Es gibt eine Reihe von Gründen, warum das Erstellen eines "eigenen Betriebssystems" keine praktikable Option ist.

1. Forschungskosten

Um ein neues Betriebssystem von Grund auf ohne Verwendung eines vorhandenen Codes zu erstellen, wären umfangreiche Forschungsarbeiten erforderlich. Bis heute gibt es nur vier oder fünf häufig verwendete Kernel wie Unix, Linux-Kernel, BSD, XNU und Windows NT.

2. Sicherheit durch Dunkelheit

Es ist ein bewährtes Konzept, dass Sicherheit durch Dunkelheit selten hilft. Ja, es ist ein neues Betriebssystem, daher weiß kein "Hacker", wie es funktioniert, aber es ist eine Tatsache, dass Informationen über Überstunden von ehemaligen oder verärgerten Mitarbeitern preisgegeben werden. Vielleicht sogar durch die Forscher selbst.

Als "benutzerdefiniertes" Betriebssystem hat es eigene Sicherheitsprobleme, und niemand außer den ursprünglichen Forschern könnte sie identifizieren oder beheben.

3. KOSTEN, KOSTEN und KOSTEN

Selbst wenn ein solches Betriebssystem erstellt würde, müsste ein spezielles Wartungsteam beibehalten werden, um verschiedene Probleme zu beheben. Sie müssten außerdem defensive Software usw. anpassen, um auf diesem Computer perfekt zu funktionieren. Alle Schwachstellen in dieser Software, die emuliert werden, werden einfach weitergegeben. Um benutzerdefinierte Software zu erstellen, wären die Betriebssystemspezifikationen offengelegt worden, daher müssten wir benutzerdefinierte Office-Software, E-Mail-Clients usw. erstellen.

Letztendlich ist es einfach nicht möglich, ein Betriebssystem und zu erstellen Verwenden Sie es ausschließlich zur Verteidigung. Wie ich bereits sagte, hilft Sicherheit durch Behinderung selten der Sicherheit, macht sie jedoch nur "zeitaufwändiger", aber letztendlich überwiegen die Kosten die Vorteile erheblich.

GreenHills Software ist ein Unternehmen, das sich auf die Erstellung von Betriebssystemen für militärische eingebettete Systeme spezialisiert hat. Ihr INTEGRITY-System verwendet einen Mikrokernel (weniger Code mit weniger Fehlern), der formal überprüft wurde (noch weniger Fehler).

Solche Spezialdomänen, in denen nur die grundlegendsten Softwarekomponenten wiederverwendet werden können, sind wahrscheinlich der einzige Bereich, in dem die Bereitstellung eines benutzerdefinierten Betriebssystems verwaltet werden kann. Praktisch überall sonst werden die Anforderungen für die Anbindung an die Außenwelt, an reguläre Benutzer und an neue Hardware alle paar Jahre alle Ihre Entwicklungsressourcen vollständig verschlingen.

Darüber hinaus ist dies meines Wissens immer noch nicht gut verstanden wie man sehr große Softwareprojekte verwaltet. Wenn Sie das Geld und die Leute haben, um in ein paar Jahren ein neues Betriebssystem zu bauen, ist es wahrscheinlich viel teurer, dauert viel länger und ist völlig kaputt.

Schließlich gibt es nicht viele Dinge, bei denen eine neue benutzerdefinierte Entwicklung verbessert werden könnte. Nachdem Sie alle Anforderungen des Benutzers und des Richtlinienerzwingers erfüllt haben, werden Sie wahrscheinlich feststellen, dass Ihr spezialisiertes Betriebssystem den vorhandenen Lösungen verdammt ähnlich wird. Zum Beispiel ist es cool, sich Ihr minimales Betriebssystem mit ein paar tausend Codezeilen vorzustellen. Nehmen wir an, Sie haben das gesichert. Jetzt möchten Sie einen Webbrowser mit SSL / X509. Die einfachste Implementierung davon wird wahrscheinlich ein Vielfaches der Größe Ihres Kernels sein. Und wenn Sie keine vorhandenen Bibliotheken verwenden, wird dies mit Kompatibilitäts- und Sicherheitslücken behaftet sein.

Der Hauptbereich, in dem das Betriebssystemdesign heute verbessert werden könnte, ist - vielleicht - die Umstellung auf ein Mikrokernel-Betriebssystem. Ein Design, wie es in der Perseus- und Nizza-Architektur vorgeschlagen wurde, könnte es Ihnen ermöglichen, sicherheitskritische Anwendungen mit hoher Isolationssicherheit neben Ihrem regulären Commodity-Betriebssystem auszuführen und die Commodity-Anwendungen für Aufgaben wie das Signieren von Dokumenten und das Einrichten von Sitzungen auf die sicheren Anwendungen verweisen zu lassen Schlüssel usw. Neuere Beispiele hierfür sind Genode, TrustVisor und Qubes OS. Um ein solches Design jedoch für viele Anwendungen in vielen stark isolierten Fächern skalierbar zu machen, benötigen Sie einen modernen Mikrokernel. Qubes und TrustVisor sind also schon draußen.

Addon: Ich habe gerade bemerkt, dass sich alle auf die USA konzentrieren und Kernel herstellen, also vielleicht eine Randnotiz: Die USA, die Deutschen, Die Franzosen und wahrscheinlich auch die meisten anderen Regierungen haben sich für bestimmte Zwecke mit gehärteten Betriebssystemen befasst. Die Bundesregierung verwendet die SINA-Box, eine gehärtete Linux plus Smartcard, die ein VPN-Gateway für nicht ganz so kritische Aufgaben implementiert. Sie fragen sich, was sie für kritische VPNs verwenden. Sie haben Forschung im Bereich des alternativen Betriebssystemdesigns finanziert. Heute finanzieren sie die Virtualisierung für Android, sodass Sie ein isoliertes Fach auf einem ansonsten meist standardmäßigen Android-Telefon betreiben können. SELinux von den USA ist bekannt und die französische Regierung hat ein ähnliches System. Die NSA versucht nun auch, SELinux in Android zu integrieren. Die Tatsache, dass mehrere Millionen auf diese Weise ausgegeben werden, bestätigt grundsätzlich die oben genannten Probleme.

Einige Datenpunkte. Die hohen Kosten für die Bereitstellung und Verwendung eines sicheren Betriebssystems entstehen viel mehr durch Implementierung und fortlaufende Sicherheit als durch Forschung. Viele Forschungsprojekte hatten gute Ideen zur Sicherheit und haben den Stand der Technik seit Multics vorangebracht, aber nur wenige Von diesen Systemen wurde mehr als nur ein Proof of Concept demonstriert. Es steht ein sicheres Betriebssystem zur Verfügung. Google "AESEC." Dieses nachweislich sichere Betriebssystem der A1-Klasse ist ein Nachkomme von Multics, das auf Intel-Architektur ausgeführt wird.

Multics war kein benutzerdefiniertes System: Es war ein Standardprodukt von Honeywell, das an Regierung, Industrie und Bildung verkauft wurde. Es gelang nicht, weil nicht genügend Kunden für die Sicherheit extra bezahlen würden.
Multics bot einen umfangreichen Funktionsumfang für seine Zeit, aber es hing von Hardwarefunktionen ab, die nicht bereitgestellt wurden, als Mikrocomputer in den 1980er Jahren populär wurden. Kunden entschieden sich für den Kauf eines Viele kleine unsichere Computer statt eines einzigen großen sicheren Systems. Die Sicherheit von Multics hing nicht von Dunkelheit ab, sondern von Architektur, Design, disziplinierter Implementierung und fortgesetzter Sicherheit. Als Multics verkauft wurde, war es "modern" und hatte vergleichbare Funktionen oder besser als andere moderne Systeme. Multics war Vorreiter bei virtuellem Speicher, Multiprozessor-Unterstützung, Verschlüsselung, Grafik-APIs und Netzwerken. (Es gab nicht "Tausende von Treibern", aber Gerätetreiber in Multics konnten die Sicherheit nicht rückgängig machen.)

(Woher weiß ich das: Ich habe 16 Jahre an Multics gearbeitet und Betriebssystemsicherheit für die Industrie und Regierung für viel mehr als das.)

Es gibt zumindest Hinweise darauf, dass sie benutzerdefinierte Betriebssysteme verwenden. Die letzten Multics-Maschinen schienen NSA-Gateways zum Internet zu sein. Ich gebe zu, dass Multics nur diese Seite eines "benutzerdefinierten Betriebssystems" ist und nicht genau ein benutzerdefiniertes Betriebssystem. Fred Cohens wegweisende Arbeit von 1984, Computerviren - Theorie und Experimente, erwähnt in Abschnitt 5, Experimente mit Computerviren, ein "Bell-LaPadula-basiertes System", das auf einer Univac 1108-Maschine ausgeführt wird . Die Beschreibung des Systems erscheint bewusst vage. Es klingt auch maßgeschneidert, und wen außer einer Regierung würde es interessieren, Bell-LaPadula zu machen?

Es gibt einige Verwendungszwecke für Spezialzwecke. Zum Beispiel gibt es STOP, das es schon lange gibt und das svid (vielleicht heutzutage posix?) Konform und allgemein auf b3-Konformität ausgerichtet war. Es gibt Multics und eine Reihe von b1-Systemen.

Ich denke ihr habt nicht sehr genau hingeschaut oder ihr habt versucht zu denken, dass wir naiv sind. Die Regierung verwendet weiterhin DARPA UNIX. Zum Schutz der Luft- und Sicherheitskommunikation hat die USAF das gehärtete OS T.E.N.S. Ich bin mir nicht sicher, ob unsere Regierung in der Lage sein wird, Betriebssysteme wie Kali, Cubes R4 oder Tails zu verwenden, die stark unterteilt sind, aber die vielfältigen Verschlüsselungen und Komplikationen sind so weit entfernt, dass sie sich im Bereich "Nasenbluten" des Stadions befinden. Alle von ihnen sind schrecklich schwierig, mit Ausnahme der Snowden-Programmierer und seinesgleichen. Die wahren Genies wie Joanna Roskoff scheinen dem Spiel voraus zu sein. Snowden genehmigt Cubes R4, obwohl ich nicht weiß, ob er es verwendet. Für Sie Abenteuerlustige, die nur Spaß mit Geekies haben wollen, würde ich es oder die anderen versuchen. Viele Tutorials.