В основе KasperskyOS — микроядро, которое содержит всего около 100 тыс. строк кода. Чем меньше размер ядра, тем меньше в нем потенциальных уязвимостей и тем проще досконально проверить его код.
Микродро KasperskyOS отвечает за те функции, которые могут выполняться только в привилегированном режиме:
▫️планирование процессов и потоков;
▫️управление виртуальной памятью;
управление доступом к портам ввода-вывода;
▫️управление DMA-памятью;
синхронизация на основе фьютекса;
доставка и управление аппаратными прерываниями;
▫️получение и установка реального времени;
▫️управление дескрипторами;
взаимодействие с подсистемой безопасности (Kaspersky Security System).
Вся остальная функциональность операционной системы, включая драйверы, файловые системы и сетевые стеки, вынесена в режим пользователя.
Ядро KasperskyOS гарантирует полную изоляцию компонентов IT-системы. Единственный вид межпроцессных взаимодействий, предоставляемый ядром, — синхронный обмен сообщениями («запросом» и «ответом»). При этом каждое сообщение передается подсистеме Kaspersky Security System для проверки на соответствие заданной политике безопасности. Ядро доставит сообщение, только если это разрешено политикой.
Микродро KasperskyOS отвечает за те функции, которые могут выполняться только в привилегированном режиме:
▫️планирование процессов и потоков;
▫️управление виртуальной памятью;
управление доступом к портам ввода-вывода;
▫️управление DMA-памятью;
синхронизация на основе фьютекса;
доставка и управление аппаратными прерываниями;
▫️получение и установка реального времени;
▫️управление дескрипторами;
взаимодействие с подсистемой безопасности (Kaspersky Security System).
Вся остальная функциональность операционной системы, включая драйверы, файловые системы и сетевые стеки, вынесена в режим пользователя.
Ядро KasperskyOS гарантирует полную изоляцию компонентов IT-системы. Единственный вид межпроцессных взаимодействий, предоставляемый ядром, — синхронный обмен сообщениями («запросом» и «ответом»). При этом каждое сообщение передается подсистеме Kaspersky Security System для проверки на соответствие заданной политике безопасности. Ядро доставит сообщение, только если это разрешено политикой.
👍12🔥1
С января 2024 команда научно-образовательного центра “Математическая робототехника и искусственный интеллект” СПбГУ при методологической поддержке “Лаборатории Касперского” работает над прототипом конструктивно защищённого дрона-доставщика.
👉 На канале можно увидеть реализацию всего проекта буквально по шагам.
На сегодняшний день прототип уже летает, может следовать по маршруту, также есть “цифровой двойник” - все компоненты системы дрона.
Имитаторы наземных систем работают в виртуальной машине или в docker контейнерах, требующих достаточно скромных ресурсов (2 GB RAM и около 10 GB пространства) для запуска (для разработки нужно установить предпочитаемую среду, ресурсы будут определяться уже этим инструментом).
В качестве компонентов защиты в системе мы заложили специальный модуль безопасности (МБ) под управлением KasperskyOS. Код этого модуля пишет также команда СПбГУ. Он отвечает за взаимодействие с (имитатором) системы организации воздушного движения, контроль аутентичности полётного задания и контроль перемещения дрона.
МБ работает на отдельной от полётного контроллера (ПК) плате, которая отвечает за перемещение дрона и выполнение миссии. Но, если МБ обнаруживает критические отклонения от полётного задания, он может задействовать альтернативные аппаратные цепи для безопасного (для окружающих) прерывания полёта. За это отвечает - это модуль kill switch. В случае внештатной ситуации, который он отключит питание моторов, а плюс система аварийной посадки в виде парашюта или его аналога, поможет не нанести критический ущерб людям и имуществу третьих лиц.
Пока у прототипа отсутствуют бортовые камеры, и нам пока не удалось отказаться от спутниковой навигационной системы в работе МБ. А парашют пришлось заменить на противную пищалку, чтобы соответствовать ограничениям испытательной трассы Архипелага-2024, где и будет официально представлен дрон-доставщик.
👉 На канале можно увидеть реализацию всего проекта буквально по шагам.
На сегодняшний день прототип уже летает, может следовать по маршруту, также есть “цифровой двойник” - все компоненты системы дрона.
Имитаторы наземных систем работают в виртуальной машине или в docker контейнерах, требующих достаточно скромных ресурсов (2 GB RAM и около 10 GB пространства) для запуска (для разработки нужно установить предпочитаемую среду, ресурсы будут определяться уже этим инструментом).
В качестве компонентов защиты в системе мы заложили специальный модуль безопасности (МБ) под управлением KasperskyOS. Код этого модуля пишет также команда СПбГУ. Он отвечает за взаимодействие с (имитатором) системы организации воздушного движения, контроль аутентичности полётного задания и контроль перемещения дрона.
МБ работает на отдельной от полётного контроллера (ПК) плате, которая отвечает за перемещение дрона и выполнение миссии. Но, если МБ обнаруживает критические отклонения от полётного задания, он может задействовать альтернативные аппаратные цепи для безопасного (для окружающих) прерывания полёта. За это отвечает - это модуль kill switch. В случае внештатной ситуации, который он отключит питание моторов, а плюс система аварийной посадки в виде парашюта или его аналога, поможет не нанести критический ущерб людям и имуществу третьих лиц.
Пока у прототипа отсутствуют бортовые камеры, и нам пока не удалось отказаться от спутниковой навигационной системы в работе МБ. А парашют пришлось заменить на противную пищалку, чтобы соответствовать ограничениям испытательной трассы Архипелага-2024, где и будет официально представлен дрон-доставщик.
🔥7👍3
(продолжение)
В ходе инженерных соревнований на Архипелаге-2024 наш прототип будет использоваться командами из ВУЗов со всей России для изучения и применения идей конструктивной защиты. Специально для участников мы разработали концепцию киберпрепятствий: по легенде в некоторых сторонних open source компонентах оказались ошибки и закладки, которые могут критично повлиять на выполнение миссии доставщиком.
Уже после выступлений команд, в рамках Технической лаборатории совместно с участниками, производителями и эксплуатантами дронов мы обсудим следующие шаги: и бортовой искусственный интеллект, и автономная навигация, и может быть даже безопасный групповой полётов дронов!
Интересно? Давайте с нами! 😉
Для начала - не на Сахалин, где пройдет Архипелаг-2024, а к нам - в группу по обучению кибериммунной разработке. Уже скоро мы откроем набор на обучение работе с цифровым двойником кибериммунного дрона-доставщика.
👉 Подписывайтесь на канал и следите за новостями.
В ходе инженерных соревнований на Архипелаге-2024 наш прототип будет использоваться командами из ВУЗов со всей России для изучения и применения идей конструктивной защиты. Специально для участников мы разработали концепцию киберпрепятствий: по легенде в некоторых сторонних open source компонентах оказались ошибки и закладки, которые могут критично повлиять на выполнение миссии доставщиком.
Уже после выступлений команд, в рамках Технической лаборатории совместно с участниками, производителями и эксплуатантами дронов мы обсудим следующие шаги: и бортовой искусственный интеллект, и автономная навигация, и может быть даже безопасный групповой полётов дронов!
Интересно? Давайте с нами! 😉
Для начала - не на Сахалин, где пройдет Архипелаг-2024, а к нам - в группу по обучению кибериммунной разработке. Уже скоро мы откроем набор на обучение работе с цифровым двойником кибериммунного дрона-доставщика.
👉 Подписывайтесь на канал и следите за новостями.
👍4🔥1
Политика архитектуры (ПА) — термин, заимствованный из теории систем с разделением на домены. ПА является единственной общесистемной политикой безопасности, реализуемой на уровне ядра разделения системы, которое отвечает за изоляцию доменов безопасности. ПА использует высокоуровневое описание архитектуры в качестве отправной точки. На диаграмме политики архитектуры цветами выделяется доверенный и недоверенный код, уровень целостности данных, разрешенные взаимодействия компонентов (с учетом их направления).
Политика архитектуры является одним из важнейших артефактов кибериммунного подхода. Вместе с логическим объяснением принятых решений об уровне доверия к доменам безопасности системы она позволяет архитектору обосновать заказчику системы каким образом будут достигаться цели безопасности.
Политика архитектуры является одним из важнейших артефактов кибериммунного подхода. Вместе с логическим объяснением принятых решений об уровне доверия к доменам безопасности системы она позволяет архитектору обосновать заказчику системы каким образом будут достигаться цели безопасности.
❤4👍1
Доверенный код — это такой хорошо разработанный код, которому можно доверять? Верно ли, что чужой код не может быть доверенным, т.к. он может содержать уязвимости или даже закладки?
В кибериммунном подходе доверенный код (доверенная кодовая база, trusted computing base — TCB) — это код, который критически важен для достижения целей безопасности системы. То есть доверенный код — это код, которому мы вынуждены доверять (и потому вынуждены его тщательно проверять), а не тот, который является «хорошим» с нашей точки зрения.
TCB может включать в себя сторонние библиотеки или целые фреймворки. Задачей архитектора является минимизация TCB, потому что его верификация — сложная и дорогостоящая задача. Задачей команды разработки является проверка всеми доступными средствами этой кодовой базы на предмет уязвимостей и закладок. Тогда этот доверенный код можно будет считать «благонадежным», т.е. таким, который делает то, что от него ожидается.
Отсюда очевидно, что чем меньше такого доверенного кода в системе, тем дешевле будет разработка и обслуживание.
👍2❤1
🚆 «Российские железные дороги» решают задачу ресурсосбережения путевого хозяйства Центральной дирекции инфраструктуры (филиал ОАО «РЖД»). Чтобы снизить затраты на электроэнергию, АО «НИИАС», ведущим отраслевым институтом ОАО «РЖД», был разработан передовой проект «СМАРТ. Обогрев стрелок». Он позволяет оптимизировать работу электрообогрева стрелочных переводов путем автоматизации процессов и самостоятельной адаптации к параметрам среды.
Создание подобного проекта было бы невозможно без комплексной киберзащиты. Успешная атака на «СМАРТ. Обогрев стрелок» может не просто нарушить работу системы, но и поставить под угрозу информационную и физическую безопасность инфраструктуры. Защитить ее на всех уровнях помогли технологии «Лаборатории Касперского», в том числе специальное решение на базе KasperskyOS, Kaspersky IoT Infrastructure Security для безопасного и функционального интернета вещей.
👉 Рассказываем о совместном проекте «Лаборатории Касперского» и «РЖД» в подробностях на нашем сайте.
Создание подобного проекта было бы невозможно без комплексной киберзащиты. Успешная атака на «СМАРТ. Обогрев стрелок» может не просто нарушить работу системы, но и поставить под угрозу информационную и физическую безопасность инфраструктуры. Защитить ее на всех уровнях помогли технологии «Лаборатории Касперского», в том числе специальное решение на базе KasperskyOS, Kaspersky IoT Infrastructure Security для безопасного и функционального интернета вещей.
👉 Рассказываем о совместном проекте «Лаборатории Касперского» и «РЖД» в подробностях на нашем сайте.
Продолжаем говорить о "доверенном коде" в системе.
🎯 Важно уменьшить общий объем доверенной кодовой базы. При этом необходимо иметь в виду, чем мельче дробление, тем лучше можно контролировать взаимодействие на уровне политик. С другой стороны, тем большее негативное влияние на производительность системы этот контроль оказывает.
В конечном итоге архитектор должен определить оптимальное соотношение для системы, основываясь в том числе на требованиях производительности и обслуживаемости системы, а не только защищенности.
Желательно, чтобы отдельные доверенные компоненты были простыми по логике, маленькими по объему, имели минимальное количество интерфейсов с жестко типизированными параметрами, а сколько таких компонентов будет в итоге не столь важно.
"Верно ли, что чем меньше доверенных компонентов в системе, тем лучше?"
🎯 Важно уменьшить общий объем доверенной кодовой базы. При этом необходимо иметь в виду, чем мельче дробление, тем лучше можно контролировать взаимодействие на уровне политик. С другой стороны, тем большее негативное влияние на производительность системы этот контроль оказывает.
В конечном итоге архитектор должен определить оптимальное соотношение для системы, основываясь в том числе на требованиях производительности и обслуживаемости системы, а не только защищенности.
Желательно, чтобы отдельные доверенные компоненты были простыми по логике, маленькими по объему, имели минимальное количество интерфейсов с жестко типизированными параметрами, а сколько таких компонентов будет в итоге не столь важно.
⚡️25-26 мая в Новосибирске пройдет конференция для разработчиков Codefest, где «Лаборатория Касперского» расскажет о KasperskyOS Community Edition — общедоступной версии #KasperskyOS, разработанной с целью демонстрации основных принципов разработки безопасных решений.
Если будете участвовать оффлайн, подходите пообщаться!🤝 На нашем стенде у вас будет возможность самостоятельно построить безопасное решение, основываясь на кибериммунном подходе — разделении IT-систем на изолированные части и контроле взаимодействия между ними. Авторы самых удачных проектов получат фирменный мерч «Лаборатории Касперского».
Отдельная часть экспозиции будет посвящена тому, как кибериммунитет уже работает на практике. Мы покажем, как по-разному реагируют на одну и ту же кибератаку шлюз для интернета вещей на базе Linux и кибериммунный шлюз на KasperskyOS.
Тем, кто занимается мобильной разработкой будет интересно посмотреть на процесс сборки и запуска KasperskyOS для мобильных устройств.
В общем, приходите за новыми знаниями и возможностями! ☺️
👉 Сайт мероприятия
Если будете участвовать оффлайн, подходите пообщаться!
Отдельная часть экспозиции будет посвящена тому, как кибериммунитет уже работает на практике. Мы покажем, как по-разному реагируют на одну и ту же кибератаку шлюз для интернета вещей на базе Linux и кибериммунный шлюз на KasperskyOS.
Тем, кто занимается мобильной разработкой будет интересно посмотреть на процесс сборки и запуска KasperskyOS для мобильных устройств.
В общем, приходите за новыми знаниями и возможностями! ☺️
👉 Сайт мероприятия
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7❤5👏1
Решения «Лаборатории Касперского» ежедневно фиксируют по всему миру примерно 411 тысяч новых образцов вредоносного ПО. Всего же за 2023 год решения «Лаборатории Касперского» отразили 6,1 миллиард кибератак. В этом году основные угрозы сохраняются, поэтому ожидать падения количества инцидентов компаниям, к сожалению, не приходится. Более того, продолжается политически мотивированный хактивизм, в даркнете появляются новые инструменты, которые упрощают атаки для злоумышленников, растет интерес к атакам на цепочки поставок. Злоумышленники чаще применяют нейросети для создания убедительного контента. Как следствие, попытки мошенничества становятся более изощрёнными.
Об актуальных киберугрозах, тенденциях и о том, как компании в России движутся к цифровому иммунитету рассказывает Анна Кулашова, управляющий директор «Лаборатории Касперского» в России и странах СНГ.
👉 Читать статью
Об актуальных киберугрозах, тенденциях и о том, как компании в России движутся к цифровому иммунитету рассказывает Анна Кулашова, управляющий директор «Лаборатории Касперского» в России и странах СНГ.
👉 Читать статью
👍2😁2🔥1
Конференция «Цифровая индустрия промышленной России» состоится 21-24 мая 2024 в Нижнем Новогороде.
ЦИПР входит в пятерку крупнейших мероприятий в области цифровой экономики в России. Уже на протяжении многих лет эта конференция является ключевой площадкой для встреч лидеров рынка и обсуждения лучших практик, технологий и идей.
Помимо обсуждения новых инициатив и предложений экспертами, ЦИПР также является площадкой для хакатонов, питчинг сессий и выставки NFT-искусства.
Мы едем 🙃
Будем рады видеть вас на нашем стенде!
ЦИПР входит в пятерку крупнейших мероприятий в области цифровой экономики в России. Уже на протяжении многих лет эта конференция является ключевой площадкой для встреч лидеров рынка и обсуждения лучших практик, технологий и идей.
Помимо обсуждения новых инициатив и предложений экспертами, ЦИПР также является площадкой для хакатонов, питчинг сессий и выставки NFT-искусства.
Мы едем 🙃
Будем рады видеть вас на нашем стенде!
👍3❤1
Мы часто говорим о безопасной архитектуре, а также безопасном коде, безопасных вычислениях, разработке безопасного отечественного ПО и принципе Secure by design.
🔖 27 мая, понедельник, 18:30-22:00, состоится второй митап российского альянса RISC-V.
Мы погрузимся в программные и аппаратные средства защиты, применяемые в архитектуре RISC-V, обсудим особенности унифицированной среды разработки безопасного ПО, микроядерных операционных систем для реализации подходов Security by Design, обратим внимание на вопросы безопасности кода и данных на вычислительных платформах.
🎙️ В составе спикеров - представители Syntacore, YADRO, ИСП РАН, KASPERSKY и Positive Technologies.
Регистрация — тут
За подробностями — в чат митапа в тг
Всем нетворкинга и конструктивных дискуссий! ✨
Мы погрузимся в программные и аппаратные средства защиты, применяемые в архитектуре RISC-V, обсудим особенности унифицированной среды разработки безопасного ПО, микроядерных операционных систем для реализации подходов Security by Design, обратим внимание на вопросы безопасности кода и данных на вычислительных платформах.
Регистрация — тут
За подробностями — в чат митапа в тг
Всем нетворкинга и конструктивных дискуссий! ✨
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
В планах компаний — предоставление пользователям тонких клиентов функциональности аудиоконференций на платформе IVA MCU. В дальнейшем организации будут также развивать в своих решениях видеоформаты коммуникаций.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5😁1
Знакомо?
Именно вопрос "Как упростить создание безопасных решений с помощью кибериммунной методологии разработки в рамках концепции Secure by Design" обсуждали сегодня в Новосибирске на крупнейшем для разработчиков мероприятии CodeFest.
Если вы тоже в Новосибирске, подтягивайтесь к нам на стенд «Лаборатории Касперского». Узнаете, как разработать кибериммунный, не требующий антивирус, продукт, и почему IoT-шлюз на базе KasperskyOS эффективно противостоит кибератакам, в отличие от шлюза на Linux.
Ждем всех на CodeFest!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8👍5👎2❤1
Тогда
Вы можете стать Чемпионом по нахождению багов и запросу новой функциональности или Чемпионом по выкладке на GitHub и адаптации существующего проекта на KasperskyOS.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9👎1
- Как вы обеспечиваете безопасную разработку?
- Ну, мы дверь в кабинет программистов на ключ закрываем.🤦♂️
Буквально на днях эксперты "Лаборатории Касперского" вернулись с конференции CodeFest в Новосибирске, где на демо-стенде и дискуссии-"квартирнике" рассказывали о кибериммунном подходе в целом и о нашей операционной системе KasperskyOS.
В общении с коллегами - участниками конференции еще раз убедились, что проблема безопасной разработки существует, и есть запрос на ее решение. Значит, будем развивать эту тему и дальше, повышая зрелость подходов конструктивной безопасности в индустрии.
Всем добра и безопасности
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Александр Винявский. Егор Скворцов. Алексей Цилябин. Как упростить создание безопасных решений
Сайт – https://codefest.ru
👍5🔥5👎3❤1
Мы верим, что в будущем технологии улучшат жизнь всего человечества.
И они уже делают это.
✔️ Наша задача – обеспечить их безопасность, чтобы люди могли доверять инновациям и использовать безграничный потенциал технологического прогресса.
Вот уже 25 лет Kaspersky воплощает в реальность самые смелые идеи своих сотрудников, партнёров и пользователей.
Теперь ты знаешь про нас все.
Самое время узнать про вакансии
➡️ https://kas.pr/u5bk
Присоединяйтесь к созданию безопасного будущего вместе с нами!💚
И они уже делают это.
Вот уже 25 лет Kaspersky воплощает в реальность самые смелые идеи своих сотрудников, партнёров и пользователей.
Теперь ты знаешь про нас все.
Самое время узнать про вакансии
Присоединяйтесь к созданию безопасного будущего вместе с нами!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5👎2
• Добавили Guidelines Support Library (GSL) (2.1.0), json_scheme_validator (2.1.0), Libpcap (1.10.4), Libunwind (1.6.2).
• Обновили libxml2, Mbedtls, OpenSSL, spdlog, sqlite, Zlib, flex, Bison, Eclipse Mosquitto, QEMU.
Заходите на наш сайт, скачивайте новую версию SDK и пробуйте с ней работать.
Будет увлекательно!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥16👍8👎1👏1
А давайте порассуждаем? 🧐
KasperskyOS реализует POSIX примерно на 98%, что позволяет переносить проекты с других платформ. Однако, нужно понимать, что операционная система ориентирована на безопасность.
Вот простой пример кода на языке Си "hello world" из поставки KasperskyOS SDK 1.2, которая вышла на днях:
❓ Как думаете, почему этот пример использует stderr вместо stdout?
Наш ответ ниже:
На нашем официальном форуме можно найти такой ответ:
Это на простом примере доказывает возможность компромисса между функциональностью и безопасностью. Всё, что действительно не нужно, то выносится из ядра в отдельный домен
KasperskyOS реализует POSIX примерно на 98%, что позволяет переносить проекты с других платформ. Однако, нужно понимать, что операционная система ориентирована на безопасность.
Вот простой пример кода на языке Си "hello world" из поставки KasperskyOS SDK 1.2, которая вышла на днях:
#include <stdio.h>
#include <stdlib.h>
int main(void)
{
fprintf(stderr,"Hello world!\n");
return EXIT_SUCCESS;
}
Наш ответ ниже:
Ввод и вывод в файловые дескрипторы для стандартных потоков ввода-вывода (stdin, stdout) преобразуется в обращения к VFS. Если прикладная программа не скомпонована с клиентской библиотекой компонента VFS, то вывод в stdout невозможен. В таком случае возможен только вывод в стандартный поток ошибок (stderr), который в этом случае осуществляется без использования VFS через специальные методы ядра KasperskyOS.
Это на простом примере доказывает возможность компромисса между функциональностью и безопасностью. Всё, что действительно не нужно, то выносится из ядра в отдельный домен
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3