Чи важлива безпека операційної системи?

Познайомтеся з Палом. Пал — старший розробник, який працює в PalBank. Протягом наступних 6 місяців Пал відповідатиме за розробку веб-додатку для банку, який щодня використовуватимуть мільйони клієнтів.

Пал вкладає значні зусилля в розробку та впровадження найбезпечнішого додатку, якого можна досягти: суворий контроль та безпечні етапи розробки, збору та розгортання, статичний аналіз коду, перевірка безпеки зовнішніми фахівцями, багатофакторна аутентифікація для доступу до додатку та шифрування даних у спокої. І це ще не все!

Пал працює в поті чола, чи не так? На жаль, таких зусиль недостатньо! Навіть якщо припустити, що веб-додаток PalBank повністю вільний від усіх відомих і невідомих вразливостей, його безпека все ж буде під загрозою, коли споживачі запустять його на своїх пристроях.

Додаток піддається загрозі через мільйони рядків коду, які складають привілейне системне програмне забезпечення платформи, якщо воно стане шкідливим або скомпрометованим. У цьому контексті системне програмне забезпечення включає в себе операційну систему, менеджер віртуальних машин і все програмне забезпечення, вбудоване в прошивку.

Іншими словами, не має великого значення, якщо користувач вибрав ідеально міцний і унікальний пароль, коли їхня операційна система інфікована кейлогером, який витікає його третім особам. Аналогічно, не важливо, якщо ваш код не має переповнень буфера, якщо ваша операційна система має бекдор і просто вирішила витікати всі дані ваших клієнтів шкідливим третім особам.

Отже, чому безпека програм для користувачів залежить від безпеки його підлягаючого системного програмного забезпечення?

Причина полягає в ієрархічній архітектурі звичайних пристроїв: привілейне системне програмне забезпечення отримує необмежений доступ до всіх ресурсів привілейованих програм, оскільки воно контролює їх виконання, пам’ять і доступ до базового апаратного забезпечення. Це особливість, а не недолік!

Отже, надзвичайно важливо враховувати стан безпеки операційної системи кінцевих пристроїв і використовувати найсекретнішу операційну систему, яку тільки можливо.

Вступайте: Linux

Linux — це група операційних систем, які базуються на відкритому програмному забезпеченні та ядрі Linux, згруповані в дистрибутив Linux. У 2004 році Марк Шаттлворт заснував Canonical для випуску дистрибутива Ubuntu, і Canonical з тих пір публікує новий випуск Ubuntu кожні 6 місяців.

Відкрите програмне забезпечення означає, що програмне забезпечення публікується з ліцензією, що дозволяє будь-кому ознайомитися з вихідним кодом, модифікувати його та поширювати за власним бажанням. Воно зазвичай розробляється в колабораційний спосіб розробниками з усього світу. Існує багато варіацій ліцензій на відкрите програмне забезпечення, але всі вони зазвичай дозволяють цю модель відкритої співпраці та розподілу.

Linux підходить як для роботи на ноутбуці, так і для запуску критично важливих додатків в хмарі або на ваших серверах. Ядро Linux є серцем операційної системи, але працює за лаштунками – всі програми, які ми використовуємо щодня, такі як веб-браузери, електронна пошта, карткові ігри, інструменти для розробників тощо, працюють на базі ядра.

Вони розробляються окремими групами, а потім саме видавець, як-от Canonical, об’єднує все програмне забезпечення, яке може бути необхідним, в єдиний безпечний дистрибутив Linux; Ubuntu надає багато тисяч найпопулярніших програм та пакетів програмного забезпечення в останньому випуску Nobel Numbat.

Новий випуск Ubuntu виходить кожні 6 місяців, у квітні та жовтні, з дружньою назвою (наприклад, Plucky Pluffin) та номером випуску, який відображає рік і місяць його створення. Кожні два роки квітневий випуск отримує статус версії з тривалим терміном підтримки, що означає, що Canonical забезпечуватиме оновлення та виправлення безпеки для програмних пакетів протягом 5 років. Canonical підтримує Ubuntu у цьому режимі з 2004 року.

Ubuntu публікується у 3 редакціях: Desktop, Server і Core (для IoT-пристроїв та роботів). Понад 3 мільйони людей використовують Ubuntu Desktop, а більш ніж 100 000 нових екземплярів Ubuntu запускаються щодня в публічній хмарі.

Яка ситуація з безпекою?

Вразливість безпеки — це програмний недолік або помилка, яку можна використати для отримання несанкціонованого доступу до системи або для заподіяння їй шкоди. Вразливості безпеки — це невід’ємна частина життя, але те, як ми з ними впораємось, має велике значення. Жодна програмна система не є імунною до вразливостей безпеки, і кожна програмна система, яку ми використовуємо сьогодні, повинна підтримуватись з останніми виправленнями.

У світі відкритого програмного забезпечення ми можемо бути повністю прозорими щодо того, які проблеми були виправлені та коли, оскільки вихідний код відкритий для перевірки всім. Переважна більшість вразливостей безпеки виявляється дослідниками, які вивчають програмне забезпечення, щоб повідомити про проблеми та виправити їх для покращення програмного забезпечення для всіх.

Вони працюють за моделлю відповідального розголошення, коли дослідник повідомляє про вразливість видавцеві програмного забезпечення, який отримує достатньо часу для впровадження виправлення і випуску оновленої версії програмного забезпечення, перш ніж дослідник розголосить інформацію про вразливість.

Проте не всі діють так, і деякі зловмисники виявляють вразливості на свій зловмисний розсуд або продають їх іншим для використання в атаках «нульового дня».

Виправлення відомих вразливостей

Яким чином відомі вразливості можуть завдати вам шкоди? Все ж якщо ми знаємо про вразливість безпеки та доступне виправлення, що обіцяє її усунути, всі б одразу виправили свої уражені системи. Правильно? На жаль, реальність далека від цього! В доповіді, опублікованій у Verizon у 2022 році, лише 25% перевірених організацій виявилися виправляти відомі вразливості протягом двох місяців з моменту їхнього публічного розкриття.

Але чому хтось може свідомо залишити свою організацію вразливою до кібератак? Знову ж таки, відповідь лежить у вічному напруженні між безпекою та зручністю використання. Спитай будь-якого системного адміністратора, і він скаже, що позапланова робота, необхідна для виправлення вразливостей, є витратною, дорогою та іноді просто неможливю, оскільки вони повинні підтримувати сервери в роботі.

Livepatch: виправіть своє ядро під час роботи

Запитайте цих же адміністраторів знову, і вони також скажуть вам, що хотіли б рішення, яке дозволило б їм виправляти вразливості під час роботи системи без необхідності перезавантаження. Проблема вирішена! Для ядра Ubuntu це саме те, що Livepatch пропонує.

Livepatch дозволяє вам усувати критичні та високі вразливості ядра під час роботи. Згідно з даними Snyk, ці вразливості складають 40% усіх високих і критичних вразливостей. Отже, Livepatch принесе вашій організації вимірювані вигоди та безпрецедентну рентабельність інвестицій для максимально безпечного розгортання Linux.

“Livepatch ідеально відповідає нашим потребам. Немає жодного іншого рішення, яке б так працювало, і це дуже економічно ефективно. Ручна міграція віртуальних машин, застосування оновлень ядра та перезавантаження займали в середньому 32 години на сервер. Помноживши на 80 серверів, це більше 2500 годин роботи.”

Шиня Цунемаццу, старший провідний інженер відділу технічного розвитку, GMO Pepabo

Додаткова безпека

А що з вашими іншими вразливостями, які не покриваються Livepatch? Це саме там, де екосистема Canonical проявляє себе! З кожним випуском Ubuntu Long Term Support (LTS) ви завжди отримуєте 5 років стандартного обслуговування безпеки для базової ОС, критично важливих програмних пакетів і компонентів інфраструктури.

І якщо з якоїсь причини ви не можете оновити свою систему до наступного випуску LTS після 5 років, ви можете використовувати розширене обслуговування безпеки Canonical для підтримки безпеки протягом 10 років. Це доступно за підпискою на Ubuntu Pro з безкоштовною ліцензією для особистого використання.

Цей інноваційний підхід забезпечує не лише привабливу пропозицію щодо безпеки, але й однаково привабливу бізнес-пропозицію.

Пал може на власному досвіді розповісти, як це дозволило йому створити безпечну екосистему Linux для Palbank і зменшити звичайне навантаження з обслуговування. Тепер він може приділяти весь час, необхідний для створення найкращого банківського додатка для своїх клієнтів, і навіть вибратися у відпустку між справами.

А що з невідомими загрозами?

Якщо ми знаємо про вразливість безпеки, ми можемо її виправити, але що робити, коли зловмисник використовує експлойт, який ще не виправлено? В цьому випадку екосистема Ubuntu допомагає.

Природа відкритого програмного забезпечення означає, що зловмисникам значно важче вставити бекдори в програмне забезпечення. Вихідний код доступний для всіх для перегляду, а Canonical перевіряє та моніторить код для кожного пакета, що входить в Ubuntu, що дозволяє вам встановлювати все необхідне програмне забезпечення з одного надійного джерела, підтримуваного десятиліттями і досвідом виправлень і підтримки Canonical, без необхідності завантажувати випадкові шматки коду з Інтернету.

Ще одна перевага використання пакетів Ubuntu полягає в тому, що весь код, який Canonical компілює в пакети, налаштовано так, щоб використовувати останні засоби безпеки компіляції. Ці параметри компіляції зосереджені на перевірках захисту пам’яті та допомагають забезпечити захист програмного забезпечення від атак в пам’яті, таких як переповнення буфера та пошкодження купи, які тривалий час турбують рідний код.

Ubuntu налаштована на те, щоб бути безпечною за замовчуванням. Нове встановлення Ubuntu Desktop не відкриває жодних мережевих портів, які могли б бути використані зловмисником, і має вже активований брандмауер. Щоб обмежити потенційні збитки від невідомих атак, Ubuntu використовує AppArmor, який є механізмом пісочниці, вбудованим в ядро Linux, що встановлює попередньо визначені обмеження на те, що програми можуть робити в системі.

Отже, наприклад, якщо зловмисний веб-сайт спробує скористатися вразливістю у браузері Firefox, AppArmor унеможливить, щоб код експлуатації скомпрометував всю систему.

Отже, чи безпечний Linux?

Ядро Linux і вся його екосистема операційних систем побудовані на основі цінностей відкритості, прозорості, гнучкості та довіри. Ці цінності є тим, що закладає основу сучасної безпеки програмного забезпечення, на якій ґрунтується Canonical!

Оскільки Ubuntu стоїть на плечах гігантів, вона може собі дозволити оглядати навколо та слухати те, що потребують сучасні підприємства: обслуговування та підтримка безпеки на рівні підприємств, надійно надавані день за днем на міцну комерційну одиницю, якій ви можете довіряти бути вашим цифровим партнером сьогодні і завтра.

Те, що мільйони клієнтів і Пал зрозуміли, це те, що випуск Ubuntu LTS з підпискою на Ubuntu Pro і активованим LivePatch є найбільш розумно захищеною операційною системою Linux, на яку ви можете покладатися! Саме тому вони продовжують щодня вибирати Canonical Ubuntu для живлення своїх робочих столів, IoT-пристроїв, центрів обробки даних і завантажень у публічній хмарі.