Разработчики платформы Альт традиционно рассматривают ОС как платформу для разработки и внедрения приложений, которые вместе с ОС составляют совместные готовые решения. Задача обеспечения совместимости предсказуемым образом решается, но для совместных решений существуют проблемы снижения их общей надёжности и защищённости из-за недостаточной степени интеграции совместимого ПО в платформу. Что выражается в игнорировании системных механизмов, используемых другими компонентами платформы и охваченных соответствующими технологическими регламентами. В результате совместное решение неожиданно оказывается выключенным из обязательных технологических процессов, что и приводит к падению надёжности, общей производительности и защищённости системы.

На сегодняшний день существует актуальная проблема – как инструментально поддержать и обеспечить сертифицируемость разработки надёжных и критичных по безопасности сложных систем. Важным аспектом подобных разработок является создание сертификационного пакета. В докладе из процесса управления конфигурацией выделены критерии для выбора или создания инструментального средства поддержки жизненного цикла разработки. Соблюдение принципов процесса управления конфигурацией позволяет обеспечить требуемые качество и надежность продукта, его сертифицируемость и необходимый уровень доверия к безопасности, контролировать разработку, а также снизить финансовые и временные затраты.

Традиционные сборщики мусора не подходят для среды, которая не предполагает обязательного останова приложений и имеет общее для всех приложений гигантское адресное пространство. В этой ситуации категорически недопустим сколь нибудь длительный останов всех нитей и требуется обслуживание объектного пространства, подавляющая часть которого выгружена на диск. Предлагаемый метод базируется на доступности полного снапшота состояния объектного пространства и полного контроля над указателями со стороны среды исполнения. Метод включает в себя два алгоритма - быстрый и неполный и медленный со 100% освобождением мусора.

Доклад посвящен применению инструментов статической верификации для поиска нефункциональных ошибок в исходном коде системного программного обеспечения. В докладе будет представлен метод модульной статической верификации с интерактивным пошаговым уточнением и его реализация в системе статической верификации Klever. О результатах практического применения докладчик расскажет на примере поиска ошибок в модулях и подсистемах ядра Linux и приведет результаты первых экспериментов по верификации другого системного программного обеспечения.

STACKLEAK - это функция безопасности ядра Linux, изначально разработанная специалистами Grsecurity/PaX. Александр решил довести STACKLEAK до официального ванильного ядра (Linux kernel mainline). В докладе будет рассказано о внутреннем устройстве данной функции безопасности и ее свойствах.

STACKLEAK защищает от нескольких классов уязвимостей в ядре Linux, а именно:
1. сокращает полезную для атакующего информацию, которую могут выдать утечки из ядерного стека в пользовательское пространство;
2. блокирует некоторые атаки на неинициализированные переменные в стеке ядра;
3. предоставляет средства динамического обнаружения переполнения ядерного стека.

Данную работу Александр ведет уже год. Он поделится своим опытом взаимодействия с сообществом разработки ядра Linux.

В докладе приводится анализ моделей и методов оценки надежности технических и программных средств. Отмечается, что теории надежности технических средств возникшая в рамках теории массового обслуживания систем и повлияла на развитие надежности компьютерных систем и программного обеспечения. Теоретики изучая природу ошибок функционирования таких систем разработали более 100 математических моделей надежности, учитывающих ошибки, сбои, отказы и дефекты возникающие в системах на первых и последующих поколениях ЭВМ. В результате надежность систем сформировалась как самостоятельная теоретическая и прикладная наука.

Живая синхронизация данных является важным инструментом при построении надёжных, высокодоступных и масштабируемых информационных систем. В данном докладе будет рассказано об инструменте синхронизации данных файлового уровня clsync, будут приведены некоторые примеры его использования и рассмотрена архитектура приложения, разработанная для обеспечения надёжности и безопасности в широком спектре реальных задач.

2012 год оказался поворотным в истории the GNU C library - ключевой для GNU/Linux и GNU/Hurd библиотеки, ведущей свою историю с 1987 года. С уходом главного разработчика Ульриха Дреппера, в течение многих лет развивавшего проект в авторитарном стиле, glibc разрабатывается и поддерживается сообществом активных (и не очень) мантейнеров, а решения по спорным вопросам принимаются (или откладываются) через достижение консенсуса. О прошлом, настоящем и будущем the GNU C library рассказывает релиз-менеджер текущей версии glibc 2.27.

В докладе рассматриваются проблемы создания драйверов графических ускорителей, которые являются важной составной частью современных операционных систем. Трудность заключается не только в сложности данных аппаратных частей, но и в нежелании производителей графических ядер открывать документацию. Доклад основан на опыте полученном в процессе разработки графического 3d стека для ускорителей компании Vivante для открытой ОСРВ Embox. В ходе работ были использованы открытые проекты Mesa3d, Etnaviv, LibDRM.

Современные встроенные приложения часто имеют особые требования к надежности, которые диктуются областью применения. Использование ОС общего назначения для подобных систем зачастую несет определенные риски, так как они ориентированы, прежде всего, на достижение максимальной производительности в общем случае.

Компания Эремекс разрабатывает линейку встраиваемых операционных систем, предназначенных для использования в системах реального времени повышенной надежности. При проектировании этих ОСРВ во главу угла ставились прежде всего соответствие критериям реального времени и максимальная изоляция кода с различным уровнем ответственности, поэтому поддерживаются такие технологии обеспечения надежности как резервирование ресурсов, перезапуск по ошибке и т.п. В состав линейки продуктов входят как ОС для микроконтроллеров, так и ядро, предназначенное для использования более функциональных микропроцессорах с поддержкой технологий защиты памяти. Особое внимание уделено также вопросам защиты встроенных приложений работающих в микроконтроллерах. Все ОСРВ Эремекс реализуют общее подмножество интерфейсных функций, что позволяет переносить приложения между различными классами устройств, а также снижать расходы на портирование и сокращать время выхода на рынок.

В докладе будут рассмотрены продукты Эремекс, а также их ключевые особенности для обеспечения надежности встроенного ПО.

На протяжении всех лет разработки операционной системы QP ОС вопросам надёжности и живучести системы уделялось самое пристальное внимание. Каждый компонент системы разрабатывался исходя из предпосылок возможного наличия ошибок аппаратного и программного окружения. Как следствие, операционная система QP ОС стартует практически на любых компьютерах с архитектурой x86/x64. Об этом свидетельствует метод предоставления операционной системы на тестирование на флеш-накопителе. Флеш-диск с операционной системой загружается и функционирует как на стандартных рабочих станциях, так и на мощных вычислительных серверах.

Создание надежных беспилотных летательных аппаратов (дронов) - важная задача в развитии науки и техники, ведь такие беспилотники могут быть использованы как в реализации задач цифровой экономики, так и при защите безопасности. В данном исследовании предполагается сборка дрона из дешевых комплектующих с целью получения прототипа аппаратной части и разработка программного решения полётного контроллера с увеличенными требованиями надежности, который будет в какой-то мере отвечать стандартам программного обеспечения авионики ARINC 653, решать задачи удаленного управления и автопилотирования, использовать существующие программные наработки с открытым исходным кодом, а также служить моделью для преподавания курсов проектирования компонентов операционных систем и верификации программного обеспечения.

В докладе будет проведен анализ существующих дронов, описано решение для самостоятельной сборки состоящее из рамы, четырех полётных двигателей и бесщеточных электронных регуляторов хода, компаса, датчика GPS координат и устройство передачи радио-телеметрии и удаленного управления.

Будет описано свободное программное обеспечение Ardupilot (APM), соотвествующий контроллер и будет предложено использование в качестве целевого полётного контроллера платы Raspberry Pi, из-за отличного соотношения цены и производительности, ARM архитектуры, интересной для изучения, возможность реализации сложной логики и подключения периферийных устройств (модули, датчики, камера).

Сегодняшним стандартом надежного программного обеспечения для полётных контроллеров являются партиционированные (partitioning) операционные системы реального времени, которые способны с ожидаемой скоростью реагировать на поступающие от аппаратуры события и разделять процессорное время и память между изолированными рабочими процессами. Хорошим примером такой ОС является POK, которая содержит в своем репозитории пример проектирования системы на основе Ardupilot в качестве рекомендаций. В России на основе POK разрабатывается ОС для реальных летательных аппаратов - JetOS, которая, по сообщениям, уже портирована на архитектуру ARM. В докладе будет рассмотрены вопросы портирования существующего программного кода на партиционированные ОС ARM архитектуры (все на основе открытых технологий).

В докладе будут рассмотрены вопросы обеспечения качества разработки, программной верификации таких полетных систем, приведены примеры проверяемых свойств безопастности и надежности.

X2Go - одна из реализаций технологий терминального досутпа в среде ОС семейства GNU/Linux. X2Go - открытое кроссплатформенное программное обеспечение удалённого доступа к рабочему столу на основе технологий NX NoMachine. Приложение имеет клиент-серверную архитектуру. При работе в терминальной среде часто возникает пробема использования локально подключенной смарткарты. Штатный функционал X2Go не позволяет этого делать. Проведена доработка клиентской и серверной частей сервиса для осуществления проброса смарткарты для работы с ней в терминальной среде.

В работе демонстрируется применение гибридного подхода к верификации отказоустойчивого, адаптирующегося к изменению группы участников алгоритма распределенной блокировки на основе алгоритма Рикарта-Агравала. Для доказательства свойства надежности неотказоустойчивого ядра алгоритма используется формализация в системе доказательств Coq, в то время как оснастка, позволяющая стать алгоритму отказоустойчивым формализуется в TLA+ и проверяется на ограниченной модели. Результатом работы по-мимо расширения алгоритма, доказательств и модели стала реализация описанного отказоустойчивого алгоритма на языке Erlang. Работа также ставит целью продемонстрировать способ использования некоторых современных средств верификации для построения высоконадежных компонент в контексте языка Erlang.

Доверенная загрузка является необходимым элементом для построения вычислительных систем с повышенными требованиями к защите информации и выполняемых программ. В компании "Аладдин Р.Д." разрабатываются доверенный загрузчик и средство доверенной загрузки TSM® для процессоров ARM, а также доверенная среда исполнения с применением технологии ARM Trustzone®. Данный комплекс программ в сочетании с поддерживаемыми аппаратными платформами позволяет получить защищённое решение для доверенной загрузки операционных систем, основанных на ядре Linux (Linux, Android, Sailfish). Решение гибко настраивается под конкретное устройство, не требуя перекомпиляции.

Основными темами доклада станут устройство, функционирование и особенности подхода к реализации средства доверенной загрузки на ARM. Также будут рассмотрены технические решения по обеспечению доверенности исполнения операционной системы.

Обеспечение целостности программно-аппаратной среды является фундаментом, на котором базируются все другие механизмы безопасности операционных систем (ОС). Реализация научно-обоснованных, понятных как для администраторов, так и для пользователей ОС технологий по обеспечению их целостности позволяет использовать другие механизмы защиты (аутентификации, мандатного управления доступом, криптографической защиты и др.), корректность и надёжность функционирования которых будет гарантирована. В этом смысле мандатный контроль целостности можно считать одним из важнейших механизмов, ориентированных на повышение защищенности современных ОС. Результаты его применения можно сравнить с переходом от часто размытых, администрируемых интуитивно правил дискреционного управления доступом к использованию строгих, имеющих научное обоснование правил мандатного управления доступом.

При эксплуатации защищенных систем политика управления доступом часто рассматривается как незыблемая данность. Но в реальной жизни возникают ситуации, когда в системе возникают новые сущности или она подвергается переконфигурированию из-за изменения локальных требований к ней. Это вызывает несоответствие политики изменившейся ситуации, что может повлечь неожиданные и необоснованные отказы доступа, новые, неучтенные ранее ситуации, влекущие утечки защищаемой информации. В этом докладе будут рассмотрены варианты действий по изменению политики управления доступом в системе, которые не будут приводить к потере безопасного её состояния.

В соответствии с законом, информация подразделяется на общедоступную, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа). В свою очередь, информация ограниченного доступа подразделяется на информацию составляющую государственную тайну и информацию, соблюдение конфиденциальности которой установлено федеральным законом (конфиденциальная информация). При работе некоторых учреждений постоянно имеется потребность одновременной работы с информацией, обладающей различными категориями доступа (разнокатегорийной информацией). Например, обрабатывается информация из общедоступных источников сети интернет, используются внутриведомственные документы (ДСП) и документы содержащие государственную тайну. Для решения задачи обработки информации обладающей разными категориями доступа на одном рабочем месте, была выбрана технология тонкого клиента. Главные преимущества такого решения: рабочее место не привязано к локальному компьютеру, а лишь к идентификатору пользователя, упрощается администрирование всей сети, данные хранятся на сервере, а не на локальных рабочих местах пользователей. Предлагаемая архитектура разделяет данные с разными категориями доступа по разным сегментам сети, так называемым «контурам». Однако, при использовании одного оконечного устройства в виде терминального клиента, встаёт вопрос о потенциальной возможности попадания информации из одного контура в другой. Опасность представляют участки памяти системной логики доступные программам, запущенным на терминальном устройстве. Например, в некий системный буфер может попасть секретная информация, которая затем будет считана программным средством, работающим в контуре с доступом в интернет. Поскольку подавляющее, если не стопроцентное, количество микросхем, используемых при изготовлении современных средств вычислительной техники, имеют зарубежное происхождение, то доказать отсутствие таких уязвимостей практически невозможно. Это создает потенциальный канал утечки информации. Частично проблему можно решить за счёт разделения на контура при использовании внутренних средств ОС семейства «Циркон» (использование гостевых ОС). Однако, как показывает практика, контролирующие органы требуют физического отделения оборудования, работающего в контуре интернет контура от контуров, где циркулирует информация, содержащая государственную тайну. Ещё лучше, если контур с информацией ДСП будет также аппаратно обособлен.

В докладе будет представлено описание архитектуры доверия, приведены возможности выполнения требований к обеспечению безопасности значимых объектов критических информационных инфраструктур и рассмотрены реализация на примере телекоммуникационного оборудования.

Сопоставляются архитектуры SELinux и AstraLinux, дается оценка сложности реализации каждого из подходов и рассматривается вопрос сложности построения модели политик безопасности управления доступом, сложность реализации и верификации средств защиты ОС при использовании указанных подходов.

Рассматриваются требования различных уровней профилей защиты ОС и проблемы связанные с реализацией этих требований в альтернативных подходах к построению защищенных Linux-систем.

Описывается опыт разработки и развития ОС AstraLinux в контексте задач сертификации ОС в соответствии с требованиями профилей защиты высокого уровня.

Преподавание базовой (второй семестр обучения) дисциплины «Архитектура ЭВМ и язык ассемблера» требует совмещать в семестровом курсе (52 часа теории + 52 часа практики) широкую фактологическую часть с практическим изучением одного конкретного языка ассемблера. Продуктивная по сути идея (автокод как практическая иллюстрация архитектуры) встречает всё больше трудностей: изучение современного ассемблера (nasm для x86_64) усложнено незначимыми практическими реалиями, изучение устаревшего (MASM для DOS) или модельного — страдает вопиющим расхождением с современностью. Так или иначе, большая часть теоретического материала не имеет практической поддержки. Авторами разработан, предложен и дважды проведён курс, основанный на архитектуре MIPS32 (эмулятор MARS) и классических модельных машинах, в котором сделана попытка поддержать практикой максимально возможный спектр изучаемых тем с автоматической проверкой программной части домашних заданий. В конце доклада обсуждаются возможности дальнейшего развития программной части курса.

В докладе рассматриваются вопросы преподавания базовых знаний по архитектуре ЭВМ, находящиеся за рамками формального документа - Учебно Методического Комплекса. На какие цели должен быть ориентирован курс; как обеспечить минимальный порог входа в тему, с которой основная масса студентов не имеет предварительного знакомства; как найти баланс в подаваемом материале между историей развития вычислительной техники и техническими новинками? Ответы на эти и другие вопросы даются на основе опыта 8 лет преподавания курса "Архитектура ЭВМ и язык ассемблера" на первом курсе ВМК МГУ.

В докладе представлен опыт проведения лекций и лабораторных работ по программированию ядра операционной системы, целью которых является знакомство студентов на практике с основными принципами построения операционных систем. Обучение построено на основе материалов курса Operating System Engineering, который развивается в Массачусетском технологическом институте уже более 10 лет. В качестве основы для работы студентов используется учебное "экзо"-ядро операционной системы JOS, распространяемое под свободной лицензией. В докладе представлена структура курса, включая его отличия от курса МТИ, и особенности использования свободного программного обеспечения при проведении лабораторных работ. Курс "Конструирование ядра операционной системы" проводится для студентов кафедры Системного программирования факультета ВМиК Московского Государственного Университета имени М.В. Ломоносова, кафедры Системного программирования ФУПМ МФТИ и в рамках магистерской программы "Системное программирование" факультета компьютерных наук ВШЭ.

В докладе обозначаются проблемы образования в сфере ИТ вообще и системного программирования в частности на примере скромного города Муром. Что предприятия города и образовательные учреждения города могут дать друг другу? Что интересно абитуриентам, студентам, специалистам? Опыт компании РЕД СОФТ позволяет сделать вывод что вузы имеют большой потенциал, но вместе с тем он далеко не раскрыт. Кто виноват и что делать?