8/22/2011

Lightweight Portable Security (LPS) - Linux от US Department of Defence на страже немеркнущей демократии

Недавно™ был анонсирован весьма примечательный дистрибутив под названием Lightweight Portable Security (LPS). В этом не было бы ничего особенного, ибо БолгенОСы появляются каждый день пачками. Но это не тот случай: новый дистрибутив одобрен не кем-нибудь, а US Department of Defence. То есть этот дистрибутив Linux кошерен для суровых американских вояк. И что самое приятное, его можно совершенно невозбранно скачать с довольно занятного адреса, оканчивающегося на dod.mil. Небольшой обзор его предлагается далее.


Зачем оно надо?
Дело в том, что в отличие от разных народных ополченцев, американские вояки подходят к своему делу, как правило, основательно. То есть не просто "возьми с полки какой-нибудь ляликс", а есть отобранный и проверенный свой, в котором, к тому же, есть разные нужные простому бойцу утилиты вроде шифрования и ssh. То есть такой дистрибутив есть собрат по оружию всяким там Редхатам с триколором и медведями. И хотя дистрибутив только проходит обкатку и наполнение утилитами, выглядит вполне сурово и пользоваться им можно.

Дистрибутив, собственно, создавался для того, чтобы можно было вытаскивать с компьютеров документы и не оставлять никаких следов. Так же он планируется для работы с web-сервисами и rpd из небезопасных мест. Загружаемся с него, копируем на защифрованные флешки нужные документы, отмонтируемся и всё. Никаких следов. Отсюда и несколько минималистичный интерфейс, в отличие от того же Кноппикса.

Зажигайте, Киса, спички, а я его сейчас вскрою!
Для обзора был взят VirtualBox и запущен с выделением эмулятору 700 Мб памяти. Это важно, так как при недостатке памяти дистрибутив не запустится - есть подозрение, что он копирует образ в память целиком, а образ довольно большой. Кроме того, LPS подразумевает параноидальную безопасность: чтобы на компьютере врага ничего не тронуть и не оставить никаких следов.

Запускаться может довольно долго. Перед собственно загрузкой среды спрашивает, типа согласны ли вы на отгрузку всех своих данных в ЦРУлицензионные условия:


После запуска перед нами предстаёт понятная графическая оболочка, довольно тщательно подогнанная под Windows, чтобы рядовой состав не смущать, выполнена намного лучше, чем у некоторых.


Так как дистрибутив новый, утилит в нём не очень много. Есть SSH, RDP для подключения к Windows-машинам, несколько утилит шифрования-дешифрования данных.


Сетевые утилиты не тестировал в реальной сети, так как VirtualBox доступ в сеть дан не был - мало ли, от греха подальше...

Сам сайт весьма колоритен. Например, там можно записаться на курсы Reverse Enigneering, попроситься на американскую военную базу и вообще почитать о том, что волнует умы стражей демократии.

Кроме графического интерфейса, имеется довольно свежее ядро 2.6.27.56 и Огнелис в качестве браузера по умолчанию. В браузере, кстати, идеологически выдержанные закладки: Министерство Обороны, ВВС, Армия, ВМФ... Сразу чувствуется, откуда ветер дует.
Если судить по устройству каталога /etc, то дистрибутив, скорее всего, основан на Debian. В качестве графической оболочки используется милый сердцу автора IceWM. При загрузке вся работа идёт от рута. Других пользователей в системе нет. Ни компилятора, ни утилит по управлению софтом в дистрибутиве обнаружить не удалось.

Примечательна утилита Ecnryption Wizard, которая может шифровать и дешифровать файлы. Написана на Java и имеет минималистский интерфейс, но для вояк это по ходу пьесы одна из главных возможностей дистрибутива:

Encryption Wizard (EW) is a simple, strong, Java file and folder encryptor for protection of sensitive information (FOUO, Privacy Act, CUI, etc.).


Естественно, что такая утилита запустится везде, и на Windows, и на Mac, и на Linux со всякими Solaris. За этим простеньким интерфейсом скрывается:

  • 128-bit AES encryption,
  • SHA-256 hashing,
  • searchable metadata, archives, compression, secure deleting,
  • PKI/CAC/PIV support.
Является уникальным, не имеющим аналогов в мире™, изобретённым и поддерживаемым продуктом (в оригинале: EW is GOTS - Government invented, owned, and supported software).



Где наливают?
На официальном сервере американской военщины можно скачать версии:
- для прожига на CD
- для заливания на USB-флешку.
Никаких паспортов, официальных запросов и разрешений не требуется, как и невменяемых денег за одну копию - просто скачиваем и наслаждаемся.


Заключение
Прежде, чем начать писать комментарии в стиле "да я из своей уютной Убанты\оптимизированной до синего пламени Генты\няшного Арчика сделаю в сто раз лучше" - помните, что сделанное вами это личное творчество, а одобренное американскими вояками для самих же себя, любимых, это совсем другое дело.

Так что если Анонимусу в дистрибутиве что-то не нравится, он может написать всё, что он о нём думает, по адресу ATSPI_Outreach@wpafb.af.mil и к нему прилетят чёрные вертолёты воинов демократии может быть что-нибудь ответят.

Пока что LPS богатством утилит не блещет, но это только начало и в будущем обещают дальше, больше и сильнее. Так что если хочется параноидальной секурности и железобетонной безопасности, можно смело скачивать дистрибутив и допиливать его до желаемого состояния. Ну и нескучные обои с логотипами всяких суровых военных организаций принуждения к демократии будут радовать глаз и внушать страх врагам.

9 комментариев:

  1. Михаил, как так "довольно свежее ядро 2.6.27.56"? Уже давно есть 2.6.39, да и 3.0.0 давеча обмывали. Это усиливает догадку, что основан дистрибутив на Debian, что в плане надёжности представляется вполне разумным. Я так полагаю, что с его помощью предполагается безопасная пересылка документов наивысшей секретности? Хотелось бы как раз об этом и узнать из обзора. Выходит, что как бы дистрибутив есть, но о цели создания и использования надо додуматься самому.

    ОтветитьУдалить
  2. Огромное спасибо за столь качественный обзор! У меня есть лишь несколько орфографических замечаний:
    1. "В браузере, кстати, иделогически выдержанные закладки" - может, идеологические?

    2. Повтор: "Если если судить по устройству каталога /etc".

    3. "и на Windows, и на Mac, и на Linux со всякиим Solaris"

    ОтветитьУдалить
  3. 4. (заметил после повторного прочтения) поменяны буквы в слове "дистриубтиве" (видно, спешили при наборе)

    ОтветитьУдалить
  4. @iv_vl комментирует...
    Михаил, как так "довольно свежее ядро 2.6.27.56"? Уже давно есть
    Ну так я и написал, что "довольно" свежее. То есть по меркам отпетых дебианщиков типа меня - свежак, муха не сидела :-) Пользуюсь 2.6.21RT и не не жужжу.

    Это усиливает догадку, что основан дистрибутив на Debian, что в плане надёжности представляется вполне разумным.
    Дистрибутив для вояк, им распоследние глюки в ядре не нужны.

    Я так полагаю, что с его помощью предполагается безопасная пересылка документов наивысшей секретности?
    Собственно, мопед-то не мой, я просто разместил объяву (С) :-)
    На сайте у них сказано только о том, что это для аудита сетей и вытаскивания документов без следов, оставляемых на скомпроментированной машине. Может и для пересылки тоже.

    Хотелось бы как раз об этом и узнать из обзора.
    Думал, что это из обзора и следует. Не в розовые же тетрисы они там собираются на нём играть...

    Выходит, что как бы дистрибутив есть, но о цели создания и использования надо додуматься самому.
    Добавил в пост, кстати. Но в общем о назначении можно догадаться уже хотя бы по адресу загрузки dod.mil.

    @Vlsu комментирует...
    Огромное спасибо за столь качественный обзор!
    Пожалуйста. Обозревать там в общем особенно нечего, просто мне показалось интересным. Это в общем такое скрытое сравнение с МСВС, причём не в его пользу.

    У меня есть лишь несколько орфографических замечаний:
    Аффтар усигда гатов паправить сваи ашыпки :-)


    1. "В браузере, кстати, иделогически выдержанные закладки" - может, идеологические?
    Имелось в виду выдержанные в идеологически правильном стиле.

    2. Повтор: "Если если судить по устройству каталога /etc".
    О, мерси! Исправлено.

    3. "и на Windows, и на Mac, и на Linux со всякиим Solaris"
    Подебажено.

    4. (заметил после повторного прочтения) поменяны буквы в слове "дистриубтиве" (видно, спешили при наборе)
    Пост писался на двух ноутбуках (дома и на работе), текст писался по кускам, потом вставлялись картинки. Написать всё сразу без ошибок не выходит. Тем более, что на моих ноутбуках нет кириллицы на клавиатуре и спелчекера.

    Спасибо за ценные правки!

    ОтветитьУдалить
  5. всегда удивляло почему всё от root'а ?

    ОтветитьУдалить
  6. @ilardm комментирует...
    всегда удивляло почему всё от root'а ?
    Я так понимаю, чтобы рядовой состав не сильно смущать. И потом, это загрузочный LiveCD а не рабочая система, там это уместно. Я сам когда работаю с Кноппиксом, всегда держу рутовую консоль или сразу вхожу от рута. Так проще и удобнее, ибо я знаю, что делаю.

    ОтветитьУдалить
  7. Вопрос из зала. А как можно узнать, раздают ли они тот же самый образ, который сами используют, или же без «паспортов и официальных запросов», всему интернету — специальную «улучшенную» версию, с ценными добавлениями? Да и вообще, где исходники?

    Автор обзора, кажется, сам этой поделке не очень доверяет («VirtualBox доступ в сеть дан не был»), а другим советует («если хочется параноидальной секурности и железобетонной безопасности, можно смело скачивать дистрибутив»).

    ОтветитьУдалить
  8. @Сергей комментирует...

    Вопрос из зала. А как можно узнать, раздают ли они тот же самый образ, который сами используют, или же без «паспортов и официальных запросов», всему интернету
    Ну, не знаю, написать им на электропочту. Да и потом, там особо скрывать-то нечего.

    Автор обзора, кажется, сам этой поделке не очень доверяет («VirtualBox доступ в сеть дан не был»)
    Это я на самом деле ради красного словца :-)
    По факту, это обычный ляликс, с IceWM и закосом под винду. Весь смак в том, что это вояки для себя сделали.

    а другим советует («если хочется параноидальной секурности и железобетонной безопасности, можно смело скачивать дистрибутив»).
    Это ты тонко поддел автора, надо сказать :-)

    ОтветитьУдалить
  9. На самом деле кто там проверял что там под капотом? Все от рута, логов нет. ... для анонимности очень сомнительно.

    ОтветитьУдалить