уторак, 16 априла, 2024
Представљамо

Сигурнији оперативни системи (5. део) — Дискрит линукс

NZT

Аутор: Петар Симовић

Можда је неко до сада чуо за дериват Убунтуа са фокусом на приватност УПР – Ремикс Убунту приватности (енг. Ubuntu Privacy Remix). Ко се не сећа или није ни знао за УПР, укратко, то је била модификована дистрибуција Убунтуа са уклоњеним драјверима и неопходним софтвером из кернела за повезивање на било какву мрежу. Није се могло повезати на локалну мрежу (енг. LAN), широкопојасну мрежу (енг. WLAN), блутут (енг. Bluetooth), Чвор-до-чвора везом (енг. PPP) ни инфрацрвено повезивање (енг. Infrared connection). Значи, Дискрит не може изаћи на интернет и не може приступити вашем диску у рачунару. Све то у циљу изоловања система за рад са осетљивим подацима од могућих упада у систем преко мреже или у случају да су подаци или хардвер већ заражени, комуникацију из система ка нападачу. Основни циљеви система су били заштита од килогера (енг. keyloggers), руткита (енг. rootkits), спајвера (енг. spyware) и потенцијалних вируса са вашег диска.

УПР је угашен 2017. године, а заменио га је Диксрит линукс (енг. Discreete Linux), који се може сада сматрати наставком или побољшањем УПР-а, па не чуди што је Дискрит линукс задржао наведене или преузео наведена својства заштите од УПР-а. То свакако нису све сигурносне мере Дискрит-а, нове су додате како би овај оперативни систем био у кораку са временом и конкуретан са осталима из безбедносне бранше. Да бисмо разумели зашто су се аутори прво УПР-а, а сада и Дискрит линукса одлучили за сигурносни систем са којим не можете приступити мрежи нити диску у вашем рачунару, морамо прво бити свесни неколико шпијунксих програма које је обелоданио Сноуден (енг. Edward J. Snowden), и друго, како заправо вируси успевају да заразе наш систем.

Амерички шпијунски програми

Откривени шпијункси програми су: Фоксацид (енг. FOXACID) – програм Америчке Безбедносне агенција НСА (енг. National Security Agency) који омогућава овој агенцији да победи у трци са временом и када упутите захтев за неком веб-страном, и послужи вам лажну веб-страницу са подметнутим вирусом и експлоитом у њој. То је омогућено помоћу још једног програма под кодним именом Квантум (енг. QUANTUM) који је претходно обезбедио компромитовање рутера које користе још у самој фабрици јер су компаније биле приморане да сарађују са Америчком безбедносном службом. Турбина (енг. TURBINE) је још један програм који се ослањао на хардверске импланте које је НСА инсталирала на многе уређаје корисника и који јој је омогућавао да аутоматски приступа рачунарима корисника и из њихових рачунара непримећено извлачи податке или их шпијунира прислушкујући микрофон или камеру.

Како вируси успевају да заразе наш систем

Нападач има доста могућности на располагању када жели да упадне у ваш систем. Најосновнији напади су намерно навођење корисника да покрене одређени заражени програм, искоришћавање сигурносног пропуста попут прекорачења бафера (енг. [https://en.wikipedia.org/wiki/Buffer_overflow[buffer overflow]]) у неком корисниковом софтверу итд. Када причамо о начинима да вируси дођу на кориснички рачунар, то је најчешће кроз непроверена преузимања са интернета, преко мејла, на веб-странама, кроз документа, итд. Да не заборавимо да добро прикривени вируси могу заобићи и антивирусе, ватрени зид (енг. Firewall), ИДС (енг. intrusion detection systems), или чак ваздушну изолацију (eng. air gap). Међутим, да би било који од ових напада остварио свој циљ да нападачу обезбеди приступ вашем рачунару, интернет веза са вашим системом мора да постоји. Значи водећи принципи су забаракидирај улазе у систем, излазе из њега и тако спречи ширење вируса.

Како се Дискрит брани

Творци Дискрита су све то имали у виду када су креирали овај систем, вагајући између једноставног корисничког искуства и највеће сигурносне мере заштите која се може остварити очувавајући систем употребљивим.

Особине:

  • нема повезивања на интернет
  • нема приступа диску – због познатих напада на системе кроз фирмвер (енг. firmware) хард дискова на којима се може сакрити вирус и преживети форматирање (деталњији текст о овом нападу),
  • оперативни систем је непроменљив – Дискрит се само може покренути са медијума, али на њему се не могу чувати подаци зато што је систем само за читање (енг. read-only file sytem, ISO 9660, SquashFS),
  • једини приступ је преко спољних медија као У-Ес-Бе (УСБ), који се порећу као не извршни (енг. mount as noexec). Директан приступ меморији је такође ограничен спољним медијима јер су забележени напади инсталирања фирмвера са вирусом кроз меморију на друге уређаје. Спољне тастатуре које се везују мораће да имају прво одобрење одкорисника да се ради о тастатури пре него што истој буде дозвољен унос, да би се спречили напади попут (BADUSB).
  • само дигитално криптографски потписан кернел се може учитати и стартовати Дискрит линукс, што спречава нападаче да подметну њихов измењени кернел који рецимо отвара приступ интернету.
  • администраторске рут (енг. root) привилегије нису дозвољене, међутим пре учитавања имате избор да учитате Дискрит верзију са омогућеним рут привилегијама ако су оне неопходне за неки посао.

Поставља се логично питање: Како користити Дискрит линукс ако не можемо на интернет и немамо приступ диску, а ни у самом Диксриту не можемо чувати датотеке? Корисник ипак може прикључити у-ес-бе и са њега учитати датотеке у оперативни систем, а све што на систему ради може сачувати такозваном криптобокс облику (енг. cryptobox). Криптобокс које је заправо виртуелни контејнер или датотека одређене величине, шифрован лозинком коју корисник одабере. Таква једна датотека у шифрованом облику са стране увек изгледа као гомила насумичних карактера и не може се никада рећи колико се датотека налази у њему, тј. колико је напуњен. Сличну техику користи Веракрипт (енг. VeraCrypt) и некадашњи Трукрипт (енг. TrueCrypt) за које такође имате подршку у Дискриту.

Систем је намењен звиждачима (енг. whistleblowers), новинарима, активистима, адвокатима и другима који нису нужно и ИТ експерти, па се може рећи да је Дискрит оријентисан ка просечним корисницима у потрази за већом приватности.

Укључени софтвер

На располагању вам је широк спектар алата и програма укључених у Дискрит линукс и њима је систем добро опемљен како вам ништа од програма не би затребало и да не бисте инсталирањем додатног и потенцијално зараженог софтвера угрозили систем и своје поверљиве податке.

У систему се налазе разни програми од едитора текста, преко целог Либре офиса (енг. Libre Office), калкулатора, виртуел бокса (енг. VirtualBox), именика. Ту су и програми за обраду слика и цртање попут ГИМП-а, инкскејпа (енг. Inskscape), скрибуса, онда програма за шифровање и отклањање метаподатака попут ГПГ-а, Веракрипта (енг. VeraCrypt), МАТ-а (data Anonymisation Toolkit) и криптбокс чаробњака.

Укључени си и програми за аудио и видео попут ВЛЦ-а и ритамбокса (енг. Rythmbox), програма за нарезивање Брасеро, па чак и веб-прегледач Фајрфокс ЕСР (енг. Firefox ESR), а ту су наравно и системски програми попут терминала, прегледача логова, ДИСКС-а, и других.

Закључак

Систем је веома сигуран, спречава већину начина на који се вируси и други нежељини софтвер обично инфилтрира на кориснички систем. Оперативни систем Дискрит је и даље у фази тестирања и даљег развоја (у тренутку тестирања је најновија верзија била Discreete_Linux_2016.1_beta1 фебруара 2018. године), па овај систем још не треба сматрати готовим решењем за критичне послове, а приликом тестирања и ми смо наишли на неке багове. Међутим, Дискрит има светлу будућност ако настави са даљим развојем, праћење актуелних напада и пропуста, трудећи се да исте спречи.