Ставка только на Линукс — это ошибка
Данная статья представляет собой исключительно личное мнение автора
Мы знаем, что линукс является самым популярным семейством операционных систем (ОС) с открытыми исходными текстами, лидирует среди серверных ОС, а также принят в качестве основы для импортозамещения в области настольных операционных систем.
Я уверен, что это большая ошибка и постараюсь это доказать.
Реальная безопасность Линукса в картинках (18+)
Ещё несколько лет назад я, не имея на тот момент никакого отношения к ИБ, заметил, что в линуксе многовато уязвимостей и у них слишком уж долгие сроки жизни. В 2022 году нашёлся повод потратить пару часов и составить вот такую картинку.
Из неё следует, что на протяжении почти 15 лет (с 2008 по 2022) можно было поднять полномочия обычного пользователя до администратора (root) в широком спектре линукс-дистрибутивов, если знать, как это сделать. То есть, для посвящённых в тайны, система разграничения прав в Linux была только бутафорией. В том числе, уязвимости с этой картинки закрывали и в российских ОС, включая знаменитую «Aстру». «Миллионы глаз», которые, по легенде, постоянно изучают исходные тексты Линукс, сертификация, внутренняя работа специалистов компании по поиску ошибок, нанятые белые хакеры — всё это не помогло. Можно ли было эти уязвимости проэксплуатировать именно в «Aстре»? Этот вопрос покрыт мраком. Думаю, специалисты по Астре имеют ответ, так как у Астры есть дополнительные «наложенные средства безопасности». Однако тот факт, что они признавали факт уязвимости, остаётся — в этом можно убедиться на сайте БДУ, https://bdu.fstec.ru/ . Кроме того, они накладывали заплатки, чтобы закрывать некоторые из этих уязвимостей (см. бюллетени безопасности этой ОС). Нет дыма без огня, как говорится. Часть из уязвимостей на графике обнаружена и в других российских линуксах, которые не могут похвастаться такой же продвинутой встроенной защитой, как «Aстра». С данной картинкой автор пытался выступить на российской конференции «OS DAY 2022», которая была как раз посвящена «технологическим основам безопасных операционных систем». Оргкомитет (в котором присутствовали представители аж трёх российских дистрибутивов Линукса), почему-то счёл доклад не соответствующим тематике конференции. Пожалуй, автор согласен с оргкомитетом: когда и без всякой науки проблемы с безопасностью, мягко говоря, на практике видны невооружённым глазом, то на научно-практической конференции с таким докладом делать нечего. Может быть, автору надо было с этой картинкой обращаться не на конференцию, а еще куда? Напишите, пожалуйста, ваши мнения в комментариях. Жаловаться автор поленился, но картинка осталась. Спустя несколько месяцев выяснилось, что уже в 2021 году разработчики ядра Linux сами составили подобную картинку (см. https://outflux.net/slides/2021/lss/kspp.pdf):
На большом фактическом материале показано, что «критическая или высоко опасная» уязвимость в ядре Линукс живёт в среднем 5 с половиной лет. Среди мер преодоления проблем упоминается удаление из ядра Линукс языка Си, к чему мы ещё вернёмся.
А ты кто вообще такой?
Давайте попробуем для обретения почвы под ногами немного подумать о том, как вообще нужно принимать решения о стратегии импортозамещения. Также я поделюсь своими фантазиями о том, как решение принималось в действительности. Чтобы было понятно, на момент написания статьи мне 49 лет, я начал программировать где-нибудь в 6 классе, начитавшись журнала «Техника-Молодёжи». Первым моим языком программирования были машинные коды калькулятора БЗ-34 (в нём порядка 100 байт оперативной памяти и нет ничего, подобного жёсткому диску — программу нужно набивать заново после каждого включения), а программы я сначала писал на бумаге, т. к. калькулятор появился далеко не сразу. После окончания мехмата МГУ работаю программистом, по сей день. Больше половины моих проектов, сделанных за деньги, касались автоматизации учёта, написаны в одиночку и завершались успешным внедрением. Линукс я впервые установил на работе где-то в 1997 году (и его тут же взломали, но об этом я узнал не сразу). Исходя из жизненного опыта, триумф Линукса в России мне видится как-то следующим образом:
Моя легенда про историю триумфа Линукса в России
Юникс-подобные системы завоевали популярность в качестве серверных систем на Западе, когда я ещё не имел отношения к компьютерам. Среди них Линукс выгодно отличался своей бесплатностью. Кроме того, в нём заложена коммунистическая идея о том, что исходные тексты должны принадлежать народу. Поскольку корпорации неиллюзорно угнетали своих пользователей, коммунистическая идея пришлась по вкусу западным технарям. В пост-советской России коммунизм официально вышел из моды, однако Линукс всё же проник и пустил свои цепкие корни на нашей почве. Соответственно, в голове любителей Линукса может присутствовать как минимум одна из двух идей:
- коммунистическая идея (мы делаем и продвигаем Линукс ради блага всех людей в мире, в противовес алчности капиталистов)
- профессиональная идея (я буду изучать и продвигать Линукс, поскольку он популярен во всём мире и с этим знанием я смогу найти работу в любой стране)
Сколько стоит бесплатный сыр?
Итак, о стоимости решений. Как минимум, нужно рассмотреть два отдельных вопроса:
- сколько стоит сам Linux?
- сколько стоит обеспечить безопасность российских версий Linux?
- сколько стоит перенос приложений и целесообразен ли он?
Все мы знаем, что Linux бесплатен. Но. На серьёзном предприятии вы не поставите бесплатную Дебиан или Убунту — вы заплатите за российский Линукс. Таким образом, Линукс на самом деле не бесплатен. Ниже мы попробуем посчитать, сколько стоит разработка системы масштаба Линукс с нуля.
Второй вопрос: сколько стоит обеспечить безопасность? Что можно здесь сказать? Говорить можно только о решаемых задачах. Мы видим, что весь мир пока не может решить задачу создания безопасного Линукса. Если кто-то утверждает, что это возможно, то он и должен представить оценку стоимости. Если задача не решена, то любые оценки стоимости — это большой риск для того, кто в государственных решениях на них опирается. С тем же успехом можно строить стратегию энергетики на базе термоядерных электростанций, которые ещё не существуют. Мы же посмотрим на один кусочек реальных затрат страны на безопасность Линукса.
Какая надежда на российский «центр по исследованию безопасности ядра Линукс»?
Здорово, что в России недавно создан «центр по исследованию безопасности ядра Линукс». Этот центр, судя по заявлениям на его сайте, будет брать какую-то версию ядра Линукс (на данный момент взята 5.10, выпущенная около 2 лет назад) и на совесть её проверить. Что получается? Линукс нужен всем, но весь мир доселе не мог справляться с уязвимостями в ядре Линукс и они жили по 5 лет (а иногда и по 22 года). А тут вдруг произойдёт прорыв в исследовании безопасности? Здесь автор начинает щипать себя за нос. Что, они возьмут и вот так слёту совершат прорыв в изучении линукса, и ошибки будут жить не пять с половиной лет, а девять с половиной недель? Как-то не верится. Если такие прорывные методы существуют, то почему мы (пока) не видим результатов их применения? Если бы они применялись бы, то не было бы хотя бы одной из двух вышеприведённых картинок. Уважаемые читатели, пожалуйста, расскажите, как решить эту головоломку, если у вас это получится. А пока мы предполагаем, что данный центр не сможет кардинально решить вопрос с безопасностью Линукса или сможет? Моё мнение состоит в том, что данный центр будет в общем и целом использовать те же методы, что и все остальные исследователи безопасности в мире. Некоторые методы (например, фаззинг), крайне дорогостоящие и требуют огромных вычислительных мощностей. Один только кластер для тестирования браузера Google Chrome фаззингом содержит 6000 виртуальных машин, а значит, его стоимость уже сопоставима по порядку величины со всем бюджетом данного центра. При этом Chrome в 2021 году был рекордсменом по найденным уязвимостям, т. е. эти 6000 виртуальных машин не создали прорыва в безопасности Хрома. Таким образом, с введением данного центра вряд ли что-то кардинально изменится в безопасности Linux. Он улучшит среднемировую картинку на проценты. Конечно, это нельзя посчитать, не зная общих затрат мирового сообщества на исследование безопасности Линукса, но это упражнение предоставляется читателю. Пока что мы считаем, что вклад будет малозаметным, исходя из бюджета, и по сути ничего не изменится. А раз так, то считаем по картинкам в начале статьи. Версия 5.10 была выпущена 2 года назад. Считая срок жизни уязвимости в 5 лет, мы на сегодня знаем о 40% уязвимостей этой версии. Остальные 60% активны, неизвестны широкой публике и поэтому представляют собой угрозу. А при том, как сообщается, пользователи Aстра Линукс Спешал Эдишн 1.7 могут уже обновиться до версии ядра 5.15.
Минутка паранойи
Здесь нужно ещё учитывать, с кем мы имеем дело. Я считаю, что каждый гражданин нашей страны должен знать про Crypto AG. Если не знаете — то ознакомьтесь. Коротко говоря, США через подставную фирму в приличной стране продавали подпорченные шифровальные машинки в 120 стран и за счёт этого могли шпионить. Это продолжалось 50 лет. Учитывая, что основные ресурсы для развития Linux предлагают американские организации, следует считать, что уязвимости в Linux — это не ошибки, а целенаправленно внесённые закладки. Мы не просто ищем ошибки в программе, а мы ищем то, что хорошо спрятано. По мере развития методов поиска ошибок будут совершенствоваться и методы их сокрытия. Если мы будем следовать в технологическом фарватере США и копировать их решения, то нам будут всегда созданы такие правила игры, при которых наши системы будут оставаться уязвимыми.
Что дешевле, написать ОС или переносить приложения?
Надеюсь, мне удалось показать, что решение о переходе на Линукс с точки зрения безопасности является тупиковым при сегодняшнем уровне техники. Можно и дальше это детализировать и детали откроются существенные. Например, я не буду рассказывать о том, что заплатки для 0-day уязвимостей сами по себе опасны, а сами мы их делать не можем, потому что основные мощности по нахождению уязвимостей находятся не в нашей стране.
Во всяком случае, будем считать, что можно поставить целесообразность внедрения Линукса под вопрос и хотя бы приступить к рассмотрению альтернативных решений.
Поговорим о стоимости приложений. В России порядка миллиона ИТ-специалистов. Пусть даже каждый десятый из них — программист. Соответственно, вложения труда в разработку программ в России за 30 пост-советских лет составили порядка 3 миллионов человеко-лет. Думаю, не будет большой ошибкой считать, что около половины из них были вложены в программы для Windows. Для многих из этих программ утрачены либо исходные тексты, либо компетенции, необходимые для развития. Перевод этих программ на Linux потребует по сути дела пересоздания программ с нуля и будет иметь сопоставимую стоимость.
Спрашивается, проводил ли кто-нибудь подсчёты этой стоимости? А также, сравнивалась ли стоимость переписывания программ со стоимостью создания Windows-совместимой ОС, в которой эти программы просто будут работать? Давайте я это сделаю: мы только что прикинули, что 1,5 миллиона человеко-лет потребуется на перенос приложений. При этом, сама система Windows XP с 45 млн строк кода имеет трудоёмкость (по COCOMO) порядка 40 тысяч человеко-лет (в 40 раз меньше!). Современный дистрибутив Debian Bullseye со всеми пакетами (включая даже Postgresql и Open Office) укладывается в 1,6 миллиона человеко-лет. Таким образом, если взять голую операционную систему, то она во много раз дешевле переписывания приложений на Линукс, и вполне по карману России, а если взять систему с приложениями — то это сравнимо с переписыванием приложений. То есть, если говорить о цифрах, то целесообразность перехода на Linux не очевидна. Если оценки по COCOMO не вызывают доверия, то могу объяснить совсем на пальцах. Забудем на секунду про Линукс, как будто он исчез. Выяснится, что одни только США создали три независимые линейки ОС для настольных компьютеров: Windows, MacOS, OS/2, и набор приложений к ним. В любом классе приложений всегда есть конкуренция — не менее двух решений, разработанных в США. Значит, и у России (с учётом меньшей численности населения) хватит сил хотя бы на одну линейку из языка программирования, ОС и набора приложений. На самом деле, для создания Windows не был нужен трудовой подвиг всего американского народа. Microsoft — организация среднего размера, возможно, что в каком-нибудь Сбертехе на сегодня работает не меньше специалистов.
Спрашивается, проводились ли подобные подсчёты перед тем, как принимать решение? Мы знаем, что у энтузиастов Линукса есть религиозная догма, мем, о том, что только совместными усилиями всего мира можно создать качественное ПО. Этот мем настолько расхож, что мне понадобились годы, чтобы обнаружить, что я тоже им заражён, и найти в себе силы провести реальную оценку трудоёмкости Линукса и других крупных ИТ-задач. Вероятно, что вместо обоснований с цифрами, решение о переходе на Линукс было обосновано на уровне мемов. Энтузиасты Линукса пошли к начальству и их лица источали такую убеждённость, что им поверили, перенесли убеждённость выше по вертикали власти. И так, постепенно, убеждения отдельных технарей стали официальной религией нашей страны. Но у нас светское государство. Если мы отбросим религиозные соображения, то почему не было решено написать Windows-совместимую ОС хотя бы в дополнение к линуксу? Погуглите, как Аскон «перевёл Компас на Линукс» — по сути дела он ничего не переводил, а доработал Wine с помощью прекрасной российской компании Etersoft. Т.е. Линукс как таковой к делу отношения вообще не имеет, Компас остался программой под Windows. Этот проект уже завершён, а тем не менее ещё несколько лет (за наши с вами деньги) Аскон планирует переводить Компас на линукс «уже по-взрослому», чтобы пользоваться им без Wine. Это просто одна, но прекрасная иллюстрация к тому, как убеждения побеждают экономический смысл. А при том, если вам нужны программы для Linux, то Microsoft создал для этого подсистему WSL. Таким образом, если вам нужны именно программы под Linux, то для этого вам не нужен сам Linux. Тогда почему на него нужно переходить, а не написать свою новую ОС? Если вам кажется, что всё это посильно, но слишком уж дорого и нецелесообразно, то мы уже выяснили, что людей у нас в стране на это хватит. При подсчётах стоимости разработки ОС в рублях бросьте на другую чашу весов стоимость Северо-Восточной хорды в Москве. СВХ — это всего лишь одна автомобильная дорога, которая не является необходимой — в Москве и без неё можно было проехать. А состоятельность и самостоятельность в ИТ отрасли — это вопрос жизни и смерти для нашей страны.
Почему Линукс хронически уязвим?
Что именно лежит в основе безопасности (а точнее, опасности) Линукса? Дальше следует моё субъективное мнение.
Прежде всего, сама по себе идея взять что-то плохое и исправлять его — порочна где-то в самой сердцевине. Можно же, скажем, пойти на помойку, взять там испорченную еду и пытаться её обратно сделать свежей. Можно, но не нужно. У высокого уровня опасности Linux есть вполне определённые причины, и вот их перечень, возможно, неполный:
- написан на Си. Я много лет назад начал призывать публику отказаться от Си. И вот, в 2022 году АНБ США «вдруг» заметило, что из наиболее опасных уязвимостей 70% стали возможны из-за особенностей язык программирования Си (С++ отнесён к тому же классу). То есть — если заменить Си на более безопасный язык программирования (а такие языки существуют), то этих уязвимостей не станет. Линус Торвальдс также допустил внедрения языка Rust в качестве более безопасной замены Си. Заметим, что уже в статье от 2021 (из которой вторая картинка) планировалось отказаться от Си в ядре Линукса.
- язык Баш также лежит в основе Линукса, связывая программы в систему. И этот язык — отдельная катастрофа. Безтиповый, без явного объявления переменных, с массированным применением глобальных переменных и конструкции eval, молчаливо продолжающий работу при ошибке в отдельной строчке. Он нарушает все мыслимые заповеди и гарантирует ненадёжность и низкую производительность труда. Для него нет ни отладчика, ни среды разработки. При том, в истории есть примеры более нормальных языков для этой роли (например, в лисп-машинах или в OS/2), но об этом почти никто не знает.
- написан под руководством Линуса Торвальдса. Было несколько историй, когда Линус Торвальдс проявлял своё отношение к ИБ, и его нельзя назвать слишком трепетным. Как иллюстрация, в одном из случаев он называл ИБ-специалистов «masturbating monkeys» — желающие могут нагуглить весь контекст. Конкретно и без ссылок на высказывани Линуса, известно, что ядро Линукс является огромным монолитом, и многие люди, более компетентные в разработке ОС, чем автор, считают это большой архитектурной ошибкой. Впрочем, это было известно с самого начала.
- много букв. Безопасная система должна быть достаточно простой, иначе она просто непостижима человеком (даже с применением всех современных методов поиска ошибок). Линукс растёт в объёме со скоростью раковой опухоли (найдите статистику по объёмам исходных текстов Debian).
- слишком быстрое внедрение. Вы бы хотели полететь на самолёте, чертежи которого вышли из-под руки конструктора неделю назад? Нет? А вот в случае ПО мы только на таком и летаем.
- сделано в США. Часто утверждается, что уязвимости будут в любой системе, просто в некоторых системах их ищут, а в некоторых — нет. Автор попробовал найти более безопасные системы — и увы. Среди американских не нашлось ни одной заслуживающей доверия. Самым эпичным случаем была уязвимость локального повышения полномочий в VMS, которая оставалась не найденной 33 года! На этом поиск и закончился, потому что о популярных ОС для настольных компьютеров, сделанных не в США, автору неизвестно. То ли они такие криворукие, то ли причина приведена выше в пункте «Минутка паранойи». Кроме США, есть и другие страны. Почти одновременно с языком Си (который лежит в основе всех сколько-нибудь известных современных ОС) в СССР был выпущен «автокод Эльбрус» и соответствующий ему компьютер (название покажется знакомым читателю и это не случайно). В автокоде Эльбрус причины ненадёжности в языках того времени были выявлены и на каждый было предложено решение. Те 70% уязвимостей, которые АНБ считает достаточными для отказа от Си, принципиально невозможны в автокоде Эльбруса. Это было 50 лет назад. Пятьдесят, Карл! Пока автор в порыве чувств не разбил свою голову о стену, нужно успеть плавно перейти к разделу «решения».
Даёшь соцсоревнование!
Итак, что я предлагаю:
- выкидывать Линукс не нужно, но он недостаточен. Зная проблемы, нужно решать их фундаментально, а не черпать воду решетом. Для этого нужно изучить предшествующий опыт и создать альтернативную экосистему из языка программирования, ОС и приложений. А лучше хотя бы две. Нам хватит на это сил — это уже обсуждалось выше.
- Из двух экосистем одна должна быть Windows-совместимой. Эта тема заслуживает отдельной статьи. Если коротко, то обычно стоимость разработки ОС намного меньше, чем суммарная стоимость разработки всех приложений под неё. Посмотрите, какую хромую логику использовала наша страна, взяв за основу Linux: мы около 30 лет писали и использовали приложения под Windows. У нас нет денег написать свою ОС (которая стоит дешевле приложений). Но у нас есть деньги перевести все нужные приложения с Windows на Linux. У автора получилась парадоксальная, нерешаемая система неравенств. Уважаемые читатели, если вы можете её решить, то пишите в комментариях, как это сделать. Например, где можно почитать оценку стоимости перевода приложений на Linux в сумме по всем предприятиям хотя бы ОПК, и сравнение этой оценки со стоимостью доведения до ума того же ReactOS? В 2015 году российское экспертное сообщество уже оценивало ReactOS как перспективную для импортозамещения.
- вторая альтернативная экосистема должна быть суверенной, автономной и нацелена на перспективу. Совместимость с существующими приложениями и стандартами вообще не должна быть в списке целей. Она должна быть создана с нуля с учётом всех ошибок, совершённых индустрией за это время. Давайте возьмём на себя смелость использовать хотя бы Эль-76, как-никак ему уже 50 лет и он имел успешное промышленное применение. Есть и более новые неплохие языки, хотя бы «Активный Оберон» из девяностых. Система должна быть на русском языке и предназначена только для внутреннего использования. Русский язык необходим по двум причинам. Во-первых, выше говорилось о глобализме любителей Линукса. Идейный глобализм во многом свойственен программистам вообще, поэтому патриотично мыслящие программисты нуждаются в охране, как снежный барс или ландыши. Русский язык вызывает у глобалистов стойкую аллергию, поэтому он является фильтром (не идеальным, но и не плохим) для того, чтобы глобалисты не захватили проект и не сменили его цели. Глобалисты просто изначально не пойдут в такой проект и это даст патриотам численный перевес хотя бы внутри коллектива разработчиков. Во-вторых, это чистый прагматизм: на русском языке жителям России работать удобнее, и россияне со знанием русского не столь дефицитны, как россияне со знанием английского. Недаром же голландское морское дело, немецкое машиностроение и основанная на латыни медицина были основательно русифицированы в нашей стране. ИТ в этом отношении отстаёт и это тоже надо преодолевать.
Даже если экосистемы должны быть другими, чем предлагает автор, альтернативы Си и Линуксу нужны, в том числе и новые. Сейчас по сути дела имеется монополия (вспоминаем, что внедрение линукса началось от иллюзорной безысходности). А значит, отсутствует истинная конкуренция. Конкуренция между клонами линукса не является конкуренцией в полном смысле слова. Представьте себе, что какая-то страна в XXI веке имеет 5 конкурирующих авиационных КБ, каждое из которых делает самолёты только из фанеры и только с поршневыми двигателями. Да, автор не упомянул про Rust, Qp OS и ОС Касперского. Однако Rust сделан в США, а две перечисленные ОС написаны на Си и Си++, т. е. не соответствуют предложениям автора и рекомендациям АНБ США.
Будяк Д.В., январь-март 2023
Possibly Related Posts:
- В эфире Antimalware Live эксперты обсудят безопасную разработку
- II Всероссийская научная школа-семинар «Современные тенденции развития методов и технологий защиты информации»
- Кибербезопасность умных городов: вызовы, проблемы, решения
- XVI Международный форум по международной информационной безопасности
- Инновационное взаимодействие ведущих кафедр передовых вузов и индустриальных партнеров по информационной безопасности и кибербезопасности!
