Совсем скоро будет готов релиз #KasperskyOS Community Edition v 1.1.
Его основным нововведением станет переход с 32-битной на 64-битную разрядность, что позволит полномасштабно использовать имеющиеся на плате #Raspberry Pi 4B шины PCI Express и USB 3.0. Долгожданная поддержка портов ввода-вывода SPI и I2C и куча всего интересного! Ближе к релизу расскажем поподробнее.
А пока подписывайтесь на наши каналы в VK и Telegram и следите за анонсами! Лайки и шеры всегда кстати!
Его основным нововведением станет переход с 32-битной на 64-битную разрядность, что позволит полномасштабно использовать имеющиеся на плате #Raspberry Pi 4B шины PCI Express и USB 3.0. Долгожданная поддержка портов ввода-вывода SPI и I2C и куча всего интересного! Ближе к релизу расскажем поподробнее.
А пока подписывайтесь на наши каналы в VK и Telegram и следите за анонсами! Лайки и шеры всегда кстати!
ВКонтакте
KasperskyOS. Разработка
KasperskyOS. Разработка | VK
👍8
Продолжаем серию мастер-классов по KasperskyOS для МАИ – на этот раз рассказали о сборке решений на KasperskyOS.
Последовательно углубляя диалог, мы обсудили процесс сборки запускаемого образа решения и на примерах разобрали структуру простых проектов со всеми исходными файлами. Было интересно вместе разобраться c инициализацией сущностей в Init.yaml, азах IPC транспорта и заглянуть в пакет precompiled_vfs, записать в память файл и даже поговорить о самостоятельной сборке VFS. Сложновато в первый раз, но однако все получилось! Отдельное спасибо @Alex_N_Maximov, @Slava_tel, и другим ребятами за въедливость в материал и интересные вопросы.
А дальше больше – на следующей неделе завершим эту серию мастер-классов элементами высшего пилотажа в области secure by design SW architecture и рекомендациями к разработке решений на KasperskyOS.
Последовательно углубляя диалог, мы обсудили процесс сборки запускаемого образа решения и на примерах разобрали структуру простых проектов со всеми исходными файлами. Было интересно вместе разобраться c инициализацией сущностей в Init.yaml, азах IPC транспорта и заглянуть в пакет precompiled_vfs, записать в память файл и даже поговорить о самостоятельной сборке VFS. Сложновато в первый раз, но однако все получилось! Отдельное спасибо @Alex_N_Maximov, @Slava_tel, и другим ребятами за въедливость в материал и интересные вопросы.
А дальше больше – на следующей неделе завершим эту серию мастер-классов элементами высшего пилотажа в области secure by design SW architecture и рекомендациями к разработке решений на KasperskyOS.
👍4
Изучай кибериммунность в бесплатном online-курсе по #KasperskyOS!
Мы почти завершили разработку первой версии учебного курса на платформе #Stepik.org. А уже в ближайшее время предоставим доступ к его бета-версии. Сначала будут открыты два блока – архитектурные особенности KasperskyOS и функциональное программирование. В дальнейшем планируем дополнить курс уроками по разработке политик безопасности, программированию системных служб, процедурам кибериммунной разработки.
Если уже есть вопросы или предложения – пиши, а авторам лучших вопросов и идей – бонус от Лаборатории Касперского!
Мы почти завершили разработку первой версии учебного курса на платформе #Stepik.org. А уже в ближайшее время предоставим доступ к его бета-версии. Сначала будут открыты два блока – архитектурные особенности KasperskyOS и функциональное программирование. В дальнейшем планируем дополнить курс уроками по разработке политик безопасности, программированию системных служб, процедурам кибериммунной разработки.
Если уже есть вопросы или предложения – пиши, а авторам лучших вопросов и идей – бонус от Лаборатории Касперского!
👍6
Продолжаем знакомство с нововведениями ожидаемого релиза #KasperskyOS Community Edition v 1.1.
Мы стараемся максимально упростить жизнь разработчику. С одной стороны, разработали CMake-пакет precompiled_vfs, который упростит вам подключение функций работы с диском и сетью. Для изучающих работу с #KasperskyOS мы сделали пример безопасной загрузки "Updater", которая может применяться для новых конфигураций и прошивки. Также, появились компоненты профилирования iperf и динамические анализаторы кода ASAN, TSAN и UBSAN.
Ждем релиз и кодим, а пока лайкаем и репостим!
Мы стараемся максимально упростить жизнь разработчику. С одной стороны, разработали CMake-пакет precompiled_vfs, который упростит вам подключение функций работы с диском и сетью. Для изучающих работу с #KasperskyOS мы сделали пример безопасной загрузки "Updater", которая может применяться для новых конфигураций и прошивки. Также, появились компоненты профилирования iperf и динамические анализаторы кода ASAN, TSAN и UBSAN.
Ждем релиз и кодим, а пока лайкаем и репостим!
👍7
Завершаем серию мастер-классов по KasperskyOS для МАИ рекомендациями по разработке решений.
В заключительном мастер-классе уже на более глубоком уровне мы вернулись к рассмотрению принципов концепции MILS в KasperskyOS, на основании которых показали, как вы можете провести проектирование решения «обобщенного робота». Для такой работы вам как разработчику крайне желательно знать сервисы KasperskyOS CE SDK и иметь навык написания политик безопасности для них, а мастер-класс будет полезен с точки зрения рекомендаций экспертов и демонстрации практик «secure by design» проектирования на примерах.
Ну что же, нам понадобилось всего лишь три мастер-класса, чтобы показать студентам, что «безопасность — это просто». Освоение новой темы потребует от рябят еще и изучения документации и практической работы с SDK, но опытные преподаватели кафедры 307 МАИ и техническая поддержка Лаборатории Касперского помогут в трудных моментах.
И все получится!
В заключительном мастер-классе уже на более глубоком уровне мы вернулись к рассмотрению принципов концепции MILS в KasperskyOS, на основании которых показали, как вы можете провести проектирование решения «обобщенного робота». Для такой работы вам как разработчику крайне желательно знать сервисы KasperskyOS CE SDK и иметь навык написания политик безопасности для них, а мастер-класс будет полезен с точки зрения рекомендаций экспертов и демонстрации практик «secure by design» проектирования на примерах.
Ну что же, нам понадобилось всего лишь три мастер-класса, чтобы показать студентам, что «безопасность — это просто». Освоение новой темы потребует от рябят еще и изучения документации и практической работы с SDK, но опытные преподаватели кафедры 307 МАИ и техническая поддержка Лаборатории Касперского помогут в трудных моментах.
И все получится!
Еще одна хорошая новость - мы завершаем портирование Samba Server на #KasperskyOS.
Все знают, что одним из самых удобных методов обмена файлами являются сетевые диски. Они используют протокол #SMB, но больше известны по названию соответствующего пакета программ – #Samba. Очень скоро пакет Samba Server будет выложен в open source, а вы сможете быть уверены, что делитесь только теми файлами, которые запланировали.
Также мы хотим рассказать вам, что вы можете оставить свои пожелания к портированию других компонентов на портале Productboard. Мы постараемся их учесть при планировании нашей работы - https://bit.ly/3sf2r54
Все знают, что одним из самых удобных методов обмена файлами являются сетевые диски. Они используют протокол #SMB, но больше известны по названию соответствующего пакета программ – #Samba. Очень скоро пакет Samba Server будет выложен в open source, а вы сможете быть уверены, что делитесь только теми файлами, которые запланировали.
Также мы хотим рассказать вам, что вы можете оставить свои пожелания к портированию других компонентов на портале Productboard. Мы постараемся их учесть при планировании нашей работы - https://bit.ly/3sf2r54
👍3
👍4
#KasperskyOS — это специализированная операционная система, в основе которой — принцип кибериммунитета. На базе этой ОС очень удобно создавать кибериммунные решения — в этом ее ключевое отличие от обычных операционных систем.
Какое место в списке доступных на рынке операционных систем сейчас занимает KasperskyOS? Разбираемся вместе с Максимом Юдиным в этом видео.
Смотрите, читайте документацию, скачивайте KasperskyOS Community Edition и пробуйте силы в разработке собственных решений на базе нашей ОС!
Какое место в списке доступных на рынке операционных систем сейчас занимает KasperskyOS? Разбираемся вместе с Максимом Юдиным в этом видео.
Смотрите, читайте документацию, скачивайте KasperskyOS Community Edition и пробуйте силы в разработке собственных решений на базе нашей ОС!
👍10👏2
Пока готовится релиз KCE версии 1.1 и летнее солнце греет пиво, поговорим о безопасности. Собрали несколько цифр и фактов о микроядерной архитектуре в целом и #KasperskyOS в частности.
В любом коде есть ошибки, по статистике, не меньше 1 на 2 kSLOC при самом благоприятном сценарии. Это означает, что в монолитном ядре Linux потенциально около 17 000 ошибок, в ядре Windows – 30 000. Больше уязвимостей = больше эксплойтов. Поэтому мы выбрали микроядерную архитектуру и написали проприетарное микроядро, в котором около 100 000 строк.
Монолитная ОС = много привилегированного кода. Чем больше доверенная кодовая база, тем больше шансов на успешную эксплуатацию уязвимостей. При этом, по статистике АСМ (Association for Computing Machinery), в микроядерной архитектуре 96% критических эксплойтов Linux перестанут быть критическими.
По тем же данным, 29% критических уязвимостей Linux вообще с микроядром несовместимы. На примере уязвимости CVE-2015-4001 в USB-драйвере OZWPAN. Драйвер отвечает за взаимодействие с внешним устройством через Wi-Fi. Уязвимость позволяет создать ошибку и внедрить некорректные данные. В Linux драйвер загружается в ядро, то есть эксплуатация бреши провоцирует аварийную остановку ядра. В микроядерной структуре драйвер вынесен на уровень пользователя и не имеет прямого доступа к памяти ядра ОС, то есть возможность эксплуатации исключена полностью.
В любом коде есть ошибки, по статистике, не меньше 1 на 2 kSLOC при самом благоприятном сценарии. Это означает, что в монолитном ядре Linux потенциально около 17 000 ошибок, в ядре Windows – 30 000. Больше уязвимостей = больше эксплойтов. Поэтому мы выбрали микроядерную архитектуру и написали проприетарное микроядро, в котором около 100 000 строк.
Монолитная ОС = много привилегированного кода. Чем больше доверенная кодовая база, тем больше шансов на успешную эксплуатацию уязвимостей. При этом, по статистике АСМ (Association for Computing Machinery), в микроядерной архитектуре 96% критических эксплойтов Linux перестанут быть критическими.
По тем же данным, 29% критических уязвимостей Linux вообще с микроядром несовместимы. На примере уязвимости CVE-2015-4001 в USB-драйвере OZWPAN. Драйвер отвечает за взаимодействие с внешним устройством через Wi-Fi. Уязвимость позволяет создать ошибку и внедрить некорректные данные. В Linux драйвер загружается в ядро, то есть эксплуатация бреши провоцирует аварийную остановку ядра. В микроядерной структуре драйвер вынесен на уровень пользователя и не имеет прямого доступа к памяти ядра ОС, то есть возможность эксплуатации исключена полностью.
👍14
Можно ли скомпрометировать монитор безопасности и как скоро это обнаружится? Как этому противодействует KasperskyOS? По умолчанию мы считаем, что монитор безопасности — доверенный компонент. Т.е. компонент, которому мы вынуждены доверять. Если он скомпрометирован, то механизм изоляции нарушается, и мы не можем говорить, что система остается безопасной. Поэтому мы применяем максимум средств для того, чтобы доказать, что монитор безопасности является корректным. Первое — код монитора написан на декларативном языке и монитор генерируется, а не пишется руками. Какое-то количество ошибок отпадает из-за этого. Второе — сгенерированный монитор безопасности мы можем хорошо протестировать, особенно учитывая, что в процессе генерации из промежуточного представления можно создавать не только код монитора, но и некоторые модели. Они позволяют генерировать стопроцентное тестовое покрытие там, где это возможно, а там, где это невозможно, проверять некоторые части с помощью model checking. В конечном итоге мы планируем доказать корректность всех применяемых моделей безопасности с использованием методов формальной верификации. Также есть фаззинг. Так что монитор достаточно надежная вещь и будет еще надежнее.
👍13👎2
Сегодня пятница, а значит мы снова с вами: встречаем новую серию KasperskyOS.
Цифры квартала вам в ленту. По данным Kaspersky Security Network, во втором квартале 2022 года:
▪️доля эксплойтов для уязвимостей в офисном пакете Microsoft Office составляет 82% от общего количества;
▪️на долю попыток эксплуатации уязвимостей скриптовых движков и браузеров приходится 5%;
▪️эксплойты под Android занимают третье место с 4%;
▪️на эксплойты, затрагивающие Java-приложения, платформу Flash и PDF-документы, пришлось по 3%.
Стандартный подход к ИБ предполагает «гонку вооружений»: поиск и закрытие уязвимостей в приложениях (желательно до того, как их успели поэксплуатировать злоумышленники, что на практике не всегда получается – пятилетней давности история Wannacry тому пример).
С кибериммунитетом и #KasperskyOS мы предложили новую парадигму – разработку систем, которые сохранят работоспособность даже в случае успешной эксплуатации уязвимости в том или ином недоверенном приложении, компоненте, драйвере и пр. Один из краеугольных камней парадигмы – принцип изоляции доменов, вдохновленный архитектурной концепцией MILS.
KasperskyOS предоставляет контейнеризированную среду исполнения (sandbox) для приложений в системе. Каждое из них не может выбраться за рамки изолированной среды, в которой его запустили, и использует только те системные сервисы, которые были разрешены конфигурацией системы и иногда пользователем.
Итого: в традиционных ОС компрометация одного приложения может привести к компрометации системы в целом. Преимущество KasperskyOS в том, что компрометация одного приложения не повлияет на безопасность «соседних» приложений и всей системы.
Подробнее об устройстве безопасности в KasperskyOS: https://os.kaspersky.ru/technologies/
Цифры квартала вам в ленту. По данным Kaspersky Security Network, во втором квартале 2022 года:
▪️доля эксплойтов для уязвимостей в офисном пакете Microsoft Office составляет 82% от общего количества;
▪️на долю попыток эксплуатации уязвимостей скриптовых движков и браузеров приходится 5%;
▪️эксплойты под Android занимают третье место с 4%;
▪️на эксплойты, затрагивающие Java-приложения, платформу Flash и PDF-документы, пришлось по 3%.
Стандартный подход к ИБ предполагает «гонку вооружений»: поиск и закрытие уязвимостей в приложениях (желательно до того, как их успели поэксплуатировать злоумышленники, что на практике не всегда получается – пятилетней давности история Wannacry тому пример).
С кибериммунитетом и #KasperskyOS мы предложили новую парадигму – разработку систем, которые сохранят работоспособность даже в случае успешной эксплуатации уязвимости в том или ином недоверенном приложении, компоненте, драйвере и пр. Один из краеугольных камней парадигмы – принцип изоляции доменов, вдохновленный архитектурной концепцией MILS.
KasperskyOS предоставляет контейнеризированную среду исполнения (sandbox) для приложений в системе. Каждое из них не может выбраться за рамки изолированной среды, в которой его запустили, и использует только те системные сервисы, которые были разрешены конфигурацией системы и иногда пользователем.
Итого: в традиционных ОС компрометация одного приложения может привести к компрометации системы в целом. Преимущество KasperskyOS в том, что компрометация одного приложения не повлияет на безопасность «соседних» приложений и всей системы.
Подробнее об устройстве безопасности в KasperskyOS: https://os.kaspersky.ru/technologies/
👍14
Продолжаем серию кибериммунных историй и возвращаемся к вопросам безопасности операционных систем.
В 2022 году в ОС Microsoft Windows 10 выявили 358 уязвимостей, включая 97 уязвимостей выполнения произвольного кода. Небольшой обзор свежих CVE, найденных во втором квартале:
CVE-2022-26809 с помощью специально сконструированного RPC-запроса дает злоумышленнику возможность удаленно исполнить произвольный код в системе.
Две RCE-уязвимости: CVE-2022-24491 и CVE-2022-24497 — в драйвере Network File System (NFS) позволяют добиться удаленного исполнения произвольного кода в системе путем отправки специальным образом сконструированного сетевого сообщения через протокол NFS
CVE-2022-24521, найденная in-the-wild, нацелена на драйвер Common Log File System (CLFS) и позволяет локально повысить привилегии пользователя (хотя для этого атакующему придется предварительно закрепиться в системе)
CVE-2022-26925, также известная как LSA Spoofing, найденная в процессе реальной эксплуатации серверных систем, позволяет злоумышленнику, не прошедшему ранее аутентификацию, вызвать метод LSARPC интерфейса, который позволит контроллеру домена Windows аутентифицировать его, используя NTLM-протокол.
В краткосрочной перспективе: своевременно обновлять операционную систему и установленное на ней ПО – жизненная необходимость.
На ближайшее светлое будущее: в KasperskyOS и кибериммунных продуктах на ее базе реализован сценарий Default Deny, налагающий запрет на любое взаимодействие компонентов, не разрешенных явно политикой безопасности. Это позволяет значительно сократить площадь потенциальной атаки (все, что не находится в списке разрешенных, запущено не будет).
Данный сценарий – оптимальный выбор для любой IT-системы с повышенными требованиями к безопасности.
Подробнее об устройстве безопасности в KasperskyOS: https://os.kaspersky.ru/technologies/
В 2022 году в ОС Microsoft Windows 10 выявили 358 уязвимостей, включая 97 уязвимостей выполнения произвольного кода. Небольшой обзор свежих CVE, найденных во втором квартале:
CVE-2022-26809 с помощью специально сконструированного RPC-запроса дает злоумышленнику возможность удаленно исполнить произвольный код в системе.
Две RCE-уязвимости: CVE-2022-24491 и CVE-2022-24497 — в драйвере Network File System (NFS) позволяют добиться удаленного исполнения произвольного кода в системе путем отправки специальным образом сконструированного сетевого сообщения через протокол NFS
CVE-2022-24521, найденная in-the-wild, нацелена на драйвер Common Log File System (CLFS) и позволяет локально повысить привилегии пользователя (хотя для этого атакующему придется предварительно закрепиться в системе)
CVE-2022-26925, также известная как LSA Spoofing, найденная в процессе реальной эксплуатации серверных систем, позволяет злоумышленнику, не прошедшему ранее аутентификацию, вызвать метод LSARPC интерфейса, который позволит контроллеру домена Windows аутентифицировать его, используя NTLM-протокол.
В краткосрочной перспективе: своевременно обновлять операционную систему и установленное на ней ПО – жизненная необходимость.
На ближайшее светлое будущее: в KasperskyOS и кибериммунных продуктах на ее базе реализован сценарий Default Deny, налагающий запрет на любое взаимодействие компонентов, не разрешенных явно политикой безопасности. Это позволяет значительно сократить площадь потенциальной атаки (все, что не находится в списке разрешенных, запущено не будет).
Данный сценарий – оптимальный выбор для любой IT-системы с повышенными требованиями к безопасности.
Подробнее об устройстве безопасности в KasperskyOS: https://os.kaspersky.ru/technologies/
👍10
Хорошей пятницы, возвращаемся с новой серией про KasperskyOS. Сегодня поговорим о поддержке POSIX (Portable Operating System Interface).
Набор стандартов POSIX появился в виде проекта Ричарда Мэттью Столлмана, основателя движения свободного ПО. По сути, это платформонезависимый системный интерфейс для компьютерного окружения, тесно связанный с Unix-системами (например, Linux поддерживает большинство системных вызовов, относящихся к стандарту POSIX). Название произносится как «позикс», дабы подчеркнуть позитивный вклад в развитие технологий.
Зачем он нужен? POSIX обеспечивает совместимость операционных систем и переносимость прикладных программ на уровне исходного кода. Позитивно? Пока да.
Но есть одно «но». Помимо очевидных достоинств, присущих открытому стандарту, POSIX обладает некоторыми недостатками с точки зрения безопасности.
Напомним основные принципы безопасности в KasperskyOS:
▪️Изоляция компонентов
▪️Контроль потоков данных
▪️Разделение на доверенные и недоверенные компоненты
▪️Наименьшие привилегии
Сочетается ли POSIX с этими принципами? Не очень. Вот пара проблем:
1️⃣ В POSIX можно обмениваться данными через разделяемую память (минус изоляция и контроль).
2️⃣ Дочерний процесс может наследовать привилегии родительского (что ставит под удар принцип наименьших привилегий)
Итого: POSIX не полностью совместим с нашими принципами. Если мы хотим поддержать его полностью, создавать приложения с использованием сторонних opensource проектов будет проблематично.
Что делать? Мы выбрали безопасность.
Часть интерфейсов, декларируемых в POSIX, не поддерживается в KasperskyOS. Хорошая новость: это не сильно усложнило миграцию сторонних приложений в нашу ОС. Ряд библиотек для KasperskyOS, обеспечивающих частичную совместимость с POSIX, упрощает создание и портирование приложений.
Подробнее об устройстве безопасности в KasperskyOS: https://os.kaspersky.ru/technologies/
Набор стандартов POSIX появился в виде проекта Ричарда Мэттью Столлмана, основателя движения свободного ПО. По сути, это платформонезависимый системный интерфейс для компьютерного окружения, тесно связанный с Unix-системами (например, Linux поддерживает большинство системных вызовов, относящихся к стандарту POSIX). Название произносится как «позикс», дабы подчеркнуть позитивный вклад в развитие технологий.
Зачем он нужен? POSIX обеспечивает совместимость операционных систем и переносимость прикладных программ на уровне исходного кода. Позитивно? Пока да.
Но есть одно «но». Помимо очевидных достоинств, присущих открытому стандарту, POSIX обладает некоторыми недостатками с точки зрения безопасности.
Напомним основные принципы безопасности в KasperskyOS:
▪️Изоляция компонентов
▪️Контроль потоков данных
▪️Разделение на доверенные и недоверенные компоненты
▪️Наименьшие привилегии
Сочетается ли POSIX с этими принципами? Не очень. Вот пара проблем:
1️⃣ В POSIX можно обмениваться данными через разделяемую память (минус изоляция и контроль).
2️⃣ Дочерний процесс может наследовать привилегии родительского (что ставит под удар принцип наименьших привилегий)
Итого: POSIX не полностью совместим с нашими принципами. Если мы хотим поддержать его полностью, создавать приложения с использованием сторонних opensource проектов будет проблематично.
Что делать? Мы выбрали безопасность.
Часть интерфейсов, декларируемых в POSIX, не поддерживается в KasperskyOS. Хорошая новость: это не сильно усложнило миграцию сторонних приложений в нашу ОС. Ряд библиотек для KasperskyOS, обеспечивающих частичную совместимость с POSIX, упрощает создание и портирование приложений.
Подробнее об устройстве безопасности в KasperskyOS: https://os.kaspersky.ru/technologies/
👍18
Продолжаем рассказывать про кибериммунитет и не только.
Использование уязвимостей нулевого дня в кибератаках остается best practice кибергруппировок. По данным команды Google Project Zero, 2021 год побил рекорды по числу 0-day, которые эксплуатировали в реальных атаках: 58 эксплойтов против 25, используемых в предыдущем «рекордном» 2015 году.
Например, в 2021 году зафиксирована серия атак нулевого дня на Google Chrome, ставших причиной ряда обновлений Chrome. Уязвимость возникла из-за ошибки в JavaScript-движке V8, используемом в веб-браузере.
Проблема в том, что наличие уже выпущенного обновления безопасности от производителя ПО не всегда помогает. Классический пример – взлом одного из крупнейших в США бюро кредитных историй, Equifax, затронувший 145,5 млн человек, персональные данные которых попали в руки злоумышленников. Атакующие использовали уязвимость в фрейморке Apache Struts 2, которая была закрыта Oracle (разработчиком Apache Struts) за два месяца до начала утечки. Увы, патчи были установлены вовремя не везде.
Разрабатывая кибериммунный подход к разработке IT-систем, мы принимали во внимание эти аспекты: проблема атак нулевого дня + потребность компаний в защите по умолчанию, без необходимости закрывать уязвимости нулевого дня в режиме цейтнота и паники.
Что из этого получилось и из чего складывается встроенная защищенность продуктов на базе KasperskyOS: https://os.kaspersky.ru/technologies/
Использование уязвимостей нулевого дня в кибератаках остается best practice кибергруппировок. По данным команды Google Project Zero, 2021 год побил рекорды по числу 0-day, которые эксплуатировали в реальных атаках: 58 эксплойтов против 25, используемых в предыдущем «рекордном» 2015 году.
Например, в 2021 году зафиксирована серия атак нулевого дня на Google Chrome, ставших причиной ряда обновлений Chrome. Уязвимость возникла из-за ошибки в JavaScript-движке V8, используемом в веб-браузере.
Проблема в том, что наличие уже выпущенного обновления безопасности от производителя ПО не всегда помогает. Классический пример – взлом одного из крупнейших в США бюро кредитных историй, Equifax, затронувший 145,5 млн человек, персональные данные которых попали в руки злоумышленников. Атакующие использовали уязвимость в фрейморке Apache Struts 2, которая была закрыта Oracle (разработчиком Apache Struts) за два месяца до начала утечки. Увы, патчи были установлены вовремя не везде.
Разрабатывая кибериммунный подход к разработке IT-систем, мы принимали во внимание эти аспекты: проблема атак нулевого дня + потребность компаний в защите по умолчанию, без необходимости закрывать уязвимости нулевого дня в режиме цейтнота и паники.
Что из этого получилось и из чего складывается встроенная защищенность продуктов на базе KasperskyOS: https://os.kaspersky.ru/technologies/
👍7👎2
Как устроена безопасность в KasperskyOS? Сергей Яковлев из группы разработки решений для защиты рабочих станций рассказал об этом на ежегодной конференции OS DAY. После выступления слушатели задали Сергею несколько любопытных вопросов о кибериммунитете — если вы интересуетесь этой темой, советуем понаблюдать за получившейся дискуссией
👍10
Долгожданный момент наступил! Мы завершили внутренние юридические процедуры и вместе с партнерами открываем доступ к исходному коду модулей и библиотек для #KasperskyOS Community Edition. Первой ласточкой стал популярный веб-сервер #NGINX, который мы вам давно обещали.
Проект уже доступен на #Github и полностью совместим с KasperskyOS Community Edition. В этом форке мы использовали бинарный формат упаковки (по принципу precompiled_vfs), чтобы код не приходилось перекомпилировать вместе со всем пакетом. Так разработка пойдет быстрее.
Скоро мы проведем первые публичные тренинги по работе с этим пакетом, а еще расширим набор примеров к нему. Ну что, код мы уже открыли – теперь можно открывать шампанское!
Хотим отдельно поблагодарить за участие в проекте наших партнеров из #TSDC – они проявили себя отличными разработчиками и настоящими бойцами. Мы и дальше планируем вместе портировать компоненты. Пишите, что бы вы хотели увидеть в первую очередь!
Проект уже доступен на #Github и полностью совместим с KasperskyOS Community Edition. В этом форке мы использовали бинарный формат упаковки (по принципу precompiled_vfs), чтобы код не приходилось перекомпилировать вместе со всем пакетом. Так разработка пойдет быстрее.
Скоро мы проведем первые публичные тренинги по работе с этим пакетом, а еще расширим набор примеров к нему. Ну что, код мы уже открыли – теперь можно открывать шампанское!
Хотим отдельно поблагодарить за участие в проекте наших партнеров из #TSDC – они проявили себя отличными разработчиками и настоящими бойцами. Мы и дальше планируем вместе портировать компоненты. Пишите, что бы вы хотели увидеть в первую очередь!
👏19👍5❤2
В рамках серии постов про кибериммунитет делимся свежей статистикой.
По данным опроса «белых» хакеров, который провели SANS Institute и Bishop Fox, проникновение в потенциально уязвимую сеть компании – дело сравнительно небольшого временного отрезка:
▪️ менее 10 часов требуется для поиска уязвимости
▪️36% пентестеров утверждают, что горизонтальное перемещение в сети займет от 3 до 5 часов
▪️ 57% обещают провести и завершить взлом за сутки
▪️ 64% могут собрать и эксфильтровать данные за 5 часов или меньше после получения доступа к среде, при этом 41% понадобится не больше 2 часов
Часть угроз безопасности можно нейтрализовать с помощью защитного ПО, в то время как защиты от других угроз можно добиться только с помощью доверенных программно-аппаратных комплексов, обеспечивающих защиту от выполнения несанкционированных действий.
В KasperskyOS предусмотрено отделение функций безопасности от бизнес-логики приложений, что упрощает настройку политик безопасности:
▪️ Разработчик решения на базе KasperskyOS может комбинировать множество разных моделей, чтобы построить политику, которая наиболее точно соответствует поставленным целям безопасности.
▪️ Чтобы упростить конструирование политик, мы разработали специальный язык описания политик — Policy Specification Language (PSL). Синтаксис PSL позволяет комбинировать в одной политике разнообразные модели безопасности, включая конечные и временные автоматы, TE (Type Enforcement), модели ролевого доступа (RBAC) и др.
▪️ Не нужно писать код, реализующий политику безопасности, — он генерируется специальным компилятором на основе PSL-описания. Коду, сгенерированному на основе хорошо изученных моделей, можно доверять.
▪️ Реализация политик безопасности отделена от кода приложений. Благодаря этому их можно менять независимо друг от друга, что облегчает труд разработчиков приложений и архитекторов решений.
Подробнее об устройстве безопасности в KasperskyOS: https://os.kaspersky.ru/technologies/
По данным опроса «белых» хакеров, который провели SANS Institute и Bishop Fox, проникновение в потенциально уязвимую сеть компании – дело сравнительно небольшого временного отрезка:
▪️ менее 10 часов требуется для поиска уязвимости
▪️36% пентестеров утверждают, что горизонтальное перемещение в сети займет от 3 до 5 часов
▪️ 57% обещают провести и завершить взлом за сутки
▪️ 64% могут собрать и эксфильтровать данные за 5 часов или меньше после получения доступа к среде, при этом 41% понадобится не больше 2 часов
Часть угроз безопасности можно нейтрализовать с помощью защитного ПО, в то время как защиты от других угроз можно добиться только с помощью доверенных программно-аппаратных комплексов, обеспечивающих защиту от выполнения несанкционированных действий.
В KasperskyOS предусмотрено отделение функций безопасности от бизнес-логики приложений, что упрощает настройку политик безопасности:
▪️ Разработчик решения на базе KasperskyOS может комбинировать множество разных моделей, чтобы построить политику, которая наиболее точно соответствует поставленным целям безопасности.
▪️ Чтобы упростить конструирование политик, мы разработали специальный язык описания политик — Policy Specification Language (PSL). Синтаксис PSL позволяет комбинировать в одной политике разнообразные модели безопасности, включая конечные и временные автоматы, TE (Type Enforcement), модели ролевого доступа (RBAC) и др.
▪️ Не нужно писать код, реализующий политику безопасности, — он генерируется специальным компилятором на основе PSL-описания. Коду, сгенерированному на основе хорошо изученных моделей, можно доверять.
▪️ Реализация политик безопасности отделена от кода приложений. Благодаря этому их можно менять независимо друг от друга, что облегчает труд разработчиков приложений и архитекторов решений.
Подробнее об устройстве безопасности в KasperskyOS: https://os.kaspersky.ru/technologies/
👍11
Собственная микроядерная операционная система KasperskyOS — есть ☑️
Курсы по разработке на основе KasperskyOS — теперь тоже есть ☑️
Мы запустили свой онлайн-курс по разработке для KasperskyOS!
Он поможет программистам, владеющим С или С++, научиться разрабатывать кибериммунные решения.
Что дает курс?
1️⃣ Знание принципов построения кибербезопасных систем;
2️⃣ Практический подход к реализации этих принципов в KasperskyOS;
3️⃣ Навыки разработки программ с использованием KasperskyOS Community Edition и их запуск на RPi4 и QEMU.
По итогам прохождения курса вы получите электронный сертификат, который можно скачать или выложить ссылку в соцсетях. Построим кибериммунное будущее вместе — приходите к нам на обучение!
Курсы по разработке на основе KasperskyOS — теперь тоже есть ☑️
Мы запустили свой онлайн-курс по разработке для KasperskyOS!
Он поможет программистам, владеющим С или С++, научиться разрабатывать кибериммунные решения.
Что дает курс?
1️⃣ Знание принципов построения кибербезопасных систем;
2️⃣ Практический подход к реализации этих принципов в KasperskyOS;
3️⃣ Навыки разработки программ с использованием KasperskyOS Community Edition и их запуск на RPi4 и QEMU.
По итогам прохождения курса вы получите электронный сертификат, который можно скачать или выложить ссылку в соцсетях. Построим кибериммунное будущее вместе — приходите к нам на обучение!
👍21👏1
Продолжаем пятничную серию про кибериммунитет (а также про то, почему мы рекомендуем наш новый учебный курс по разработке на KasperskyOS 😊).
Наш «любимый» вопрос про KasperskyOS звучит так: «Это же Linux?». Нет, это категорически не Linux. От него там нет ни строчки кода – наша ОС разработана с нуля и для решения абсолютно других задач.
Вообще, если вы решили написать безопасную ОС, у вас есть два варианта:
▪️ Взять существующую ОС иобработать напильником улучшить характеристики, которые являются причиной небезопасного поведения (например, добавить механизмы контроля доступа и/или средства, затрудняющие эксплуатацию уязвимостей). Подход предполагает меньше вложений в разработку и больше совместимого ПО. С другой стороны, гарантировать безопасность с высокой степенью уверенности в этом случае невозможно.
▪️ Пойти более долгим и трудоемким путем и разработать с нуля ОС с высоким уровнем гарантий безопасности.
Для традиционных ОС общего назначения самое важное – совместимость и универсальность. Для популяризации своих систем разработчики предельно упрощают процесс создания новых приложений и инструментов под них. Да, в такую систему вполне можно встроить защитные механизмы, и этого достаточно для решения некоторых задач. Но есть сферы, где недопустим даже потенциальный шанс успешной атаки. На такие индустрии ориентирована KasperskyOS.
Мы отказались от заимствованного кода в пользу гарантий безопасности. Микроядро KasperskyOS, а также базовая библиотека libkos, драйверный фреймворк, input-фреймворк и большинство драйверов являются собственной разработкой «Лаборатории Касперского» и не основываются на каком-либо существующем проекте (Linux или каком-то еще).
Помимо этого, мы используем архитектурные принципы, обеспечивающие безопасное поведение ОС в каждом конкретном применении. На выходе система может выполнять только то, что нужно, и физически не способна делать что-то еще. Добиться этого в традиционной ОС невозможно.
Как все это работает – на сайте и в учебном курсе по KasperskyOS.
Наш «любимый» вопрос про KasperskyOS звучит так: «Это же Linux?». Нет, это категорически не Linux. От него там нет ни строчки кода – наша ОС разработана с нуля и для решения абсолютно других задач.
Вообще, если вы решили написать безопасную ОС, у вас есть два варианта:
▪️ Взять существующую ОС и
▪️ Пойти более долгим и трудоемким путем и разработать с нуля ОС с высоким уровнем гарантий безопасности.
Для традиционных ОС общего назначения самое важное – совместимость и универсальность. Для популяризации своих систем разработчики предельно упрощают процесс создания новых приложений и инструментов под них. Да, в такую систему вполне можно встроить защитные механизмы, и этого достаточно для решения некоторых задач. Но есть сферы, где недопустим даже потенциальный шанс успешной атаки. На такие индустрии ориентирована KasperskyOS.
Мы отказались от заимствованного кода в пользу гарантий безопасности. Микроядро KasperskyOS, а также базовая библиотека libkos, драйверный фреймворк, input-фреймворк и большинство драйверов являются собственной разработкой «Лаборатории Касперского» и не основываются на каком-либо существующем проекте (Linux или каком-то еще).
Помимо этого, мы используем архитектурные принципы, обеспечивающие безопасное поведение ОС в каждом конкретном применении. На выходе система может выполнять только то, что нужно, и физически не способна делать что-то еще. Добиться этого в традиционной ОС невозможно.
Как все это работает – на сайте и в учебном курсе по KasperskyOS.
👍19❤2👎1