Эксперт: Создание национальной ОС и антивируса – миф или реальность?
После того, как Александр Турчинов, подписал указ о создании национальной операционной системы и антивируса, в уанете не стихают обсуждения, возможно ли реализовать поставленную задачу. На днях, руководство Госспецсвязи выделило два пути по созданию украинской ОС и антивирусного продукта — использовать технологии open-source на базе Linux или привлечь к разработкам коммерческие структуры. Технический директор украинской антивирусной лаборатории Zillya! Олег Сыч написал для AIN.UA колонку, в которой описал способы создания национального антивируса и операционной системы.
Я, как человек, занимающийся более десяти лет разработкой антивирусного ПО и возглавляющий единственную действующую в Украине антивирусную лабораторию, решил поделиться с вами своими ключевыми мыслями по этому поводу.
На сегодняшний день создать национальную операционную систему в Украине – нереально
Теоретически существует два пути создания собственной операционной системы, и в ближайшее время они оба нереализуемы.
Путь первый – создание национальной ОС с нуля
На мой взгляд – абсолютно утопический вариант. На создание серьезной функциональной ОС требуются десятилетия. Linux-, Windows-, Unix-системы создавались десятками тысяч специалистов на протяжении многих лет. Кроме того, к этой ОС необходимо будет написать огромное количество работоспособного программного обеспечения, что займет еще с добрый десяток лет, учитывая количество и разнообразие существующего на сей день ПО.
Путь второй – создание ОС на базе одного из дистрибутивов Linux
Вариант менее утопический. Но, такая попытка уже предпринималась у нас в 2004 году. Был разработан так называемый MyLinux. Проект столкнулся с огромным количеством сложностей: совместимость документооборота, совместимость различного программного обеспечения, необходимость создания огромной базы драйверов, обучение специалистов, обучение пользователей и многое другое. В результате проект был закрыт.
Государству нет надобности создавать национальную операционную систему
Поскольку в ближайшее время Украина не может создать собственную ОС, речь должна идти все же не о создании, а о регламентировании использования существующих операционных систем, о настройках и политиках безопасности. Ведь зачастую утечка данных и заражение вирусами происходит не по вине дыр в ОС, а по вине дополнительного программного обеспечения, которое в этой системе используется, или по вине некорректного использования самой системы с точки зрения безопасности.
К примеру, в Windows все поголовно работают с административными правами. Потому, что так проще. Человек пришел на работу, ему выделили базовую систему и сказали – все остальное ставьте сами. О какой безопасности может идти в таком случае речь?
Если для пользователя изначально настроить систему, закрыть доступ к администрированию, предоставить в законченном варианте программы для использования и установить необходимое ПО для защиты информации, то заражение операционных систем вирусами сведется к минимуму.
Создать национальный антивирус можно и нужно!
Антивирусное ПО иностранной разработки – троянский конь на компьютере пользователя. Почему?
В первую очередь – антивирусные программы собирают данные о своих пользователях. Официально данные о пользователях анонимны, но при этом фиксируются IP-адреса, ресурсы пользователя, ссылки с параметрами. В общем-то, достаточно данных, чтобы составить мнение о поведении пользователя.
Это означает, что теоретически спецслужбы России могут получить серьезный массив данных о пользователях продуктов Лаборатории Касперского или Доктор Веб, как, впрочем, и спецслужбы других стран, в которых есть национальные производители антивирусного ПО.
Потенциально антивирусное ПО может быть использовано в качестве кибероружия
Например: антивирусные программы часто прибегают к помощи пользователя в виде оценочных запросов на тот, или иной ресурс – так называемая, репутационная технология определения угроз. Так, если пользователи определенного антивируса устроят небольшой «флешмоб» и отметят интернет-страницу президента Украины как опасную, то абсолютно все пользователи данного антивируса не смогут посетить ресурс, как минимум, до реакции службы поддержки антивируса на множественные жалобы.
Если говорить о намеренной, масштабной кибератаке с использованием антивируса, то такое действие будет сразу замечено и осуждено мировым сообществом, что нанесет непоправимый урон по репутации антивирусной компании и приведет к ее краху. Т.е. такая атака не выгодна.
Но точечное воздействие на определенные интернет-ресурсы или программы, доступные узкому кругу лиц, никто может и не заметить. Так, программы, применяемые в госорганах Украины, могут быть заблокированы за один день, и никаких претензий антивирусным компаниям не выскажешь – ложные срабатывания в антивирусных решениях происходят постоянно, и никто от них не защищен.
Безусловно, специалистам вирусной лаборатории делать даже такие точеные атаки незачем… но, кто может дать гарантии, что в штате, к примеру, лаборатории Касперского, из нескольких сотен сотрудников хотя бы один не окажется агентом спецслужб РФ?
Поэтому создание национального антивируса я вижу верным решением на пути к обеспечению кибербезопасности украинского государства.
Государственный украинский антивирус можно создать, потратив на это меньше года
В нашей стране существуют готовые разработки такого программного обеспечения. Я могу перечислить не менее пяти украинских антивирусных стартапов. К сожалению, большинство из них закрылись по причине несостоятельности такого бизнеса в Украине. Т.е. то, что проект Zillya! до сих пор существует – это подвиг. Поверьте, есть значительно более легкие способы зарабатывать деньги. В нашей стране антивирус – это не денежное дело. Но пока в стране существует хоть одна функционирующая антивирусная компания это означает, что есть методики, технологии, вирусная лаборатория и, естественно, знания, которые могут быть переданы и использованы.
Коммерческие структуры обладают знаниями, а государство ресурсами. Потенциал разработки национального антивируса находится в их объединении.
К примеру, антивирусная лаборатория Zillya! достаточно давно контактирует с государственными службами Украины, оказывая консультации в вопросах антивирусной защиты и кибербезопасности. Тем не менее, дальше консультаций сотрудничество пока не заходило.
Пять шагов для создания государственного антивируса
Если взять за основу существующую в Украине антивирусную разработку и использовать потенциал кадровых ресурсов государства, то задача создания государственного антивируса может быть реализована в течении 6-12 месяцев. Но сделать это без следующих шагов будет невозможно:
- Определить конкретную государственную структуру, которая будет отвечать за вопрос создания антивируса.
- Начать диалог с разработчиками антивирусного ПО в коммерческом секторе.
- Разработать совместный план действий.
- Обеспечить регулярное финансирование.
- Реализовать.
Напомним, что недавно на AIN.UA публиковалась колонка Ильи Кенигштейна о кибервойнах. А еще раньше Илья писал о том, как Украине воспользоваться примером Израиля и перестроиться на инновационный сценарий развития.
Комментарии | 19
Один из надежных способов защиты компов в госструктуре, это закрыть доступы и залить USB порта монтажной пеной)
Эпоксидкой надежнее.
Можно подумать, создание своего антивируса — проект намного менее масштабный, чем создание своей ОС. Малореально (если, конечно, цель создать продукт не хуже коммерческих).
На сколько я понимаю в Украине нет организации, которая могла бы с ноля разработать ОС, а вот антивирусная лаборатория — есть. И, коль уж все антивирусы отправляют файлы на проверку, то пускай на сервера в Украине, по крайней мере с компов в украинских госорганах:)
Я лично пользуюсь Зилля уже довольно давно, хотя может продукт и не дотягивает до гигантов антивирусной индустрии, но, думаю, это можно поправить с помощью дополнительного финансирования. Мне вообще трудно представить за счет чего там в Зилля живут:) продавать любой софт в Украине пока не очень прибыльная затея)
Сдаём кровь, а ещё принимаем на работу только людей со здоровыми двумя (!) почками 😉
Шучу конечно же, но вы правы, это не просто.
Проблема не просто в создании операционной системы (хотя задача та ещё). Смотрим дальше: создание необходимого программного обеспечения (и это не только браузер и оффис, есть экспертные системы используемые в нацбанке и разных министерствах, есть различное налоговое и бухгалтерское ПО, на разработку которого уже ушла куча денег и т.п.), создание/портирование базы драйверов под всё новое оборудование (которое есть и будет появляться), поиск и исправление ошибок и уязвимостей, переобучение администраторов, обучение пользователей, внедрение, …
Это масштабная задача, которая на непосредственно разработке операционки.
Тупо PR своего продукта Уже есть опыт создания и внедрения полностью «своего» Linux в гор. администрации Мюнхена (думаю масштаб подходящий)http://en.wikipedia.org/wiki/LiMux А винда с учётом прекращения поддержки например WinXP станет дырой в безопасности, как ни настраивай политики.
По поводу Мюнхена.
1. Посмотрите сколько времени у них это заняло. По приведённой ссылке таймлайн на 10 лет. У нас же речь идёт о том, что нам надо делать что то прямо сейчас.
2. Бюджеты. Может кто то обладает информацией во сколько это всё им вышло? Думаю что цифра будет значительной. А учитывая бюджет нашей страны … Печаль-беда
3. Одно дело гор-администрация (где по сути только и того, что документооборот). Другое дело перевод информационных систем в рамках государства (министерства, налоговая, банки, гос. предприятия). Там много специфического программного обеспечения, построенные системы.
Никто не говорит что перейти на Линукс не реально в принципе. Просто нужно учитывать конкретно наши реалии, реалии сегодняшнего дня и ближайшей перспективы.
http://habrahabr.ru/post/222511/ — можете посмотреть больше деталей проекта. Если понадобится, думаю можно попытаться пригласить ребят для консультаций.
По первому пункту — зачем прямо сейчас?
По третьему — действительно всё возможно. Никто не говорит о простоте.
Но экономия в масштабах государства может быть очень чувствительной. Опять же — мюнхенский проект начался в 2003, а сейчас уже гораздо больше возможностей, технологий и инструментов. Я по специальности сисадмин-тимлид, думаю что имею какое-то понимание для оценок.
Но самое обидное то, что в плане защищённости нашего государства от кибер-атак переход на линукс в принципе проблему не решает, а переносит её в другую плоскость. Обнаружить дыру в Линукс ни разу не проще чем в Windows.
Т.е. в чём тогда превосходство Винды? Те же куры, только в профиль?
Всё конечно зависит от подходов и желания реально менять, остальное — условия задачи, не более.
Думаю опытом создания «национальной» операционной системы может поделиться приватбанк. Они давно перешли на линукс и требования к безопасности у них высокие (банк все таки).
Видел. Молодцы что решились и сделали это. Но они сделали хитрее. Сначала они вынесли всё не WEB-платформу (онлайн), создали мощнейшую WEB-систему, и только после этого фактически сделали только замену терминалов с Windows на Linux.
Слава Украине! Ведь можем! Желаю удачи в производстве украинских продуктов!
Дать Правому Сектору бесплатные лицензии на Zillya, удалят же в его нынешнем виде.
для того, чтобы избежать утечки информации из гоструктур необходимо запретить сотрудникам ставить всякое дерьмо, а также ограничить доступ. Данная статья — чистой воды заказуха. Уже был УНА в гос.структурах и что? Бабла на тендерах вбухивается немало, а затем те же пользователи все носят нафиг… По поводу нац.ОС. Вы сначала людям дайте нормальную зарплату, создайте аппарат на разработку и поддержку, воспитайте кадры профессиональные, которые свалили давно и продолжают сваливать из Украины, создайте материальну и социальную базу, а затем что-то предлагайте. Найдите, блин, линуксовского админа, который за 2000 грн. будет поддерживать ОС?! Я такого не вижу. И вообще — очередной популиззм, разбазаривание снова гос.денег, обогащение кого-то…. Никогда в этой стране не будет порядка
Согласно Вашим доводам, это не статья заказуха, а указ Турчинова заказуха.
>Уже был УНА в гос.структурах и что?
Действительно, а собственно что? Что то было не так? И опять таки — УНА не был каким то государственным или полугосударственным проектом, поинтересуйтесь вопросом.
Насчёт «запретить ставить» — согласен на 100%. Безопасность должна быть комплексной. Почему то у нас люди думают что можно поставить антивирус и все беды валить на него. А то что система пиратская и не обновлённая (дыры трёхлетней давности в ней), куча левого софта, пользователь работает с админскими правами и т.п. — это всё не считается, мол антивирус же есть, он спасёт меня от всех бед!
Какого еще комментария ждать от представителя компании который разрабатывает антивирь под Windows. Для которой Украина это единственный перспективный рынок. В случае его потери он будет безработным. Конечно они будут упорно доказывать что переход на Linux не возможен. Кстати разработка антивируса это не менее масштабный проект.
Заблуждение на заблуждении. Ну да ладно, вас же всё равно не переубедить, правда ? 😉