7 ответов на 7 вопросов про 11-11.

Previous Entry Поделиться Next Entry
15 февраля, 10:56
e_kaspersky
Мальчики и девочки! Сегодня слишком прекрасный день, чтобы три раза не сказать "ура!". Вот так: УРА, УРА, УРАААА!!!

А почему?

Потому что мы – следите за слогами! – прото-типи-рова-ли, прототипировали и наконец выпрототепировали (а теперь попробуйте повторить по-трезвому! :) Да, мы официально выпустили нашу безопасную операционную систему для сетевых устройств, автоматизированных систем управления и прочего Интернета Вещей! И, да, мы долго запрягали - позади 14 лет кропотливой работы (проект начался 11 ноября – отсюда и название такое – 11-11) и даже успели совершить практическое внедрение. Теперь же ОСь готова к потреблению доступна для внедрения всеми заинтересованными сторонами, в различных вариантах.

kokos

Не буду грузить вас техническими подробностями, тем более, что о них вот здесь исчерпывающе уже сказано. Лучше сосредоточусь на том, что осталось "за скобками", а именно – отвечу на самые распространённые вопросы и развею самые невероятные заблуждения вокруг этой операционной системы.

Зачем нам ещё один Linux?
Это один из самых распространённых вопросов. И ответ на него феноменально прост – это не Linux. Т.е. совсем и вообще не Linux, от него там нет ни строчки кода. Мы разработали ОСь с нуля и для решения абсолютно других задач.

Для создателей Linux, Windows, OS X и многих других самое важное — совместимость и универсальность. Разработчики этих систем пытаются максимально популяризировать свои творения, для чего донéльзя упростили процесс создания новых приложений и инструментов под них. А для нашей целевой аудитории (разработчики железа, АСУТП и т.д.) это неприемлемо – здесь главное безопасность.

Для создания такой безопасной среды нужен глобальный Default Deny на уровне системных процессов, завёрнутый в микроядерную архитектуру. То есть система, которая могла бы выполнять только то, что нужно и не могла бы (физически) делать что-то ещё. В традиционных операционных системах это сделать невозможно.

Встроить в уже работающую систему защитные механизмы — можно. По сути именно этим мы и занимаемся в основном бизнесе. И для решения многих задач этого хватает. Однако есть области, в которых недопустим даже потенциальный шанс успешной атаки. И если нужны гарантии, то нужно создавать что-то новое. Безопасное по определению.

Ой, да делали уже безопасные ОС! И что?
Мы, собственно, и не говорим, что сделали что-то уникальное по своему гениальному замыслу. Разумеется, безопасную ОС пытались создать и раньше. И в ряде случаев даже добились успеха, но по стоимости эти проекты были сравнимы с самолётом (часто в самолётах и применялись) и потому широкого распространения не получили.

А в большинстве же случаев такие проекты ограничились научными исследованиями и ограниченной практической реализацией. Например, сделали микроядро, выпили шампанского, обнялись, поздравили друг друга и разошлись. До полноценного ввода в промышленную эксплуатацию, коммерческого продукта дело не доходило. Автомобиль – это не только двигатель, система подвески или колёса.

Мы же идём от практической задачи — разработали систему так, чтобы её можно было задействовать в конкретных областях, с возможностью тонкой настройки степени безопасности для выполнения специфических задач. В результате у нас, по сути, получилось три продукта. Собственно ОСь (KOS), отдельный гипервизор (KSH) и отдельная система для обеспечения безопасности взаимодействия компонентов (KSS). При этом они могут принести пользу и по отдельности, в зависимости от применения.

Например, немецкая компания SYSGO лицензирует только третий компонент (KSS) для собственной разработки PikeOS. Некоторые производители проявляют интерес только к гипервизору (KSH), под которым можно запускать работающие системы управления без необходимости их модификации. А для свичей Kraftway такого уровня интеграции было недостаточно и в них применяется ОСь целиком.

3027882_original

Короче говоря, преимущество нашей ОСи заключается в том, что её практическое применение — это не гипотетический вопрос, а дело настройки и доводки под конкретные нужды.

Как вы докажете, что ось позволяет выполнять только документированные операции?
Разумеется, как только мы говорим, что наша система безопасна by design, находятся люди, которые не верят. И это абсолютно нормально, в кибербезопасности вообще опасно верить на слово.

Архитектура нашей операционной системы основана на делении объектов на максимальное количество изолированных сущностей. Заказчики могут ознакомиться с исходным кодом ядра, чтобы убедиться - внутри системы нет недокументированных возможностей. Всё остальное в принципе создается с участием клиента, в виде политик, которые описывают буквально каждый чих.

В остальном система будет делать только то, что вы ей велите. Злоумышленники не смогут воспользоваться даже ошибкой в коде прикладной программы, написанной под эту ОС. Да, можно написать длиннющий код с кучей ошибок. Но чтобы этот код смог отработать, ему нужно ещё и соответствовать политикам, которые объясняют, что код может делать, а что нет.

Хорошая идея, но под ней ничего не будет работать
Как раз напротив, у нас исключительно гибкая система! В принципе, её можно "допилить" даже до уровня обычной "ширпотребной", но на это уйдет очень много времени и ресурсов. Пока у нас таких планов нет – мы будем работать только в узкоспециализированном сегменте.

Ну и не следует забывать о возможности портирования на ОСь стороннего кода — для этого в составе системы есть защищённый гипервизор, который позволит запустить в качестве надстройки практически все что угодно (ну, к примеру, сервер Apache).

Да, если бы у вас была возможность взять этот сервер, поделить на множество изолированных частей, прописать как они будут взаимодействовать друг с другом, то мы бы получили куда больший уровень безопасности. Но это адский труд. Впрочем, нет ничего невозможного – было бы желание и средства :)

Именно поэтому мы предоставляем возможность запуска надстройки через гипервизор. Да, в этом случае мы получим заведомо безопасную ось, с заведомо небезопасной надстройкой. Что будет происходить внутри этой надстройки — неизвестно. Но мы получим возможность контролировать, как она взаимодействует с железом, как будет общаться с другими надстройками и как будет общаться с внешним миром. А это уже немало. При такой реализации "побег из песочницы" крайне маловероятен.

Да ладно, она всё равно будет передавать данные
Само по себе ядро системы ничего не куда не передает — в этом не сложно убедиться, изучив исходный код (см. выше). В микроядре нет практически ничего. Все драйверы вынесены вовне. То есть чтобы передавать что-либо, надо написать дополнительный кусок. И он будет виден – тут даже не надо смотреть в исходники кода. Потому что это прописывается в инструкциях, в политиках безопасности. И заказчик всегда может провести их аудит независимо от кода. Если в них не прописано ничего о передаче данных куда-либо, то значит, что система не передает.

Ну да, и стоить она будет как крыло от "Боинга"
Честно говоря, мы очень давно не покупали крыльев от "Боинга" и на вскидку не помним современную цену. Однако, сравнение в принципе некорректно. Потому что наша ОС — это не конечный продукт, а скорее проектный. Мы не продаем коробку с готовым волшебным снадобьем, а сотрудничаем с производителями и разработчиками (например: сетевое оборудование, промышленная автоматизация, автомобильные системы… да хоть умные холодильники!) предоставляем код и помогаем адаптировать систему под конкретные требования. Соответственно и стоимость решения зависит непосредственно от задачи, от количества труда, который придется вложить в финализацию продукта.

Всё в мире ломается и вашу ОС тоже сломают!
Согласен – в мире нет ничего абсолютного, кроме числа 42 :) Поэтому могут случиться любые случаи. Однако это не повод накрыться простынёй и медленно ползти на кладбище! Смысл кибербезопасности - максимально усложнить задачу кибернегодяям, задрать стоимость успешной атаки до потолка, сделать эту атаку экономически невыгодной. И в этом равных нашей ОСи пока нет.

На этом всё. Вопросы – в комментах. Более подробная информация на сайте.

kokos-2



Метки:
Previous Entry Поделиться Next Entry

Записи из этого журнала по тегу «product launch»

  • Глобус бесплатного антивируса.

    Всем привет, Есть отличная новость – мы объявляем о глобальном всемирном запуске бесплатного антивируса Kaspersky Free! Для всех желающих,…

  • Кибер-рентгеном по цифровым зловредам!

    Есть такая фича человеческой натуры - докапываться до сути. Кибербезопасность тому не просто не исключение, а даже вдвойне подтверждение этого…

  • Летим вперёд на собственной ОСи.

    Наконец-то! Свершилось! Свееееершииииилоооооось! -ось-ось-ось-ось-ось.... - ответило наше ручное офисное эхо. Я долго ждал дня, когда на моём столе…


Страница 1 из 2
<<[1] [2] >>
Спасибо за информацию. Надо будет попробовать.

Спасибо за информацию. Надо будет попробовать.

дней через 5 качну наверное на торренте, глянем чо как)

Edited at 2017-02-15 09:25 (UTC)

а железку под неё купите в кетае за это же время

Вопросов нет. Пока нет. Или вообще нет.
А вот поздравления извольте принять!

А чем лучше, например WxWorks? Я так понимаю вы на тот же рынок нацелились.

Re: Поздравляю

andynicks

2017-02-15 15:04 (UTC)

VxWorks хорошая ОС. И да, мы цеоин на тот же рынок. Разница к подходу к обеспечению кибер безопасности в первую очередь. Я отвечал на подобный вопрос https://securelist.ru/blog/soft/26512/chto-takoe-bezopasnaya-os/

ах да забыл
Поздравляю со стартом
а вот такой вопрос: axapta совместима? а то апач конечно хорошо, но на нем только скрипты для сайтов тестить зы в 2007г

Edited at 2017-02-15 09:59 (UTC)

Я так и не понял для кого этот текст? Для директоров заводов или для простых юзеров. Потому что вы не приводите ни единого примера, где бы простой юзер мог бы применить вашу ось. Для директора Автоваза или директора станкостроителього завода это конечно любопытный пост. Только вот я сомневаюсь что все эти директора читают ваш живой журнал. Не я лично очень рад что такая ось была сделана в России и что лет через 20 появится принтер или газель с электронной начинкой под управлением вашей ОСи. Ну вот как можно будет купить в магазине такое устройство, тогда мы и проголосуем за эту ОСь рублём. А до тех пор это не более чем рассказы о лохнесском чудовище. Уж извините... :)

по-моему в начале поста очень недвусмысленно написано:
"...для сетевых устройств, автоматизированных систем управления и прочего Интернета Вещей..." и дальше по тексту "наша ОС — это не конечный продукт, а скорее проектный. Мы не продаем коробку с готовым волшебным снадобьем, а сотрудничаем с производителями и разработчиками".

Решения о внедрении подобного софта принимаются широким спектром специалистов, причём зачастую инициаторов выступает средний состав, поскольку лучше всего разбирается в технических особенностях и конкурентной обстановке. Судя по комментариям такие люди действительно читают этот блог. И самое главное: запуск продукта - это не только пост на блоге ген.директора. Посмотрите - в тексте много ссылок на другие ресурсы, которые отразились в других СМИ, которые читают другие специалисты, в т.ч. самые директоры :)

Edited at 2017-02-15 19:42 (UTC)

ну, чё , круто, поздравляю)))

Я просто оставлю это здесь.


А почему описание KasperskyOS есть только на английском на Kaspersky.com, а на Kaspersky.ru даже в поиске не ищется? Ориентируетесь на запад или другая причина?

На русском описание в работе. Должны запустить буквально на днях. Причина простая -- первое мероприятие, на котором мы говорили о KOS было в Европе. А вот продукт вышел в России

Поздравляю! Что-то мне подсказывает, что ваша система сделана с прицелом на выбивание Cisco с её IOS :) Давно пора...

Берите выше!

evilwoodpecker

2017-02-15 15:53 (UTC)

Следующая версия самолета от Boing на KOS полетит ;)

Вот что огорчает - Бесплатный Антивирус не устанавливается на FAT32. Не уверен, что платный 2017 года поставится на FAT32 и будет защищать Windows XP...
То есть работающие компьютеры с Windows XP должны по логике производителей программ и железа прекратить своё существование. И необходимо ни с того ни с сего бежать покупать новый компьютер с 1 Тб винтом и 8 Гб ОЗУ, чтобы решать старые задачки типа 2х2=4. Между нами говоря КПД таких новаций не то что как у паровоза 6%, но даже отрицательный.

FAT32 и Windows XP, Вы серьезно?
Простите, но FAT32 для WinXP не рекомендовалось MS еще на старте продаж системы, и это не говоря о том что Windows XP официально не поддерживается разработчиком с апреля 2014 года. Почему же Вы считаете что сторонние (!) разработчики должны обеспечивать совместимость своих бесплатных (!) продуктов с устаревшей и снятой с официальной поддержки ОС?
Вас же не удивляет отсутствие поддержки, например, DOS-приложений или программ для Win95-98?

Поздравляю! Очень надеюсь, что Ваша ОСь прочно займет свое место под солнцем :)

Страница 1 из 2
<<[1] [2] >>
?

Log in

No account? Create an account