Perché il governo / i militari non usano sistemi operativi speciali?

Ci sono una serie di motivi per cui la costruzione del proprio "SO" non è un'opzione praticabile.

1. Costo di ricerca

Per costruire un nuovo sistema operativo, da zero senza l'uso di alcun codice esistente, sarebbe necessaria una ricerca significativa. Ancora oggi esistono solo quattro o cinque kernel usati comunemente come Unix, kernel Linux, BSD, XNU e Windows NT.

2. Sicurezza attraverso l'oscurità

È un concetto provato che la sicurezza attraverso l'oscurità aiuta raramente. Sì, è un nuovo sistema operativo, quindi nessun "hacker" sa come funziona, ma è un dato di fatto che le informazioni straordinarie verranno rivelate tramite dipendenti ex o scontenti. Forse anche attraverso i ricercatori stessi.

Essendo un sistema operativo "personalizzato", avrà problemi di sicurezza e nessuno a parte i ricercatori originali sarebbe in grado di identificarli o correggerli.

3. COSTO, COSTO e COSTO

Anche se fosse stato realizzato un tale sistema operativo, per correggere vari problemi sarebbe necessario mantenere un team di manutenzione dedicato. Avresti inoltre bisogno di personalizzare il software difensivo, ecc. Per funzionare perfettamente su quella macchina. Qualsiasi vulnerabilità in quel software, se emulato, sarebbe appena passata. Per realizzare software personalizzati, le specifiche del sistema operativo sarebbero state divulgate, quindi avremmo dovuto creare software per ufficio personalizzato, client di posta elettronica, ecc.

In definitiva, non è fattibile realizzare un sistema operativo e usarlo esclusivamente per la difesa. Come ho detto in precedenza, la sicurezza attraverso ostacoli ostruiti raramente aiuta la sicurezza, ma rende il tutto più "dispendioso in termini di tempo", ma alla fine della giornata, il costo supera in gran parte i benefici.

GreenHills Software è una società specializzata nella creazione di sistemi operativi per sistemi embedded militari. Il loro sistema INTEGRITY utilizza un microkernel (meno codice con meno bug) che è stato formalmente verificato (anche meno bug).

Tali domini speciali, in cui solo i componenti software di base possono essere riutilizzati, sono probabilmente l'unica area in cui è gestibile la distribuzione di un sistema operativo personalizzato. Praticamente ovunque, i requisiti per l'interfacciamento con il mondo esterno, con utenti regolari e con nuovo hardware ogni pochi anni, mangeranno completamente tutte le risorse di sviluppo.

Inoltre, per quanto ne so, non è ancora ben compreso come gestire progetti software di grandi dimensioni. Se hai i soldi e le persone per costruire un nuovo sistema operativo in pochi anni, è probabile che sarà molto più costoso, richiederà molto più tempo e completamente borked.

Infine, non ci sono molte cose in cui un nuovo sviluppo personalizzato potrebbe migliorare. Dopo aver soddisfatto tutti i requisiti dell'utente e del responsabile della politica, è probabile che il sistema operativo specializzato diventi molto simile alle soluzioni esistenti. Ad esempio, è bello immaginare il sistema operativo minimo con alcune migliaia di righe di codice. Diciamo che ti sei assicurato. Ora vuoi un browser web con SSL / X509. L'implementazione più semplice di quelle sarà probabilmente più volte la dimensione del tuo kernel. E se non usi le librerie esistenti, sarà pieno di problemi di compatibilità e sicurezza.

L'area principale in cui la progettazione del sistema operativo potrebbe essere migliorata oggi è - forse - per spostarsi verso un sistema operativo microkernel. Un progetto così come è stato proposto nell'architettura Perseus e Nizza potrebbe consentire di eseguire applicazioni critiche per la sicurezza con un'elevata sicurezza di isolamento accanto al normale sistema operativo commodity, e lasciare che le applicazioni delle merci si riferiscano alle applicazioni sicure per attività come la firma di documenti, stabilendo una sessione chiavi, ecc. Esempi più recenti di questo sono Genode, TrustVisor e Qubes OS. Tuttavia, per rendere tale progettazione scalabile a molte applicazioni in molti scomparti altamente isolati, è necessario un microkernel moderno. Quindi Qubes e TrustVisor sono già fuori dalla porta.

Addon: Abbiamo appena notato che tutti si stanno concentrando sugli Stati Uniti e stanno creando kernel, quindi forse qualche nota a margine: gli Stati Uniti, il tedesco, il francese e probabilmente anche la maggior parte degli altri governi hanno esaminato il sistema operativo per determinati scopi. Il governo tedesco sta utilizzando la scatola SINA, che è una smartcard Linux plus potenziata che implementa un gateway VPN per attività non particolarmente importanti. Ti chiedi che cosa usano per le VPN critiche. Hanno finanziato ricerche sulla progettazione di sistemi operativi alternativi. Oggi stanno finanziando la virtualizzazione per Android, quindi puoi eseguire un compartimento isolato su un altro telefono Android per lo più standard. SELinux da parte degli Stati Uniti è ben noto e il governo francese ha un sistema simile. Ora l'NSA sta anche cercando di portare SELinux su Android. Il fatto che molti spendono in questo modo conferma in modo basciale i problemi sopra citati.

Alcuni punti dati. L'elevato costo di distribuzione e utilizzo di un sistema operativo sicuro deriva molto più dall'implementazione e dalla continua sicurezza che dalla ricerca. Molti progetti di ricerca hanno avuto buone idee sulla sicurezza e hanno avanzato lo stato dell'arte da Multics, ma pochi di questi sistemi hanno fatto più di una dimostrazione di un concetto. C'è un sistema operativo sicuro disponibile. Google "AESEC". Questo sistema operativo di classe A1 verificabile in modo verificabile è un discendente di Multics eseguito su architettura Intel.

Multics non era un sistema personalizzato: era un prodotto standard di Honeywell, venduto al governo, all'industria e all'istruzione; non ha avuto successo perché non abbastanza clienti avrebbero pagato un extra per la sicurezza.
Multics offriva un ricco set di funzionalità per il suo giorno, ma dipendeva da caratteristiche hardware che non erano state fornite quando i microcomputer divennero popolari negli anni '80. I clienti hanno scelto di acquistare molti piccoli computer insicuri piuttosto che un unico grande sistema sicuro. La sicurezza di Multics non dipende dall'oscurità, ma piuttosto dall'architettura, dal design, dall'attuazione disciplinata e dalla continua sicurezza. Quando Multics veniva venduto, era "moderno" e aveva caratteristiche paragonabili o migliori di altri sistemi contemporanei. Multics ha aperto la strada alla memoria virtuale, al supporto multiprocessore, alla crittografia, alle API grafiche e al networking. (Non aveva "migliaia di driver", ma i driver di dispositivo in Multics non potevano annullare la sicurezza.)

(Come so questo: ho lavorato su Multics per 16 anni e la sicurezza del sistema operativo per l'industria e il governo per molti altri ancora.)

Ci sono almeno alcune prove che usano sistemi operativi personalizzati. Le ultime macchine Multics sembravano gateway NSA su Internet . Concederò che Multics è solo questo lato di un "sistema operativo personalizzato", e non proprio un sistema operativo personalizzato. Il seminale di Fred Cohen del 1984, Computer Viruses - Theory and Experiments menziona un "Bell-LaPadula Based System" in esecuzione su un Macchina Univac 1108, nella sezione 5, Esperimenti con i virus informatici . La descrizione del sistema sembra volutamente vaga. Suona anche su misura, e chi, se non un governo, si preoccuperebbe abbastanza di fare Bell-LaPadula?

C'è qualche uso di ose per scopi speciali. Ad esempio, c'è STOP che è in circolazione da molto tempo, ed è stato svid (forse in questi giorni?) Conforme e generalmente mirato alla conformità b3. Esistono multics e ci sono molti sistemi b1.

Immagino che voi ragazzi non stiate guardando molto duramente o stiate cercando di pensare che siamo ingenui. Il governo usa ancora DARPA UNIX. Inoltre, per proteggere le sue comunicazioni aeree e di sicurezza, l'USAF ha inventato e sviluppato l'OS temprato T.E.N.S. Non sono sicuro che il nostro governo sarà in grado di passare attraverso sistemi operativi altamente compartimentati come Kali, Cubes R4 o Tails, ma le molteplici crittografie e complicazioni sono tali che sono nella sezione "naso sanguinante" dello stadio. Tutti sono terribilmente difficili, tranne che per i programmatori di livello Snowden e per i suoi simili. I veri geni come Joanna Roskoff sono, sembra, lontani dal gioco. Snowden approva Cubes R4, anche se non so se lo usa. Per te che sei avventuroso e vuoi solo divertirti con i geekie, darei una prova agli altri. Un sacco di tutorial.