četvrtak, 18 aprila, 2024
Predstavljamo

Sigurniji operativni sistemi (5. deo) — Diskrit linuks

NZT

Autor: Petar Simović

Možda je neko do sada čuo za derivat Ubuntua sa fokusom na privatnost UPR – Remiks Ubuntu privatnosti (eng. Ubuntu Privacy Remix). Ko se ne seća ili nije ni znao za UPR, ukratko, to je bila modifikovana distribucija Ubuntua sa uklonjenim drajverima i neophodnim softverom iz kernela za povezivanje na bilo kakvu mrežu. Nije se moglo povezati na lokalnu mrežu (eng. LAN), širokopojasnu mrežu (eng. WLAN), blutut (eng. Bluetooth), Čvor-do-čvora vezom (eng. PPP) ni infracrveno povezivanje (eng. Infrared connection). Znači, Diskrit ne može izaći na internet i ne može pristupiti vašem disku u računaru. Sve to u cilju izolovanja sistema za rad sa osetljivim podacima od mogućih upada u sistem preko mreže ili u slučaju da su podaci ili hardver već zaraženi, komunikaciju iz sistema ka napadaču. Osnovni ciljevi sistema su bili zaštita od kilogera (eng. keyloggers), rutkita (eng. rootkits), spajvera (eng. spyware) i potencijalnih virusa sa vašeg diska.

UPR je ugašen 2017. godine, a zamenio ga je Diksrit linuks (eng. Discreete Linux), koji se može sada smatrati nastavkom ili poboljšanjem UPR-a, pa ne čudi što je Diskrit linuks zadržao navedene ili preuzeo navedena svojstva zaštite od UPR-a. To svakako nisu sve sigurnosne mere Diskrit-a, nove su dodate kako bi ovaj operativni sistem bio u koraku sa vremenom i konkuretan sa ostalima iz bezbednosne branše. Da bismo razumeli zašto su se autori prvo UPR-a, a sada i Diskrit linuksa odlučili za sigurnosni sistem sa kojim ne možete pristupiti mreži niti disku u vašem računaru, moramo prvo biti svesni nekoliko špijunksih programa koje je obelodanio Snouden (eng. Edward J. Snowden), i drugo, kako zapravo virusi uspevaju da zaraze naš sistem.

Američki špijunski programi

Otkriveni špijunksi programi su: Foksacid (eng. FOXACID) – program Američke Bezbednosne agencija NSA (eng. National Security Agency) koji omogućava ovoj agenciji da pobedi u trci sa vremenom i kada uputite zahtev za nekom veb-stranom, i posluži vam lažnu veb-stranicu sa podmetnutim virusom i eksploitom u njoj. To je omogućeno pomoću još jednog programa pod kodnim imenom Kvantum (eng. QUANTUM) koji je prethodno obezbedio kompromitovanje rutera koje koriste još u samoj fabrici jer su kompanije bile primorane da sarađuju sa Američkom bezbednosnom službom. Turbina (eng. TURBINE) je još jedan program koji se oslanjao na hardverske implante koje je NSA instalirala na mnoge uređaje korisnika i koji joj je omogućavao da automatski pristupa računarima korisnika i iz njihovih računara neprimećeno izvlači podatke ili ih špijunira prisluškujući mikrofon ili kameru.

Kako virusi uspevaju da zaraze naš sistem

Napadač ima dosta mogućnosti na raspolaganju kada želi da upadne u vaš sistem. Najosnovniji napadi su namerno navođenje korisnika da pokrene određeni zaraženi program, iskorišćavanje sigurnosnog propusta poput prekoračenja bafera (eng. [https://en.wikipedia.org/wiki/Buffer_overflow[buffer overflow]]) u nekom korisnikovom softveru itd. Kada pričamo o načinima da virusi dođu na korisnički računar, to je najčešće kroz neproverena preuzimanja sa interneta, preko mejla, na veb-stranama, kroz dokumenta, itd. Da ne zaboravimo da dobro prikriveni virusi mogu zaobići i antiviruse, vatreni zid (eng. Firewall), IDS (eng. intrusion detection systems), ili čak vazdušnu izolaciju (eng. air gap). Međutim, da bi bilo koji od ovih napada ostvario svoj cilj da napadaču obezbedi pristup vašem računaru, internet veza sa vašim sistemom mora da postoji. Znači vodeći principi su zabarakidiraj ulaze u sistem, izlaze iz njega i tako spreči širenje virusa.

Kako se Diskrit brani

Tvorci Diskrita su sve to imali u vidu kada su kreirali ovaj sistem, vagajući između jednostavnog korisničkog iskustva i najveće sigurnosne mere zaštite koja se može ostvariti očuvavajući sistem upotrebljivim.

Osobine:

  • nema povezivanja na internet
  • nema pristupa disku – zbog poznatih napada na sisteme kroz firmver (eng. firmware) hard diskova na kojima se može sakriti virus i preživeti formatiranje (detalnjiji tekst o ovom napadu),
  • operativni sistem je nepromenljiv – Diskrit se samo može pokrenuti sa medijuma, ali na njemu se ne mogu čuvati podaci zato što je sistem samo za čitanje (eng. read-only file sytem, ISO 9660,SquashFS),
  • jedini pristup je preko spoljnih medija kao U-Es-Be (USB), koji se poreću kao ne izvršni (eng. mount as noexec). Direktan pristup memoriji je takođe ograničen spoljnim medijima jer su zabeleženi napadi instaliranja firmvera sa virusom kroz memoriju na druge uređaje. Spoljne tastature koje se vezuju moraće da imaju prvo odobrenje odkorisnika da se radi o tastaturi pre nego što istoj bude dozvoljen unos, da bi se sprečili napadi poput (BADUSB-a).
  • samo digitalno kriptografski potpisan kernel se može učitati i startovati Diskrit linuks, što sprečava napadače da podmetnu njihov izmenjeni kernel koji recimo otvara pristup internetu.
  • administratorske rut (eng. root) privilegije nisu dozvoljene, međutim pre učitavanja imate izbor da učitate Diskrit verziju sa omogućenim rut privilegijama ako su one neophodne za neki posao.

Postavlja se logično pitanje: Kako koristiti Diskrit linuks ako ne možemo na internet i nemamo pristup disku, a ni u samom Diksritu ne možemo čuvati datoteke? Korisnik ipak može priključiti u-es-be i sa njega učitati datoteke u operativni sistem, a sve što na sistemu radi može sačuvati takozvanom kriptoboks obliku (eng. cryptobox). Kriptoboks koje je zapravo virtuelni kontejner ili datoteka određene veličine, šifrovan lozinkom koju korisnik odabere. Takva jedna datoteka u šifrovanom obliku sa strane uvek izgleda kao gomila nasumičnih karaktera i ne može se nikada reći koliko se datoteka nalazi u njemu, tj. koliko je napunjen. Sličnu tehiku koristi Verakript (eng. VeraCrypt) i nekadašnji Trukript (eng. TrueCrypt) za koje takođe imate podršku u Diskritu.

Sistem je namenjen zviždačima (eng. whistleblowers), novinarima, aktivistima, advokatima i drugima koji nisu nužno i IT eksperti, pa se može reći da je Diskrit orijentisan ka prosečnim korisnicima u potrazi za većom privatnosti.

Uključeni softver

Na raspolaganju vam je širok spektar alata i programa uključenih u Diskrit linuks i njima je sistem dobro opemljen kako vam ništa od programa ne bi zatrebalo i da ne biste instaliranjem dodatnog i potencijalno zaraženog softvera ugrozili sistem i svoje poverljive podatke.

U sistemu se nalaze razni programi od editora teksta, preko celog Libre ofisa (eng. Libre Office), kalkulatora, virtuel boksa (eng. VirtualBox), imenika. Tu su i programi za obradu slika i crtanje poput GIMP-a, inkskejpa (eng. Inskscape), skribusa, onda programa za šifrovanje i otklanjanje metapodataka poput GPG-a, Verakripta (eng. VeraCrypt), MAT-a (data Anonymisation Toolkit) i kriptboks čarobnjaka.

Uključeni si i programi za audio i video poput VLC-a i ritamboksa (eng. Rythmbox), programa za narezivanje Brasero, pa čak i veb-pregledač Fajrfoks ESR (eng. Firefox ESR), a tu su naravno i sistemski programi poput terminala, pregledača logova, DISKS-a, i drugih.

Zaključak

Sistem je veoma siguran, sprečava većinu načina na koji se virusi i drugi neželjini softver obično infiltrira na korisnički sistem. Operativni sistem Diskrit je i dalje u fazi testiranja i daljeg razvoja (u trenutku testiranja je najnovija verzija bila Discreete_Linux_2016.1_beta1 februara 2018. godine), pa ovaj sistem još ne treba smatrati gotovim rešenjem za kritične poslove, a prilikom testiranja i mi smo naišli na neke bagove. Međutim, Diskrit ima svetlu budućnost ako nastavi sa daljim razvojem, praćenje aktuelnih napada i propusta, trudeći se da iste spreči.