Вы случайно не PHP Middle?

Анатомия кибериммунности: что из себя представляет KasperskyOS

Специалисты KasperskyOS рассказывают, каким образом эта операционная система решает проблемы безопасности интернета вещей и как устроена работа в команде проекта.

В закладки

Умные, но небезопасные

По данным портала securitytoday.com, каждую секунду к сети подключаются 127 новых IoT-девайсов, и, по прогнозам Statista, к концу 2020 года будут эксперты прогнозируют, что к интернету в общей сложности будет подключено 31 миллиард устройств. Как по назначению, так и по архитектуре они абсолютно разнородны: одни умеют только собирать и передавать данные телеметрии (как датчики для полива почвы или простые спутники), другие представляют собой целую систему с возможностью управлять физическими объектами (насосы, приводы, и т.д.).

Кажется, что экосистемы «умных» устройств никак не связаны между собой. Но это только на первый взгляд. Во-первых, интернет вещей — это все-таки одна глобальная сеть, в которой потенциально возможен обмен данными между любыми узлами. Во-вторых, многие связи просто не очевидны. В 2013-м году в Британии в «шпионаже» уличили... телевизор, который собирал информацию о поведении и предпочтениях хозяина, а затем отправлял все это на серверы производителя. И если бы тот продал сведения третьей стороне, то, возможно, даже «умный» магазин на первом этаже знал бы, какое вино он предпочитает.

Само собой, смарт-устройства интересны не только маркетологам, но и злоумышленникам. Одна из популярных схем, которой пользуются последние, заключается в том, чтобы объединить в сеть мощности множества устройств (скажем, Wi-Fi-роутеров) и завалить запросами какой-нибудь сервер. В качестве примера здесь можно вспомнить случай с ботнетом Mirai, состоящим из сотни тысяч лампочек, роутеров и камер. По сигналу они начинали синхронно отправлять колоссальное количество запросов и путем DDoS-атаки вывели из строя несколько крупнейших сайтов в 2016-м году.

Взломать: миссия [не]выполнима?

Разработчики многих IoT-устройств не уделяют должного внимания обеспечению кибербезопасности. Зачастую само программное обеспечение содержит разнообразные бреши в безопасности. Так, в ходе одного из исследований наши эксперты обнаружили уязвимости, позволяющие злоумышленнику получить доступ к контроллерам автозаправочных станций. В теории они позволили бы изменить цены на бензин, получить данные водителей, оплачивающих топливо с помощью банковских карт, а также заблокировать работу заправочной системы, чтобы потом требовать выкуп за ее разблокировку. К тому же злоумышленники могли бы даже нарушить работу оборудования и спровоцировать утечку топлива.

Речь в данном случае идёт о промышленных решениях, но с безопасностью домашних смарт-устройств дела обстоят не лучше. В октябре прошлого года появилась новость о том, что владелица автоматической кормушки для питомцев смогла получить удалённый доступ ко всем кормушкам этой модели в мире. Она видела, сколько у кого в миске лежало корма, и могла бы теоретически буквально парой кликов накормить всех котиков и собачек, а могла наоборот лишить их еды, удалив расписания с устройств.

Ранее, в феврале 2017 года, немецкий регулятор классифицировал говорящую куклу «Моя подруга Кайла» (My Friend Cayla) как шпионское устройство, поскольку в её «состав» входит технология, которая позволяет записывать вопросы ребенка и передавать аудио на специальное приложение, установленное на телефоны родителей. Как выяснилось, канал передачи не был надежно защищен, что оставляло преступникам теоретическую возможность вмешаться в обмен данными, перехватить информацию или связываться с ребенком.

И это только три примера, в реальности же их может быть сотни или тысячи.

«То, что происходит сейчас с рынком IoT-решений, можно назвать болезнью роста. Компании увлечены погоней за прибылью и продвижением на рынок новых продуктов и решений. В таком темпе безопасность порой отходит на второй план. Кроме того, большинство производителей устройств не создают их с нуля, а используют готовые компоненты, которые есть в открытом доступе. В итоге почти любое электронное устройство имеет аппаратные и программные возможности, которые ему, по сути, не нужны, но они могут использоваться для атаки. Злоумышленникам достаточно знать одну уязвимость драйвера или прошивки, чтобы взломать миллионы устройств, в которых они используются».

Марат Нуриев
менеджер по развитию бизнеса, KasperskyOS

Наш ответ — комплексный подход

А что, если «разбить» программное решение на компоненты и задать все допустимые взаимодействия между ними? Тогда не нужно будет заботиться о том, что в каких-либо прикладных модулях могут быть ошибки или уязвимости. Ведь любой компонент может делать только то, что ему позволено делать, и не сможет нарушить работу системы в целом. Такой подход лег в основу кибериммунитета (Cyber Immunity), реализуемого в решениях на базе KasperskyOS.

Кстати о том, что такое кибериммунитет и почему за ним будущее кибербезопасности, мы уже писали на vc.ru.

Что такое KasperskyOS? Это операционная система для подключенных к интернету встраиваемых систем с особыми требованиями к кибербезопасности. В ее ключевых компонентах нет заимствованного кода, они создавались с нуля. KasperskyOS позволяет обеспечить безопасную среду, в которой уязвимости и ошибки не будут представлять угрозы.

«Мы в «Лаборатории Касперского» задались целью разработать подход, обеспечивающий надежную защиту от любых атак — как известных, так и еще неизвестных. Изначально мы не собирались создавать новую операционную систему и рассчитывали, что задачу можно решить, используя уже существующие ОС. Говоря научным языком, мы искали оптимальную архитектуру политик безопасности в рамках MILS-подхода. То есть подхода, который позволяет создавать ИТ-системы и решения с учетом требований к их функциональной и информационной безопасности. Вооружившись сложной математикой и моделями безопасности, мы разработали мощный «вычислитель вердиктов» Kaspersky Security System (KSS). KSS проверяет любое взаимодействие компонентов на соответствие политикам, которые задал разработчик решения, и выносит вердикт: «разрешить» или «запретить». Этот вердикт уже должна исполнить система, т.е. либо выполнить, либо отклонить операцию. Операционных систем, реализующих MILS-подход, довольно много, но среди них не оказалось ни одной, которая бы позволяла полностью раскрыть потенциал KSS. Тогда и родилась идея создания собственной операционной системы – KasperskyOS».

Максим Юдин
руководитель отдела разработки безопасной платформы KasperskyOS

KasperskyOS построена на микроядерной архитектуре. Это означает, что самая ответственная часть системы – ядро – очень компактно и содержит только самые необходимые функции. А ведь чем меньше ядро, тем проще его исследовать и тем меньше возможностей для возникновения уязвимостей.

Команда KasperskyOS

Изначально KasperskyOS была исследовательским проектом, затем напоминала бизнес-инкубатор для обкатки концепций, а сегодня это отдельное подразделение в сфере продуктовой разработки.

Команда KasperskyOS состоит из нескольких групп. Одна из них отвечает за микроядро, драйверы устройств и поддержку аппаратных платформ. Другая — разрабатывает KSS и язык описания политик безопасности. Основной костяк этой группы составляют люди с хорошей математической подготовкой. Они разрабатывают матмодели и с помощью формальных методов доказывают различные свойства системы и отдельных ее компонентов. Самой многочисленной является группа SDK (software development kit), которая разрабатывает различные компоненты ОС, включая графическую подсистему и реализации файловых систем, а также слой совместимости с POSIX и инструменты разработки. Группа гипервизора реализует функции виртуализации, позволяющие запускать гостевые ОС под управлением KasperskyOS, используя все её преимущества. Сейчас формируется ещё одна группа. Ей предстоит создавать сервисы для сборки и тестирования, анализа дампов и логов — всего, что может потребоваться для CI/CD и поддержки наших решений.

Всего в подразделении работает около 40 человек, и мы продолжаем расти.

«У нас разные команды со своими интересными задачами. Например, одни люди работают над концепцией защищенного корпоративного смартфона. Другие — занимаются automotive-решениями, готовят на C++ реализацию стандарта AUTOSAR Adaptive Platform для создания системы помощи водителю на шоссе. Стандарт AUTOSAR Adaptive Platform описывает операционную систему для автомобилей будущих поколений на много-много лет вперед. Оказалось, что с использованием кибериммунного подхода можно существенно повысить защищенность автомобиля, всего лишь незначительно увеличив стоимость решения. Достаточно просто разбить решение на части и определить для них политики безопасности. Во многих случаях это можно сделать вообще без модификаций заимствованного кода».

Максим Юдин
руководитель отдела разработки безопасной платформы KasperskyOS

Кого мы ищем сегодня

Мы искренне верим, что в будущем технологии сделают нашу жизнь лучше. Вот почему в компании стремятся обеспечить их безопасность — чтобы каждый мог пользоваться безграничными возможностями, которые открывает цифровой мир, без рисков. Мы обеспечиваем защиту сложных промышленных систем, умных городов, автомобилей и не только. Найти человека, который разбирается во всех этих областях сразу, невозможно. Многое приходит с опытом, поэтому нам важно, чтобы человек не только обладал сильной технической базой, но и был готов к обучению в процессе работы.

Офис «Лаборатории Касперского» в Москве

Сотрудникам доступен продвинутый социальный пакет, страховка распространяется и на детей. Всем коллегам компания компенсирует обучение, дает доступ к обширной библиотеке и многое другое. Подробности можно узнать на сайте.

Сейчас мы ищем тех, кто готов попробовать себя, пожалуй, в одном из самых перспективных и интересных в мире проектов, связанных с разработкой технологий защиты. Переходите на наш карьерный портал и попробуйте свои силы!

Международная компания, работающая в сфере информационной безопасности с 1997 года. Глубокие экспертные знания и многолетний опыт компании лежат в основе защитных решений и сервисов нового поколения, обеспечивающих безопасность бизнеса, критически важной инфраструктуры, государственных органов и рядовых пользователей. Обширное портфолио «Лаборатории Касперского» включает в себя передовые продукты для защиты конечных устройств, а также ряд специализированных решений и сервисов для борьбы со сложными и постоянно эволюционирующими киберугрозами. Технологии «Лаборатории Касперского» защищают более 400 миллионов пользователей и 270 тысяч корпоративных клиентов во всём мире.
{ "author_name": "Лаборатория Касперского", "author_type": "editor", "tags": [], "comments": 8, "likes": 3, "favorites": 4, "is_advertisement": false, "subsite_label": "kaspersky", "id": 141475, "is_wide": true, "is_ugc": false, "date": "Wed, 15 Jul 2020 10:31:50 +0300", "is_special": false }
0
8 комментариев
Популярные
По порядку
Написать комментарий...
3

Касперскому нужно выпускать шпионское оборудование, а не системы безопасности, с такой репутацией) 

Ответить
1

Угу, КГБшник, занимающийся проблемами безопасности ;) 

Ответить
0

у касперыча, яндекса и т.д. есть огромный рынок рф. более того, на него с гарантией не пустят зарубежных конкурентов, особенно в сфере безопасности. так что касперыч считай играет в беспроигрышную лотерею. ещё бы границы закрыть и холопов раздать...

Ответить
1

"огромный рынок рф" это где-то 1% от мирового рынка, на котором их считают шпионами, ну так себе выиграли в лотерею

Ответить
0

Придумай проблему - придумай решение.

А заодно нагони гребцов на галеру, которая не производит ничего полезного

Ответить
0

Кек

Ответить
0

Все давно придумано - Linux и больше ничего не надо..
зачем ещё что-то придумывать...

Ответить
–4

Правильно выше говорят, лучше бы одиноким мамочкам эти деньги отдали, не знаю, бесплатный антивирус сделали для них. Чем эти все непонятные штуки делали.

Ответить

Комментарии