KasperskyOS

KasperskyOS — проприетарная частично POSIX-совместимая микроядерная операционная система. Она предназначена для разработки ИТ-продуктов для отраслей с повышенными требованиями к кибербезопасности, надежности и предсказуемости работы.

KasperskyOS
Процесс загрузки KasperskyOS в эмуляторе QEMU
Разработчик	Лаборатория Касперского
Семейство ОС	частично POSIX-совместимая
Исходный код	Закрытый
Первый выпуск	февраль 2015
Тип ядра	микроядро
Лицензия	проприетарная
Состояние	эксплуатация
Веб-сайт	os.kaspersky.ru

Цель KasperskyOS — обеспечить защиту ИТ-систем от вредоносного кода и эксплуатации уязвимостей, а также снизить риски, связанные с ошибками в коде, случайными или намеренными повреждающими действиями.

Разработку KasperskyOS ведёт «Лаборатория Касперского». Операционная система не является модификацией какой-либо из существующих ОС; в её основе — микроядро собственной разработки, написанное с нуля, без использования сторонних библиотек и кода.

Особенности

Безопасность

В основе KasperskyOS лежит комбинация различных архитектурных подходов к безопасности, включая MILS и FLASK, а также собственные технологии «Лаборатории Касперского».

В соответствии с архитектурным подходом MILS (Multiple Independent Levels of Security) безопасная ИТ-система состоит из изолированных доменов безопасности и ядра разделения, контролирующего взаимодействия доменов друг с другом.

Все межпроцессные взаимодействия происходят только через монитор безопасности (Kaspersky Security System) и через типизированные интерфейсы. Изолированные программные компоненты могут содержать уязвимости или вредоносный код, но система в любом случае остается безопасной.

В соответствии с архитектурой FLASK система безопасности KasperskyOS разделена на две части: точку применения политик (микроядро) и точку принятия решений по политикам (монитор безопасности). Отделение логики принятия решений безопасности от их применения упрощает анализ системы, и влечет за собой непротиворечивость политик безопасности.

Микроядерная архитектура

Основой KasperskyOS служит микроядро, написанное на языке C (стандарт С99). Оно содержит всего около 100 тысяч строк кода. Это принципиально снижает число потенциальных уязвимостей и упрощает формальную верификацию. Для сравнения: в открытом монолитном ядре Linux около 21 млн строк.

Микроядро отвечает за необходимый минимум низкоуровневых механизмов, которые могут выполняться только в привилегированном режиме:

• планирование процессов и потоков;
• управление виртуальной памятью;
• управление доступом к портам ввода-вывода;
• управление прямым доступом к памяти;
• синхронизация на основе фьютекса;
• доставка и управление аппаратными прерываниями;
• получение и установка реального времени;
• управление дескрипторами;
• взаимодействие с подсистемой безопасности (Kaspersky Security System).

 

Основные принципы безопасности KasperskyOS

Драйверы, файловые системы, сетевые стеки и другие модули работают в пространстве пользователя в виде отдельных процессов и взаимодействуют с ядром с помощью системных вызовов.

В микроядре KasperskyOS предусмотрено только три системных вызова, что значительно уменьшает поверхность атаки на него.

Микроядерная архитектура KasperskyOS обеспечивает изоляцию компонентов ИТ-системы. Единственный вид межпроцессных взаимодействий, предоставляемый ядром, — синхронный обмен IPC-сообщениями («запросом» и «ответом»). Каждое сообщение передается монитору безопасности Kaspersky Security System для проверки на соответствие заданной политике безопасности. Микроядро KasperskyOS доставит сообщение, только если это взаимодействие напрямую разрешено политикой.

Монитор безопасности

Подсистема Кaspersky Security System — это монитор безопасности, который контролирует все взаимодействия между компонентами, и единственная точка принятия решений безопасности. Микроядро KasperskyOS доставляет сообщение, только если Kaspersky Security System разрешает его доставку, основываясь на заданном наборе политик безопасности. В случае отрицательного вердикта передача блокируется и могут быть предприняты шаги по восстановлению штатной работы системы.

Для конструирования политик разработан специальный язык описания политик — Policy Specification Language (PSL). Синтаксис PSL позволяет комбинировать в одной политике несколько моделей безопасности, включая конечные и временные автоматы, TE (Type Enforcement), модели ролевого доступа (RBAC) и др. Также можно разрабатывать собственные классы политик. При этом язык PSL достаточно выразительный — описание строится в терминах самой задачи.

PSL избавляет разработчика от необходимости писать реализацию политики безопасности или самостоятельно конфигурировать KSS. Код монитора, оптимизированный под выбранную задачу, генерируется из PSL-описания специальным компилятором.

Аппаратная совместимость

KasperskyOS поддерживает архитектуры x86, x86_64, ARMv5, ARMv7, ARMv8 и MIPS32.

Протестированные аппаратные платформы: Intel Generic и Atom CPUs, NXP i.MX6 (Solo, Duo и Quad), NXP i.MX27, TI Sitara AM335x, TI Sitara AM43xx, HiSilicon Kirin620, MIPS24k.

Версия KasperskyOS Community Edition^[1] позволяет разрабатывать учебные приложения для запуска на эмуляторе QEMU (x86_64) или на Raspberry Pi 4 Model B.

История создания

Разработка началась 11 ноября 2002 года, что отражено в рабочем названии «11.11»^[2]. Впервые операционная система была анонсирована в октябре 2012 года в блоге Евгения Касперского^[3]. В декабре 2013 стало известно о бета-тестировании системы компаниями-партнёрами^[4].

Во-первых, наша система — узкоспециализированная, она разрабатывается для решения конкретной задачи, и не предназначена для игры в Half-Life, редактирования видео или общения в соцсетях. Во-вторых, мы работаем над методом написания ПО, которое в принципе (by design) не будет способно выполнять незаявленную в нем функциональность… это вещь доказываемая и проверяемая.Евгений Касперский 16.10.2012

В ходе работ над защищённой ОС появился модуль Kaspersky Security System, который может быть также встроен в PikeOS^[en] или Linux. В феврале 2015 года было объявлено о партнёрстве с компанией SYSGO^[en]), производителем PikeOS^[5].

18 августа 2016 года было объявлено о завершении работы над операционной системой и стало известно о первом партнёре, на чьём оборудовании будет установлена KasperskyOS — это маршрутизаторы (коммутаторы уровня L3) компании Kraftway^[6].

15 февраля 2017 года система была официально выпущена^[7].

В 2019 году «Лаборатория Касперского» разрабатывает защищенную мобильную ОС на базе существующей KasperskyOS.^[8]

В апреле 2021 года был представлен первый коммерческий продукт на базе KasperskyOS — шлюз для промышленного интернета вещей Kaspersky IoT Secure Gateway 100^[9]. Шлюз был разработан совместно с Апротех, дочерним предприятием «Лаборатории Касперского» и является первым устройством со свойством кибериммунности.

В ноябре 2021 года «Лаборатория Касперского» выпустила в открытый доступ бесплатную версию ОС, предназначенную для обучения — KasperskyOS Community Edition^[10].

В июле 2022 года «Лаборатория Касперского» представила второй кибериммунный шлюз семейства Kaspersky IoT Secure Gateway — KISG 1000. Решение разработано совместно с компанией Апротех^[11].

В июне 2023 года в «Лаборатории Касперского» рассказали о разработке смартфона на базе KasperskyOS. На тот момент прототип устройства уже был оснащён базовыми приложениями, такими как звонки и SMS^[12]. В апреле 2024 года Евгений Касперский в рамках инновационного саммита «Systeme Electric» продемонстрировал исследовательский образец гаджета от разработчика «Аквариус»^[13].

В апреле 2024 года «Лаборатория Касперского» продемонстрировала прототип магазина приложений для устройств со своей операционной системой^[14].

Применение

 

IoT-шлюз KISG 100 на базе аппаратной платформы Siemens SIMATIC IOT2040

KasperskyOS примененяется в областях, где существуют повышенные требования к кибербезопасности, надежности и предсказуемости работы:

• Интернет вещей (IoT и IIoT) и умный город
• Транспорт
• Инфраструктура виртуальных рабочих столов (VDI)
• Корпоративные мобильные устройства

Продукты

На базе KasperskyOS существует несколько продуктов, как проходящих пилотирование, так и доступных на рынке.

В решение Kaspersky IoT Infrastructure Security^[15] входят IoT-шлюзы:

•  

  IoT-шлюз KISG 1000 на базе аппаратной платформы Advantech UTX-3117

  Kaspersky IoT Secure Gateway (KISG) 100. Это первый вышедший на рынок «кибериммунный» шлюз, разработанный совместно с Апротех — дочерним предприятием «Лаборатории Касперского». KISG 100 не позволяет получить доступ к оборудованию извне, поскольку выступает в роли дата-диода, пропуская данные только в одном направлении. Для обработки и анализа информация передается в облачные платформы. Устройство построено на аппаратной платформе Siemens Simatic IOT2040.
• KISG 1000. Шлюз агрегирует данные, собранные с различных устройств, и передает их в корпоративную сеть или облачные платформы по сотовым сетям или Ethernet. В шлюзе имеется межсетевой экран, технология предотвращения и обнаружения вторжений, функции мониторинга подключенных устройств, а также работа через централизованную систему управления.

   

  Kaspersky Thin Client на базе аппаратной платформы TONK TN-1200

В состав решения Kaspersky Secure Remote Workspace^[16] входит тонкий клиент Kaspersky Thin Client, построенный на аппаратной платформе TONK TN-1200. Он предоставляет доступ к удаленным виртуальным рабочим столам на платформе виртуализации Базис. Workplace (ранее Скала-Р ВРМ) и по протоколу RDP.

Использование

В рамках пилотного проекта «Умный город» в Оренбурге^[17] на базе шлюзов KISG 1000 организована облачная диспетчерская для различных жилых и административных городских объектов.

Шлюзы KISG 1000 используются для построения безопасной инфраструктуры в проекте РЖД «СМАРТ. Обогрев стрелок».^[18]

Апротех совместно с Челябинским трубопрокатным заводом реализовал цифровой сервис «Мониторинг станков». В его рамках станки с ЧПУ посредством шлюзов KISG 100 подключаются к облачной платформе Siemens MindSphere и обеспечивают мониторинг и визуализацию технологических процессов.^[19]

Шлюзы KISG 100 используются в цифровом сервисе по мониторингу станков, разработанном Апротех для «СтанкоМашКомплекса».^[20]

Шлюз KISG 100 обеспечивает безопасную передачу данных со станков холдинга «Ленполиграфмаш». С помощью интеграционных адаптеров от компании «Синимекс» данные преобразовываются в события для ERP- и MES-систем на платформе «1С: Предприятие». Решения «1С: Предприятия» в реальном времени предоставляют пользователям визуализированные данные — оценку стоимости работ и простоя оборудования, временные и количественные параметры производства.

Безопасная автомобильная платформа на базе операционной системы KasperskyOS[200], встроена в высокопроизводительный блок управления Ajunic (немецкая компания AVL Software and Functions GmbH). Он может применяться, например, в системах содействия водителю (ADAS).^[21]

Министерство цифрового развития и связи Оренбургской области включило решение Kaspesky Secure Remote Workspace в перечень типовых автоматизированных рабочих мест, которые органы исполнительной власти могут использовать при построении своей инфраструктуры в рамках исполнения Постановления Правительства от 16 ноября 2015 г № 1236 «Об установлении запрета на допуск программного обеспечения, происходящего из иностранных государств, для целей осуществления закупок для обеспечения государственных и муниципальных нужд».

«Лаборатория Касперского» совместно с российским производителем электроники «Систэм Электрик» объявила о планах выпуска мини-компьютеров на базе KasperskyOS для обеспечения безопасности энергосетей в промышленном производстве и на энергетических объектах^[22].

См. также

• QNX — POSIX-совместимая микроядерная ОС реального времени

Ссылки

• «Лаборатория Касперского» приступила к тестированию собственной ОС. Подробности // CNews, 4.12.2013
• «Касперский» выпустил собственную ОС // CNews, 18.08.2016
• https://os.kaspersky.ru/ // Официальный сайт KasperskyOS

Примечания

1. KasperskyOS Community Edition  (рус.). Дата обращения: 5 марта 2022. Архивировано 5 марта 2022 года.
2. Российские специалисты создали уникальную ОС  (неопр.). Российская газета. Дата обращения: 29 мая 2017. Архивировано 19 апреля 2019 года.
3. ЛК пишет свою операционную систему? Подтверждаем слухи и опровергаем домыслы! Архивная копия от 22 октября 2020 на Wayback Machine // eugene.kaspersky.ru
4. «Лаборатория Касперского» приступила к тестированию собственной ОС. Подробности Архивировано 30 июня 2015 года. // CNews, 4.12.2013
5. Kaspersky Security System — новая эра в защите критически важных информационных систем  (неопр.). Дата обращения: 6 марта 2015. Архивировано 6 апреля 2017 года.
6. Первым пользователем операционной системы «Лаборатории Касперского» станет Kraftway  (неопр.). vedomosti.ru. Дата обращения: 18 августа 2016. Архивировано 29 ноября 2020 года.
7. 7 ответов на 7 вопросов про 11-11. — Nota Bene  (неопр.). Дата обращения: 15 февраля 2017. Архивировано 29 сентября 2020 года.
8. «Лаборатория Касперского» тестирует свою ОС для смартфонов  (неопр.). Дата обращения: 5 марта 2019. Архивировано 16 марта 2019 года.
9. Hannover Messe. Kaspersky IoT Secure Gateway 100  (неопр.). Дата обращения: 5 марта 2022. Архивировано 5 марта 2022 года.
10. «Лаборатория Касперского» представила KasperskyOS Community Edition — бесплатную и открытую защищённую операционную систему  (неопр.). ixbt.com (19 ноября 2021). Дата обращения: 19 ноября 2021. Архивировано 19 ноября 2021 года.
11. «Лаборатория Касперского» представляет новое поколение шлюзов для защиты индустриального интернета вещей  (неопр.). kaspersky.ru (4 июля 2022). Дата обращения: 1 августа 2022. Архивировано 1 августа 2022 года.
12. В "Лаборатории Касперского" рассказали о работе над прототипом смартфона  (неопр.). РИА Новости (22 июня 2023). Дата обращения: 28 июня 2023. Архивировано 28 июня 2023 года.
13. В России представили первый отечественный смартфон на KasperskyOS  (неопр.). Hi-tech Mail.ru (15 апреля 2024). Дата обращения: 16 апреля 2024.
14. «Лаборатория Касперского» показала прототип магазина приложений для KasperskyOS  (неопр.). 3dnews.ru (19 апреля 2024). Дата обращения: 22 апреля 2024.
15. Kaspersky IoT Infrastructure Security  (рус.). os.kaspersky.ru. Дата обращения: 5 марта 2022. Архивировано 5 марта 2022 года.
16. Kaspersky Secure Remote Workspace  (рус.). os.kaspersky.ru. Дата обращения: 5 марта 2022. Архивировано 5 марта 2022 года.
17. Обзор Kaspersky IoT Secure Gateway, шлюза для построения безопасных систем интернета вещей  (рус.). Anti-Malware. Дата обращения: 5 марта 2022. Архивировано 5 марта 2022 года.
18. АО "НИИАС" "РЖД". Умный обогрев стрелок  (рус.). Дата обращения: 5 марта 2022. Архивировано 5 марта 2022 года.
19. «Апротех» представила решение для обработки промышленных данных на базе KasperskyOS  (рус.). cnews.ru. Дата обращения: 5 марта 2022. Архивировано 5 марта 2022 года.
20. Cоглашение о расширении сотрудничества по оснащению станков кибериммунными шлюзами  (рус.). СтанкоМашКомплекс. Дата обращения: 5 марта 2022. Архивировано 5 марта 2022 года.
21. Kaspersky and AVL Software and Functions develop secure autonomous driving controller (англ.). ITP.net. Дата обращения: 5 марта 2022. Архивировано 5 марта 2022 года.
22. Как у Google и Huawei. В России создадут устройства для защиты от хакеров на KasperskyOS  (рус.). Газета.ru (20 июня 2023). Дата обращения: 20 июня 2023. Архивировано 20 июня 2023 года.