11-11 hakkındaki 7 soru ve cevabı

Öncelikle resmi olarak kendimize ait güvenli işletim sistemimizi ağ aygıtları, endüstriyel kontrol sistemleri ve IoT cihazlar için çıkarttık. Bu işletim sistemi ilk olarak 11 Kasım’da düşünüldü; bu yüzden kod ismi olarak 11-11 verdik. Geliştirme aşaması çok uzun sürdü: 14 yıl sonra gerçek senaryolara karşı da test ettik.

Ve bayanlar baylar, oley! Bugünleri ifade edebileceğimiz en iyi şey kesinlikle bu, OLEY!

Niye mi?

Öncelikle resmi olarak kendimize ait güvenli işletim sistemimizi ağ aygıtları, endüstriyel kontrol sistemleri ve IoT cihazlar için çıkarttık. Bu işletim sistemi ilk olarak 11 Kasım’da düşünüldü; bu yüzden kod ismi olarak 11-11 verdik. Geliştirme aşaması çok uzun sürdü: 14 yıl sonra gerçek senaryolara karşı da test ettik. Şimdi tüketime hazır tüm ilgili birimlere çeşitli senaryolar için konuşlandırılabilir.

Tüm gerekli detayları paylaşacağım ancak teknik açısından göz atmak isterseniz şuraya tıklamalısınız. Şimdi en çok sorulan sorulara ve yeni işletim sistemi hakkında ortalıkta dolanan söylentilere cevap verelim.

Niye başka bir Linux’a ihtiyaç duyasınız?

En çok sorulan sorulardan biri. Cevap son derece basit ve düz: Bu Linux değil. Gerçekten, Linux ile hiçbir alakası yok. İçerisinde bulunan tek bir satır kod bile Linux kodu değil. İşletim sistemini sıfırdan, farklı uygulamalar ve kullanım amaçları için yaptık.

Linux, Windows ve macOS için en önemli şey uyumluluk ve evrensellik. Geliştiriciler uygulamayı basitleştirmek ve yaygınlaştırmak için ellerinden gelenleri yaparlar. Ama konu hedef kitlemiz olduğunda (donanım geliştiriciler, SCADA sistemleri, IoT, vb.), bu yaklaşım hiçbir işe yaramaz: Buradaki en önemli şey güvenliktir.

Güvenli bir ortam oluşturmak adına, varsayılan olarak, küresel Defult Deny‘ı işlem seviyesinde aktif etmeli ve mikroçekirdeğe uyarlamalıyız. Daha basit anlatmak gerekirse, sadece verilen emirleri yerine getiren ve başka bir şeye izin vermeyen bir sistem. Diğer işletim sistemlerinde bu imkansız.

Ayrıca, bu fonksiyonel sisteme güvenlik mekanizması kurmak mümkün. İşin özü, bu bizim temel işimiz. Yaptığımız bu şey birçok uygulama için yeterlidir. Buna rağmen, bazı uygulamalar için en ufak siber tehdit bile son derece kritik olabilir. Güvenlik sağlandıktan sonra, yeni bir şeyler üretmeliydik, tasarımından dolayı güvenli olan bir şey.

Hadi ama, güvenli bir işletim sistemi yeni bir şey değil! Bunu farklı kılan şey ne?

Aslında tamamen yeni bir şey yarattığımızı iddia etmiyoruz. Tabi bugüne kadar başka güvenli işletim sistemleri yapılmaya çalışıldı. Hatta bazı projeler başarılı dahi oldu, ancak bunların maliyeti hemen hemen bir uçak maliyetindeydi (Ve bu sistemler uçaklarda kullanıldı). Bu projeler hiç yaygın şekilde kullanılmadı.

Diğer projeler genellikle akademik araştırmalar ile sınırlandırılmıştı. Diğer bir deyişle, bir grup dahi kendi mikro çekirdeğini oluşturabilir ve bunu şampanya eşliğinde yüksek sınıflı insanlara tanıtabilir. Hiçbir proje tam ölçekli olarak uygulamaya ve ticaret aşamasına gelmedi. Ancak fonksiyonel bir cihaz motoru ile bitmez; tekerlekleri olmadan, direksiyonu olmadan ve diğer önemli parçaları olmadan işe yaramaz.

Sistemi, farklı alanlarda da kullanılabilecek şekilde tasarlamaya karar verdik. Böylelikle uygulamalara göre farklı düzeylerde izinler tanımladık. Temel olarak üç farklı ürün oluşturduk. Bunlar; OS (KOS), Bağımsız Güvenli Hipervizör (KSH), ve OS bileşenleri arasında güvenli etkileşim için özel bir sistem (KSS). Bu işletim sistemleri, uygulamalara bağlı olarak kendi başlarına da çeşitli zorlukları da aşabiliyorlar.

Örneğin, Alman şirketi SYSGO, KSS ürününü kendi işletim sistemlerinde kullanmak için lisansladı – PikeOS. Bazı firmalar ise sadece Hipervizör (KSH)’den etkilendirler, çünkü halihazırda kullandıkları uygulamaları modifiye etmeden güvenle çalıştırabilmelerini sağlıyor. Ancak Kraftway switchlerinde , bu seviyede entegrasyon yeterli olmadığından, tüm işletim sistemi değiştirildi.

Diğer bir deyişle, işletim sistemimizin en önemli avantajı ulaşılabilir ve pratik olmasıdır; genel varsayımsal senaryolardan öte amaca yönelik geliştirilmiştir.

İşletim sisteminin sadece beyaz listeye alınmış uygulamaları çalıştırdığınızı nasıl kanıtlayabilirsiniz?

Doğal olarak, temelinden güvenli olduğunu söylediğimiz ürünümüzün güvenliliğinden şüphe duyanlar oldu. Bu kesinlikle siber güvenlik dünyasında anlaşılabilir bir olaydır.

İşletim sistemimizin mimari tabanı, nesneleri mümkün olduğu kadar çok sayıda parçalara bölmeye prensibine dayanır. Kullanıcılar belgelenmemiş bir yetenek bulunup bulunmadığını kodlarından inceleyebilir. Gerisi, gerçek anlamda her ufak şeyi doğrulamak için tasarlanmış çeşitli güvenlik politikaları biçiminde müşteri ile birlikte yapılandırılmıştır.

Sistem sadece yapmasını istediğiniz şeyleri yapacak. Böylece, suçlular işletim sistemi için yapılmış olan uygulamada bug olsa dahi bu durumu çıkarları için kullanamayacaklar. Elbette, birçok hata içeren bir kod yazabilirsiniz. Ancak kodun çalışabilmesi için hangi kodun yapıp yapamayacağını belirten sıkı politikalara uyması gerekir.

Gerçekten her şeyin bu işletim sistemi üzerinde çalışacağını mı düşünüyorsun?

Evet, çünkü sistemimiz son derece esnek! Genel olarak, pazara sunulabilecek bir ürün olabilir ancak bunun için daha fazla zaman ve kaynak gerekli. Şimdilik planlarımız arasında bu yok ve ürünümüzü boşluk doldurma olarak görüyoruz.
Ayrıca şunu da unutmayın, üçüncü parti kodları işletim sistemine eklemek mümkün. Çözümümüz bir güvenli hipervizör içeriyor, bu da müşterilerin herhangi bir işletim sistemini konuk işletim sistemi ve özel uygulama gibi (Apache sunucusu çalıştıran Linux gibi) çalıştırmasına olanak sağlıyor.

Evet, eğer bu sunucuyu alırsak, birçok izole parçalara bölersek ve her birinin birbiri ile nasıl iletişime geçeceğini politikalar ile belirleseydik, daha yüksek güvenlik seviyeli bir çözüm elde ederdik. Ama bu gerçekten çok fazla iş demek. Aynı zamanda, yeteri kadar cesaretiniz ve kaynağınız varsa, her şey mümkündür 

Bu yüzden, Hipervizörde özel uygulamaları etkinleştirdik. Evet, başlangıçta güvenli işletim sistemi ile güvensiz özelleştirmeyi alacağız. Bu düzenlemenin içerisinde olan her şey belirsiz kalacak. Ama donanımı sayesinde diğer özelleştirmeler ve dış dünya ile etkileşimlerini kontrol edebileceğiz. Bu bile başlı başına çok büyük bir şey. Böyle bir ayarlama ile, sandbox’tan kaçabilmek pek olası gözükmüyor.

Hadi ama, veriyi zaten düzeltecek

Çekirdek hiçbir şeyi hiçbir yere iletmez – kaynak koda bakılarak bu kolayca kontrol edilebilir (yukarıda bahsetmiştik). Pratikte çekirdek içerisinde hiçbir şey bulundurmuyor. Tüm sürücüler izole şekilde tutuluyor. Yani bir veri transferi için, başka bir satır kod yazılmalı. Oldukça açık bir şekilde görülecektir – görmek için kaynak koduna bakmanız bile gerekmez. Tüm bunların hepsi güvenlik politikalarında yazılı. Kullanıcılar da kod ne olursa olsun istedikleri zaman bu politikaları denetleyebilir. Eğer politika veri göndermek adına hiçbir ilke içermiyorsa, sistem bunu yapmaz.

Bu işletim sisteminin maliyeti ne

Dürüst olmak gerekirse, o kadar zaman geçti ki tam olarak şu kadar paraya mal oldu diyemem. Dolayısıyla kullanacaklar için maliyeti tamamen değişken. Ayrıca olayın bir de şu boyutu var, bu işletim sistemi kutuyla satılacak, alınıp kurulacak bir şey değil. Bu özel bir proje.

Dediğim gibi, herkese çözüm olacak kutulu bir ürün satmıyoruz. Onun yerine bunu sağlayacak bayilerle ve geliştiricilerle iş birliği içinde olacağız. İhtiyaçlara bağlı olarak kod ve sistem ayarlanmasına yardım sağlıyoruz. Sonuç olarak, çözümün maliyeti istenen hizmete ve uygulamalara göre değişkenlik gösterir.

Her şey hacklenebilir, bu işletim sistemi için bir ayrıcalık yok!

Haklısınız, hiçbir cevap mükemmel değildir – 42 hariç! (Bu espriyi anlamanız için Otostopçunun Galaksi Rehberi filmini izlemeniz lazım – pişman olmazsınız ) Her şey olabilir. Ama bu pes etmek için sebep değil! Siber güvenliğin temeli, siber suçluların işini mümkün olduğu kadar zorlaştırmak ve bu işten para kazanamamalarını sağlamaktır. Bu bağlamda, işletim sistemimiz baya başarılı.
Şimdilik bu kadar. Lütfen sorularınızı sosyal ağlar üzerinden sorabilirsiniz. Ayrıca detaylı bilgi almak için tıklayın.

İpuçları