Продолжаем отвечать на технические вопросы нашего прошедшего семинара "KasperskyOS Night Practice: строим программный диод данных на KasperskyOS"
Отвечайте на комментарии. Переспрашивайте, если ответ вам не понятен или вы не согласны с ним. Критикуйте, комментируйте, давайте предложения, задавайте дополнительные вопросы - мы здесь, чтобы отвечать вам!

Дожили! Заработала система поддержки разработчиков на KasperskyOS – кнопка «Связаться с командой» в подвале основной страницы https://os.kaspersky.ru/development/. Пока в почте, а дальше подумаем, какая форма будет более востребована – от форума до Bugzilla. В дополнение проведем в мае пару семинаров с командой техподдержки и разбором интересных вопросов.

В новом релизе 1.0.1 KasperskyOS Community Edition мы обновили пользовательское лицензионное соглашение.

Теперь сняты ограничения на публикацию пользователями отзывов о функциональности и производительности создаваемых на KasperskyOS решений. Мы активно развиваем SDK и приветствуем обмен опытом между разработчиками! Лаборатория Касперского и впредь будет как увеличивать объем кодовой базы KasperskyOS, так и оптимизировать ее для гарантии высокой производительности.

Любая работа с KasperskyOS CE начинается c подготовки рабочего места. Нашим коллегой было подготовлено видео, рассказывающее об этом процессе, источниках необходимых файлов и тонкостях процесса. Рекомендуем к просмотру всем, начинающим работать с KasperskyOS CE!

Это видео также вошло в подготавливаемый сейчас учебный курс, до релиза которого осталось совсем немного времени. Следи за выходом курса на сайте и новостями о нем здесь, и стань одним из первых студентов!

Совсем скоро будет готов релиз #KasperskyOS Community Edition v 1.1.

Его основным нововведением станет переход с 32-битной на 64-битную разрядность, что позволит полномасштабно использовать имеющиеся на плате #Raspberry Pi 4B шины PCI Express и USB 3.0. Долгожданная поддержка портов ввода-вывода SPI и I2C и куча всего интересного! Ближе к релизу расскажем поподробнее.

А пока подписывайтесь на наши каналы в VK и Telegram и следите за анонсами! Лайки и шеры всегда кстати!

Продолжаем серию мастер-классов по KasperskyOS для МАИ – на этот раз рассказали о сборке решений на KasperskyOS.

Последовательно углубляя диалог, мы обсудили процесс сборки запускаемого образа решения и на примерах разобрали структуру простых проектов со всеми исходными файлами. Было интересно вместе разобраться c инициализацией сущностей в Init.yaml, азах IPC транспорта и заглянуть в пакет precompiled_vfs, записать в память файл и даже поговорить о самостоятельной сборке VFS. Сложновато в первый раз, но однако все получилось! Отдельное спасибо @Alex_N_Maximov, @Slava_tel, и другим ребятами за въедливость в материал и интересные вопросы.

А дальше больше – на следующей неделе завершим эту серию мастер-классов элементами высшего пилотажа в области secure by design SW architecture и рекомендациями к разработке решений на KasperskyOS.

Изучай кибериммунность в бесплатном online-курсе по #KasperskyOS!

Мы почти завершили разработку первой версии учебного курса на платформе #Stepik.org. А уже в ближайшее время предоставим доступ к его бета-версии. Сначала будут открыты два блока – архитектурные особенности KasperskyOS и функциональное программирование. В дальнейшем планируем дополнить курс уроками по разработке политик безопасности, программированию системных служб, процедурам кибериммунной разработки.

Если уже есть вопросы или предложения – пиши, а авторам лучших вопросов и идей – бонус от Лаборатории Касперского!

Продолжаем знакомство с нововведениями ожидаемого релиза #KasperskyOS Community Edition v 1.1.

Мы стараемся максимально упростить жизнь разработчику. С одной стороны, разработали CMake-пакет precompiled_vfs, который упростит вам подключение функций работы с диском и сетью. Для изучающих работу с #KasperskyOS мы сделали пример безопасной загрузки "Updater", которая может применяться для новых конфигураций и прошивки. Также, появились компоненты профилирования iperf и динамические анализаторы кода ASAN, TSAN и UBSAN.

Ждем релиз и кодим, а пока лайкаем и репостим!

Завершаем серию мастер-классов по KasperskyOS для МАИ рекомендациями по разработке решений.

В заключительном мастер-классе уже на более глубоком уровне мы вернулись к рассмотрению принципов концепции MILS в KasperskyOS, на основании которых показали, как вы можете провести проектирование решения «обобщенного робота». Для такой работы вам как разработчику крайне желательно знать сервисы KasperskyOS CE SDK и иметь навык написания политик безопасности для них, а мастер-класс будет полезен с точки зрения рекомендаций экспертов и демонстрации практик «secure by design» проектирования на примерах.

Ну что же, нам понадобилось всего лишь три мастер-класса, чтобы показать студентам, что «безопасность — это просто». Освоение новой темы потребует от рябят еще и изучения документации и практической работы с SDK, но опытные преподаватели кафедры 307 МАИ и техническая поддержка Лаборатории Касперского помогут в трудных моментах.
И все получится!

Еще одна хорошая новость - мы завершаем портирование Samba Server на #KasperskyOS.

Все знают, что одним из самых удобных методов обмена файлами являются сетевые диски. Они используют протокол #SMB, но больше известны по названию соответствующего пакета программ – #Samba. Очень скоро пакет Samba Server будет выложен в open source, а вы сможете быть уверены, что делитесь только теми файлами, которые запланировали.

Также мы хотим рассказать вам, что вы можете оставить свои пожелания к портированию других компонентов на портале Productboard. Мы постараемся их учесть при планировании нашей работы - https://bit.ly/3sf2r54

Мы решили обновить визуальный стиль нашего сообщества и хотим, чтобы вы тоже приняли участие в выборе будущего дизайна.
Какой их этих вариантов оформления постов нравится вам больше всего? Голосуем!

#KasperskyOS — это специализированная операционная система, в основе которой — принцип кибериммунитета. На базе этой ОС очень удобно создавать кибериммунные решения — в этом ее ключевое отличие от обычных операционных систем.

Какое место в списке доступных на рынке операционных систем сейчас занимает KasperskyOS? Разбираемся вместе с Максимом Юдиным в этом видео.

Смотрите, читайте документацию, скачивайте KasperskyOS Community Edition и пробуйте силы в разработке собственных решений на базе нашей ОС!

Пока готовится релиз KCE версии 1.1 и летнее солнце греет пиво, поговорим о безопасности. Собрали несколько цифр и фактов о микроядерной архитектуре в целом и #KasperskyOS в частности.

В любом коде есть ошибки, по статистике, не меньше 1 на 2 kSLOC при самом благоприятном сценарии. Это означает, что в монолитном ядре Linux потенциально около 17 000 ошибок, в ядре Windows – 30 000. Больше уязвимостей = больше эксплойтов. Поэтому мы выбрали микроядерную архитектуру и написали проприетарное микроядро, в котором около 100 000 строк.

Монолитная ОС = много привилегированного кода. Чем больше доверенная кодовая база, тем больше шансов на успешную эксплуатацию уязвимостей. При этом, по статистике АСМ (Association for Computing Machinery), в микроядерной архитектуре 96% критических эксплойтов Linux перестанут быть критическими.

По тем же данным, 29% критических уязвимостей Linux вообще с микроядром несовместимы. На примере уязвимости CVE-2015-4001 в USB-драйвере OZWPAN. Драйвер отвечает за взаимодействие с внешним устройством через Wi-Fi. Уязвимость позволяет создать ошибку и внедрить некорректные данные. В Linux драйвер загружается в ядро, то есть эксплуатация бреши провоцирует аварийную остановку ядра. В микроядерной структуре драйвер вынесен на уровень пользователя и не имеет прямого доступа к памяти ядра ОС, то есть возможность эксплуатации исключена полностью.

Можно ли скомпрометировать монитор безопасности и как скоро это обнаружится? Как этому противодействует KasperskyOS? По умолчанию мы считаем, что монитор безопасности — доверенный компонент. Т.е. компонент, которому мы вынуждены доверять. Если он скомпрометирован, то механизм изоляции нарушается, и мы не можем говорить, что система остается безопасной. Поэтому мы применяем максимум средств для того, чтобы доказать, что монитор безопасности является корректным. Первое — код монитора написан на декларативном языке и монитор генерируется, а не пишется руками. Какое-то количество ошибок отпадает из-за этого. Второе — сгенерированный монитор безопасности мы можем хорошо протестировать, особенно учитывая, что в процессе генерации из промежуточного представления можно создавать не только код монитора, но и некоторые модели. Они позволяют генерировать стопроцентное тестовое покрытие там, где это возможно, а там, где это невозможно, проверять некоторые части с помощью model checking. В конечном итоге мы планируем доказать корректность всех применяемых моделей безопасности с использованием методов формальной верификации. Также есть фаззинг. Так что монитор достаточно надежная вещь и будет еще надежнее.

Сегодня пятница, а значит мы снова с вами: встречаем новую серию KasperskyOS.

Цифры квартала вам в ленту. По данным Kaspersky Security Network, во втором квартале 2022 года:
▪️доля эксплойтов для уязвимостей в офисном пакете Microsoft Office составляет 82% от общего количества;
▪️на долю попыток эксплуатации уязвимостей скриптовых движков и браузеров приходится 5%;
▪️эксплойты под Android занимают третье место с 4%;
▪️на эксплойты, затрагивающие Java-приложения, платформу Flash и PDF-документы, пришлось по 3%.

Стандартный подход к ИБ предполагает «гонку вооружений»: поиск и закрытие уязвимостей в приложениях (желательно до того, как их успели поэксплуатировать злоумышленники, что на практике не всегда получается – пятилетней давности история Wannacry тому пример).

С кибериммунитетом и #KasperskyOS мы предложили новую парадигму – разработку систем, которые сохранят работоспособность даже в случае успешной эксплуатации уязвимости в том или ином недоверенном приложении, компоненте, драйвере и пр. Один из краеугольных камней парадигмы – принцип изоляции доменов, вдохновленный архитектурной концепцией MILS.

KasperskyOS предоставляет контейнеризированную среду исполнения (sandbox) для приложений в системе. Каждое из них не может выбраться за рамки изолированной среды, в которой его запустили, и использует только те системные сервисы, которые были разрешены конфигурацией системы и иногда пользователем.

Итого: в традиционных ОС компрометация одного приложения может привести к компрометации системы в целом. Преимущество KasperskyOS в том, что компрометация одного приложения не повлияет на безопасность «соседних» приложений и всей системы.

Подробнее об устройстве безопасности в KasperskyOS: https://os.kaspersky.ru/technologies/

Продолжаем серию кибериммунных историй и возвращаемся к вопросам безопасности операционных систем.

В 2022 году в ОС Microsoft Windows 10 выявили 358 уязвимостей, включая 97 уязвимостей выполнения произвольного кода. Небольшой обзор свежих CVE, найденных во втором квартале:

CVE-2022-26809 с помощью специально сконструированного RPC-запроса дает злоумышленнику возможность удаленно исполнить произвольный код в системе.
Две RCE-уязвимости: CVE-2022-24491 и CVE-2022-24497 — в драйвере Network File System (NFS) позволяют добиться удаленного исполнения произвольного кода в системе путем отправки специальным образом сконструированного сетевого сообщения через протокол NFS
CVE-2022-24521, найденная in-the-wild, нацелена на драйвер Common Log File System (CLFS) и позволяет локально повысить привилегии пользователя (хотя для этого атакующему придется предварительно закрепиться в системе)
CVE-2022-26925, также известная как LSA Spoofing, найденная в процессе реальной эксплуатации серверных систем, позволяет злоумышленнику, не прошедшему ранее аутентификацию, вызвать метод LSARPC интерфейса, который позволит контроллеру домена Windows аутентифицировать его, используя NTLM-протокол.

В краткосрочной перспективе: своевременно обновлять операционную систему и установленное на ней ПО – жизненная необходимость.

На ближайшее светлое будущее: в KasperskyOS и кибериммунных продуктах на ее базе реализован сценарий Default Deny, налагающий запрет на любое взаимодействие компонентов, не разрешенных явно политикой безопасности. Это позволяет значительно сократить площадь потенциальной атаки (все, что не находится в списке разрешенных, запущено не будет).

Данный сценарий – оптимальный выбор для любой IT-системы с повышенными требованиями к безопасности.
Подробнее об устройстве безопасности в KasperskyOS: https://os.kaspersky.ru/technologies/