kryesor operativ i instaluar në kompjuterin që do të përdoret.

Kerneli është komponenti qendror i sistemit operativ. Ai është përgjegjës për menaxhimin e burimeve të sistemit, komunikimin ndërmjet harduerit dhe softuerit dhe sigurinë. Kerneli luan një rol kritik në mbështetjen e sigurisë në nivele më të larta.

Siç u përmend më herët, ka një numër arnimesh të rëndësishme të kernelit Linux që synojnë të sigurojnë sigurinë e sistemit. Dallimet e tyre domethënëse qëndrojnë kryesisht në mënyrën se si ato administrohen dhe si ato integrohen në një sistem ekzistues. Patches gjithashtu ofrojnë kontroll të aksesit midis proceseve dhe objekteve, proceseve dhe proceseve të tjera, objekteve dhe objekteve të tjera.

15.04.2001 Ruslan Bogatyrev

Asnjëherë më parë në histori bota reale nuk ka qenë kaq e varur nga bota artificiale, e shpikur dhe ndërtuar nga vetë njeriu - interneti jo vetëm që ka ndërtuar ura midis vendeve dhe kontinenteve, por edhe e ka afruar kriminelin me viktimën. Si rezultat, ka pasur interes për sisteme operative të besueshme dhe të sigurta.

Siguria e sistemeve kompjuterike ka qenë dhe mbetet një dhimbje koke për ata që kujdesen për fatin e informacionit të rëndësishëm që prek vendimmarrjen, menaxhimin financiar, shpërndarjen e burimeve, etj. Vitet kalojnë dhe numri i njerëzve që duan të përfitojnë nga frytet e punës së dikujt tjetër ose të shkaktojnë dëme të qëllimshme nuk zvogëlohet, por rritet vazhdimisht. Për më tepër, për shkak të përhapjes së shpejtë dhe të gjerë të “praktikave më të mira” për tejkalimin e barrierave mbrojtëse, për shkak të pakujdesisë së dukshme të shumë pronarëve të informacionit dhe respektimit të rrallë të parimit të pashmangshmërisë së dënimit, e gjithë bota përballet me një sëmundje mizore. Emri i saj nuk dihet, por rreziku i saj është i dukshëm. Ai ka prekur një zonë të gjerë në një formë të fshehtë dhe tani kërcënon të kthehet në një epidemi të vërtetë.

Asnjëherë më parë në histori bota reale nuk ka qenë kaq e varur nga bota artificiale, e shpikur dhe ndërtuar nga vetë njeriu. Pa u kujdesur siç duhet për organizimin e mbrojtjes efektive të krijimeve tona, në dobi të zhvillimit të qytetërimit, ne përpiqemi të lidhim gjithnjë e më shumë këto dy universe me kanale informacioni, për të siguruar depërtimin maksimal të botës më të papërsosur në atë më pak të papërsosur. Evolucioni i kompjuterit ka kaluar tashmë tre faza të rëndësishme:

• përqendrimi i llogaritjes dhe burimet e informacionit(në epokën e mainframe);
• sigurimi i aksesit teknik të fuqisë kompjuterike për një audiencë masive (në epokën e PC);
• thyerja e kufijve natyrorë të hapësirës dhe kohës në shkallën e ekonomisë dhe politikës globale (në epokën e internetit).

Një formë e vetme dixhitale e përfaqësimit ka lehtësuar shumë zgjidhjen e shumë problemeve praktike, por në të njëjtën kohë ka krijuar në mënyrë të pashmangshme terrenin për të shkaktuar dëme maksimale me kosto minimale. Për më tepër, për shkak të bashkimit shkëmbimi i informacionit dhe lehtësia e punës me mjetet softuerike, edhe një person i papërvojë mund të shkaktojë dëme. Vetëm kur u përballëm me problemin e SIDA-s, ne arritëm të kuptonim se trupi ynë ka mbrojtjen e tij në shumë nivele, ku imuniteti luan pothuajse një rol kyç. Mungesa e një pengese kaq të përhapur mbrojtëse në botën e kompjuterave në një të ardhme jo shumë të largët premton të sjellë probleme në një shkallë që do t'i bëjë problemet e shkaktuara nga epidemitë moderne të duken të vogla dhe të parëndësishme. Po vjen koha për të menduar seriozisht për faktin se pa ngritur barriera artificiale, pa krijuar analoge të mbrojtjes imune lokale për softuerin, ecja përpara bëhet gjithnjë e më e rrezikshme.

Kur bëhet fjalë për problemet e sigurisë së informacionit, ata zakonisht përdorin një skenar të thjeshtë dhe të provuar: së pari, frikësoni plotësisht audiencën me shifra dhe fakte që karakterizojnë shkallën dhe natyrën e rrezikut të afërt, dhe më pas kaloni në pjesën kryesore - prezantimin e recetave. për "ilaçe" të mrekullueshme që eliminojnë një sërë simptomash të përmendura. Duke i bërë haraç traditës, le të mos largohemi shumë nga rruga e rrahur. Megjithatë, vështirë se ka kuptim të gënjesh: këtu ka shumë më tepër probleme sesa zgjidhje. Pra, vëmendja jonë do të bjerë kryesisht në pikat e dhimbjes së konfigurimeve kompjuterike - sistemet e tyre operative.

Sipas raportit vjetor “2001 Anketa e Krimit Kompjuterik dhe Sigurisë” të Institutit siguria kompjuterike në San Francisko dhe FBI, humbjet financiare nga krimet kompjuterike në Shtetet e Bashkuara gjatë vitit të kaluar u rritën me 43% nga 265.6 milionë dollarë në 377.8 milionë dollarë. Në të njëjtën kohë, 85% e 538 të anketuarve, kryesisht nga strukturat industriale dhe qeveritare. shpallur fakte të shkeljeve të sigurisë kompjuterike, dhe jo vetëm për shkak të sulmeve nga ndërhyrës. Pothuajse 64% ishin të shqetësuar për humbjet e shkaktuara, por vetëm 35% ishin në gjendje t'i vlerësonin ato në terma monetarë. Rreth 70% e të anketuarve thanë se kanalet e internetit sulmoheshin më shpesh, dhe 31% treguan se sistemet e brendshme të korporatave ishin sulmuar. Rastet e ndërhyrjeve të jashtme u konfirmuan nga 40% e të anketuarve (në vitin 2000 - 25%), dhe 38% regjistruan një refuzim të shërbimit (27% në 2000). 91% e të anketuarve u ankuan për shkelje të privilegjeve për shkak të keqpërdorimit të punës së punonjësve në internet, dhe 94% gjetën viruse në sistemet e tyre (në vitin 2000, kjo u vu re nga 85%).

Edhe nga këto shifra të pakta, duket qartë një tendencë negative - interneti jo vetëm që ndërton ura midis vendeve dhe kontinenteve, por edhe e afron kriminelin me viktimën. Për të parafrazuar një thënie të famshme, nëse nuk ju intereson krimi kibernetik, shumë shpejt krimi kibernetik do të interesohet për ju. Nëse lëmë mënjanë çështjet e përjetshme të inteligjencës dhe spiunazhit industrial dhe përqendrohemi vetëm në anën "e përditshme" të çështjes, atëherë disa nga problemet kryesore në fushën e sigurisë së informacionit në vitin e kaluar ishin sulmet ndaj sistemeve të pagesave, diskreditimi i kompanive ( mohimi i shërbimit), sabotim industrial, hakerim i sekreteve të korporatës, shkelje e të drejtave pronë intelektuale. Sipas vlerësimeve të Zyrës së Shkencës dhe Teknologjisë nën Presidentin e Shteteve të Bashkuara, dëmi vjetor i shkaktuar bizneseve amerikane nga sulmuesit kompjuterikë në vitet e fundit, arriti në 100 miliardë dollarë Humbjet nga aksesi i paautorizuar në informacione që lidhen me aktivitetet e institucioneve financiare amerikane arritën në të paktën 1 miliard dollarë në vit. Kështu, biznesi amerikan është afruar në pikën ku zgjidhja në kohë dhe adekuate e çështjeve të sigurisë bëhet ekonomikisht e realizueshme për të.

Unix në kontekstin e sigurisë

Historia e OS është e pandashme nga historia dhe evolucioni i vetë kompjuterëve. Ndodh që klonet Unix të dominojnë sot tregun e sistemeve të korporatave dhe janë bërë lidhja midis botës së kompjuterëve personalë dhe atyre me performancë të lartë. Fatkeqësisht, Unix vuan nga mangësi serioze dhe fenomeni Linux na ka detyruar t'i hedhim një vështrim tjetër shumë problemeve, duke përfshirë problemet e sigurisë së informacionit.

Unix nuk ka një mekanizëm të qartë për të siguruar integritetin programet e përdoruesve dhe skedarët, nuk ofron kontroll të aksesit për një përdorues individual; ndarja e të drejtave kryhet brenda grupeve. Në Unix-in e rregullt, nuk është aq e vështirë për një të huaj të marrë përsipër privilegjet e superpërdoruesit. Kontabiliteti dhe kontrolli i veprimeve të përdoruesve, veçanërisht kur punoni me burime kritike për sigurinë, nuk është gjithashtu një pikë e fortë e UNIX-it të rregullt. Sigurisht, me disa përpjekje konfigurimi nga ana e administratorit të sistemit, disa të meta mund të eliminohen. Por, në përgjithësi, fotografia nuk duket inkurajuese.

Puna e Agjencisë Amerikane të Sigurisë Kombëtare ofron një analizë të detajuar të problemeve me të cilat përballet gjenerata aktuale e sistemeve operative për sa i përket sigurisë kompjuterike. Përfundimi kryesor: nevojiten sisteme operative të reja të dizajnuara posaçërisht të sigurta. Në veçanti, autorët thonë se sistemi Kerberos, Protokollet SSL dhe IPSEC janë kryesisht të cenueshme për faktin se nëse është e pamundur të sigurohet prania e softuerit të besueshëm në skajet e lidhjes, mbrojtja bëhet iluzore.

Ja çfarë tha Elias Levy (Aleph1), moderatori i listës së mirënjohur të postimeve të sigurisë kompjuterike BugTraq, në një intervistë të fundit: “Unë mendoj se modeli i sigurisë në Unix është shumë i thjeshtë. Qasja gjithçka ose asgjë nuk ka qasje me privilegjin më të vogël... Baza e Besuar Informatike nuk do të sigurojë kurrë gjithçka që i nevojitet përdoruesit. Nga ana tjetër, konstatoj se shumica e zbatimeve të kontrollit të detyrueshëm të aksesit, privilegjeve, etj. shumë e ndërlikuar... Në fund të fundit, është e vështirë të parashikosh ndërveprimet që do të çojnë në pika të dobëta. Merrni parasysh problemin e sendmail, i cili ishte rezultat i lejeve të ndërtuara në kernelin Linux."

Levy bën thirrje për braktisjen e praktikës së "patching vrimave" dhe fillimin e ndërtimit të një OS të ri që fillimisht plotëson kërkesat e sigurisë.

Kjo i bën jehonë interesit në zhvillim të sotëm për sistemet operative të besueshme dhe të sigurta. Kërkesat e sigurisë duhet të drejtojnë dizajnin e OS dhe jo të prezantohen si shërbime ndihmëse.

Kriteret dhe udhëzimet e sigurisë

Puna për kriteret e sigurisë së sistemit filloi në vitin 1967 dhe në 1970 u shfaq raporti i parë me titull " Kontrollet e sigurisë për sistemet kompjuterike" Në vitin 1983, Departamenti Amerikan i Mbrojtjes lëshoi ​​" Libri Portokalli" - një libër me kopertinë portokalli me titull "Kriteret e vlerësimit të sistemeve kompjuterike të besueshme". Rajon rrjetet kompjuterike për sa i përket sigurisë, është përcaktuar në të ashtuquajturat rekomandime X.800 - Arkitektura e Sigurisë për Ndërlidhjen e Sistemeve të Hapura për Aplikacionet CCITT. Libri Portokalli përcakton një sistem të besueshëm si "një sistem që përdor pajisje të mjaftueshme dhe software për të siguruar përpunimin e njëkohshëm të informacionit të shkallëve të ndryshme të fshehtësisë nga një grup përdoruesish pa shkelur të drejtat e aksesit.”

Ekzistojnë dy kritere kryesore për vlerësimin e sistemeve të besueshme:

• politika e sigurisë (një grup rregullash dhe rregulloresh që përcaktojnë disiplinën e përpunimit, mbrojtjes dhe shpërndarjes së informacionit, si dhe zgjedhjen e mekanizmave të veçantë të sigurisë; përbërës aktiv mbrojtje);
• siguria (shkalla e besimit që mund t'i ofrohet një zbatimi specifik të OS; pasqyron nivelin e korrektësisë së mekanizmave të sigurisë; është një komponent pasiv i mbrojtjes).

Sipas Librit Portokalli, ekzistojnë tre role: administratori i sistemit, operatori i sistemit dhe administratori i sigurisë. Sipas kërkesave të TCSEC, dokumentacioni i prodhuesit duhet të përfshijë katër element i rëndësishëm: politika e sigurisë; ndërfaqe kompjuterike të besueshme; mekanizmat TCB; udhëzime për përdorimin efektiv të mekanizmave TCB.

Në përgjithësi, fushëveprimi i komponentëve të sigurt përfshin më shumë sesa thjesht sisteme operative. Pra, në veçanti, përveç TCSEC "Libri Portokalli", i cili rregullon çështjet e sigurisë në OS, ka dokumente të ngjashme nga Qendra Kombëtare e Sigurisë Kompjuterike e SHBA për DBMS (TDI, " Libri i purpurt") dhe rrjetet (TNI, " Libri i Kuq"). Pra, Libri Portokalli nuk është i vetmi dokument, megjithëse është një dokument i rëndësishëm. Në Shtetet e Bashkuara, është shfaqur prej kohësh një seri e tërë dokumentesh në kopertina shumëngjyrësh, të quajtur "Rainbow" ( Seria Rainbow; www.radium.ncsc.mil/tpep/library/rainbow). Në të njëjtën kohë, siç mund të shihet nga shiriti anësor, ndonjëherë materiale të ndryshme shfaqeshin nën mbulesën e së njëjtës ngjyrë.

Jashtë Shteteve të Bashkuara, u shfaqën edhe analoge të "Librit Portokalli": këto janë udhëzimet e Komisionit Teknik Shtetëror (1992), si dhe "Kriteret e Vlerësimit të Sigurisë". teknologjitë e informacionit"(ITSEC - Information Technology Security Evaluation Criteria, 1991), që operon në MB, Gjermani, Francë dhe Holandë.

Natyrisht, për shkak të nevojës për të unifikuar qasjet ndaj sigurisë së informacionit, përfundimisht lindi nevoja për të hequr dualitetin e rregullimit, i cili u krye veçmas në SHBA (TCSEC) dhe Evropë (ITSEC). Në Fig. Figura 1 tregon “pemën familjare” të miratimit të një standardi të ri ndërkombëtar, të quajtur “Kriteret e Unifikuara për Vlerësimin e Sigurisë në Teknologjinë e Informacionit”. Më shpesh quhet thjesht "Kriteret e Përbashkët", i cili përcakton standard ndërkombëtar ISO/IEC 15408, i cili u zhvillua nga Agjencia e Sigurisë Kombëtare dhe Instituti Kombëtar i Standardeve dhe Teknologjisë (SHBA), Grupi i Sigurisë së Elektronikës dhe të Dhënave (MB), Agjencia Federale për Teknologjinë e Informacionit (Gjermani), sistemet e Autoritetit Qendror të Sigurisë së Informacionit (Francë). ), Agjencia Hollandeze e Sigurisë Kombëtare për Komunikimet e të Dhënave, Shërbimi i Sigurisë për Komunikimet e të Dhënave (Kanada).

Kriteret e Përbashkëta V2.1 përshkruhen në tre libra:

1. Prezantimi dhe Modeli i Përgjithshëm (CCIMB-99-031).
2. Kërkesat funksionale në siguri (CCIMB-99-032).
3. Kërkesat e Sigurimit të Sigurisë (CCIMB-99-033).

"Kriteret e Unifikuara" dallojnë 11 klasa funksionale:

• auditimi;
• mbështetje kriptografike;
• transferimi i të dhënave;
• mbrojtja e të dhënave të përdoruesit;
• identifikimi dhe vërtetimi;
• menaxhimi i sigurisë;
• konfidencialiteti;
• mbrojtjen e funksioneve të sigurisë të sistemit të synuar;
• shfrytëzimi i burimeve;
• aksesi në sistemin e synuar;
• shtigje/kanale të besueshme.

Secila prej këtyre klasave përmban disa familje dhe secila familje përmban nga një deri në disa komponentë.

Kriteret e formuluara në TCSEC, ITSEC dhe CCITSE përcaktojnë ndarjen e sistemeve kompjuterike në 4 nivele sigurie (A, B, C, D) në varësi të shkallës së besueshmërisë. Niveli A është më i larti. Më pas vjen niveli B (në rend të uljes së sigurisë janë klasat B3, B2, B1). Pastaj niveli më i zakonshëm është C (klasat C2 dhe C1). Niveli më i ulët është D (sistemet që nuk mund të merrnin certifikimin për klasat e përmendura më lart).

Pas një kompromisi midis kërkesave të sigurisë, efikasitetit të sistemit dhe çmimit të tij, shumica dërrmuese e kompanive sot përpiqen të arrijnë certifikimin C2.

Letërsia

1. P. Hristov. Siguria e të dhënave në UNIX OS // "Sistemet e hapura", 1993, nr. 3
2. V. Galatenko. Siguria e informacionit // "Sistemet e hapura", 1995, nr. 4, 1996, nr. 1
3. R. Bogatyrev. Linux: origjina e një filozofie të re programimi // PC World, 2001, Nr.1.
4. 2001 Computer Crime and Security Survey // Instituti i Sigurisë Kompjuterike, San Francisko, 12 Mars 2001; www.gocsi.com/prelea_000321.htm
5. Kriteret e Përbashkëta për informacion Vlerësimi i Sigurisë së Teknologjisë (CCITSE) V2.1 // 1998; www.radium.ncsc.mil/tpep/library/ccitse/ccitse.html
6 P. Loscocco et al. Pashmangshmëria e dështimit: Supozimi i gabuar i sigurisë në mjediset moderne kompjuterike // Agjencia Kombëtare e Sigurisë, 1998.

Ruslan Bogatyrev

Temat e librit të sigurisë kompjuterike TCSEC të vendosura në serinë "Rainbow".

• TCSEC (1983, 1985, "Libri Portokalli", 5200.28-STD).
• TNI, Interpretimi i Rrjetit Kompjuterik të Besuar (1987, 1990, Libri i Kuq, NCSC-TG-005, NCSC-TG-011).
• TDI, Interpretimi i Besuar i DBMS (1991, Purple Book, NCSC-TG-021).
• Sistemet e verifikimit formal (1989, "Purple Book", NCSC-TG-014).
• Manufacturing Trusted Systems (1992-1994, Purple Books, NCSC-TG-024).
• Access Protection (1992, Purple Book, NCSC-TG-028).
• Trust Distribution (1988, "Dark Purple Book", NCSC-TG-008).
• Krijimi i Dokumentacionit (1988, The Ruby Book, NCSC-TG-007).
• RAMP (1995, The Pink Book, NCSC-TG-013).
• Analiza e kanaleve të fshehta (1993, Libri rozë e lehtë, NCSC-TG-030).
• Testimi i Sigurisë (1991, "Bright Orange Book", NCSC-TG-023).
• Kontrolli i qasjes diskrecionale (1987, The Neon Book, NCSC-TG-003).
• Rregullat për krijimin e manualeve të përdoruesve (1991, The Peach Book, NCSC-TG-026).
• Menaxhimi i konfigurimit (1988, Amber Book, NCSC-TG-006).
• Kërkesat e Sigurisë Kompjuterike (1985, The Bright Yellow Book, CSC-STD-003-85).
• Sqarime Teknike për Kërkesat e Sigurisë së Kompjuterit (1985, Libri i Verdhë, CSC-STD-004-85).
• Credible Disaster Recovery (1991, Yellow Book, NCSC-TG-022).
• Shkrimi i Udhëzimeve për Menaxhimin e Sigurisë (1992, Libri Verdhë-Green, NCSC-TG-016).
• Mbledhja e të dhënave në mënyrë të automatizuar sistemet e informacionit(1991, The Pale Green Book, NCSC-TG-025).
• Password Management (1985, Green Book, CSC-STD-002-85).
• Dictionary of Computer Security Terminology (1988, Dark Green Book, NCSC-TG-004).
• Modelimi i Sigurisë (1992, Blue Book, NCSC-TG-010).
• Kompetenca e Administratorit të Sigurisë (1992, Turquoise Book, NCSC-TG-027).
• Identifikimi dhe vërtetimi (1991, Libri blu i lehtë, NCSC-TG-017).
• Ripërdorimi i objekteve (1992, Libri blu i lehtë, NCSC-TG-018).
• Pyetësorët në vlerësimin e sistemeve të besueshme (1992, Blue Book, NCSC-TG-019).
• Konceptet e certifikimit dhe akreditimit (1994, Blue Book, NCSC-TG-029).
• Vlerësimi i produkteve të besueshmërisë (1990, The Bright Blue Book, NCSC-TG-002).
• Interpreting Computer Security Subsystems (1988, The Sky Blue Book, NCSC-TG-009).
• Menaxhimi i Besueshmërisë (1989, Brown Book, NCSC-TG-015).
• Auditimi në Sistemet e Besuara (1988, Brown Book, NCSC-TG-001).
• TRUSIX (1989, "Libri i argjendtë", NCSC-TG-020).

Klasat e sigurisë së sistemit kompjuterik (TCSEC, Kriteret e Përbashkëta)

Klasa D. Niveli minimal i sigurisë. Kjo klasë përfshin sisteme që janë aplikuar për certifikim, por nuk e kanë kaluar atë. Ndërsa në këtë klasë asnjë OS nuk është i regjistruar.

Klasa C1. Mbrojtja selektive e aksesit. Siguron praninë e një baze llogaritëse të besueshme (TCB), përmbushjen e kërkesave selektive të sigurisë. Sigurohet ndarja e përdoruesve nga të dhënat (masa për të parandaluar leximin ose shkatërrimin e të dhënave, aftësia për të mbrojtur të dhënat private). Aktualisht nuk ka asnjë certifikatë të disponueshme për këtë klasë.

Klasa C2. Mbrojtja e aksesit të menaxhuar. Sistemet e kësaj klase janë të afta të zbatojnë kontroll më të qartë të përcaktuar në drejtim të mbrojtjes selektive të aksesit. Veprimet e përdoruesit shoqërohen me procedurat e identifikimit/autentifikimit. Dhënia dhe heqja e privilegjeve të aksesit për përdoruesit. Për më tepër, ngjarjet kritike për sigurinë auditohen dhe burimet janë të izoluara. Janë çertifikuar për këtë klasë: AIX 4.3.1, OS/400 V4R4M0 me Kodin e Veçorisë 1920, AOS/VS II, Release 3.10, OpenVMS VAX dhe Alpha Version 6.1, CA-ACF2 MVS Release 6.1, NT Serverstation, dhe Ver. 4.0, Guardian-90 w/Safeguard S00.01.

Klasa B1. Etiketuar siguri. Përveç kërkesave të C2, kërkohet një përshkrim jozyrtar i modelit të politikës së sigurisë, etiketimi i të dhënave dhe zbatimi i kontrollit të aksesit për subjektet dhe objektet e përmendura. Certifikuar për këtë klasë: CA-ACF2 MVS Release 6.1 i kompletuar me CA-ACF2 MAC, UTS/MLS, Versioni 2.1.5+ (Amdahl), SEVMS VAX dhe Versioni Alpha 6.1, ULTRIX MLS+ Versioni 2.1 në platformën VAX Station CX 3100, /SX 6.2.1 (Harris Computer Systems), version HP-UX BLS 9.0.9+, version i besuar IRIX/B 4.0.5EPL, OS 1100/2200 Release SB4R7 (Unisys).

Klasa B2. Mbrojtje e strukturuar. Në këtë klasë sistemesh, TCB-ja duhet të bazohet në një model të mirëpërcaktuar dhe të dokumentuar të politikës zyrtare të sigurisë. Kontrolli selektiv dhe i detyruar i aksesit zbatohet për të gjitha subjektet dhe objektet në sistem. Zbulohen kanale të fshehta. TCB duhet të zbërthehet qartë në elementë që janë kritikë dhe jo kritikë nga pikëpamja e sigurisë. Mekanizmat e vërtetimit janë duke u forcuar. Menaxhimi i mekanizmave të besueshmërisë ofrohet në formën e mbështetjes për funksionet e një administratori dhe operatori të sistemit. Kjo supozon se ekzistojnë mekanizma strikte të menaxhimit të konfigurimit. Sistemi është relativisht rezistent ndaj ndërhyrjeve. Trusted Xenix 4.0 (Trusted Information Systems) është i çertifikuar për këtë klasë.

Klasa B3. Domenet e sigurisë. TCB duhet të plotësojë kërkesat e një mekanizmi monitorimi referues që kontrollon absolutisht të gjithë aksesin e subjekteve ndaj objekteve dhe në të njëjtën kohë të jetë mjaft kompakt për t'u analizuar dhe testuar. Kërkohet një administrator sigurie. Mekanizmat e auditimit janë zgjeruar për të përfshirë aftësitë paralajmëruese për ngjarje kritike për sigurinë. Kërkohen procedura të rikuperimit të sistemit. Sistemi është jashtëzakonisht rezistent ndaj ndërhyrjeve. XTS-300 STOP 5.2.E (Shërbimet e Qeverisë Wang) është certifikuar për këtë klasë.

Klasa A1. Dizajni i verifikuar. Kjo klasë sistemesh është funksionalisht ekuivalente me klasën B3 në kuptimin që nuk kërkohen veçori shtesë arkitekturore ose kërkesa të tjera të politikës së sigurisë. Dallimi domethënës është se kërkohet një specifikim formal i projektimit dhe metoda të përshtatshme verifikimi për të siguruar që TCB të zbatohet në mënyrë korrekte. Nuk ka asnjë OS të regjistruar në këtë klasë.