Операционная система Северной Кореи: как выглядит и как шпионит за пользователями

Северная Корея всегда была под завесой тайны, что только подогревало интерес узнать, как в ней всё устроено. Меня всегда особенно интересовал рынок гаджетов и программных систем в этой загадочной стране, и недавно я решил изучить Red Star OS 3.0 — третью версию национальной операционной системы Северной Кореи для компьютеров. Благо в прошлые годы её ISO-образ появился в интернете и мне удалось без проблем загрузить её в свою виртуальную машину (если захотите сделать то же самое, заранее изолируйте «виртуалку» от основной системы — позднее поймёте, почему). Эта тема не нова, но даже спустя несколько лет после появления в открытой сети Red Star OS, в интернете крайне мало сборных материалов, создающих полное представление о ней. Я попытался закрыть эту брешь.

Что представляет собой Red Star OS

Red Star OS — это английский вариант названия операционной системы КНДР, которую разрабатывает Корейский компьютерный центр с 2002 года. По данным СМИ, на момент написания статьи существуют четыре версии Red Star OS.

Первая вышла спустя 6 лет после начала разработки, вторую начали разрабатывать сразу после выпуска первой и представили через год — в 2009-м. Третья версия системы, ставшая наиболее известной в сети благодаря утёкшему ISO-образу, была представлена в 2012 году.

О Red Star OS 4.0 известно крайне мало: в 2017 году СМИ сообщали, что она тестируется, а в январе 2019 года государственное издание Северной Кореи, публикующее известия об успехах страны на английском и французском языках, сообщило об окончании разработки серверной версии Red Star OS 4.0.

Red Star OS основана на Fedora Linux, но по внешнему виду этого не скажешь: первые две версии похожи на Windows XP, что неудивительно, поскольку в прошлом на компьютерах Северной Кореи использовалась именно операционная система от Microsoft. К слову, в конце 2015 года Windows XP всё ещё была установлена на большинстве компьютеров, хотя отечественный аналог уже несколько лет как существовал. Об этом сообщили исследователи Флориан Грунов (Florian Grunow) и Никлаус Шисс (Niklaus Schiess) из немецкой компании по IT-безопасности ERNW GmbH.

Red Star OS 3.0 полностью преобразилась по сравнению с предшественницами. Она стала явным клоном OS X Movericks, и этому тоже есть объяснение: по слухам, семья Ким Чен Ына любит компьютеры Mac.

Как выглядит Red Star OS 3.0 — патриотический клон OS X от Apple

Достаточно взглянуть на рабочий стол Red Star OS 3.0, чтобы сразу понять: северокорейские разработчики явно вдохновлялись операционной системой для компьютеров Mac. Даже если не запускать приложения, в глаза бросается аналог панели Dock в самом низу, а также иконка красной звезды вместо значка яблочка в левом верхнем углу.

В системе есть предустановленные приложения, необходимые простым пользователям: календарь, калькулятор, медиаплеер, браузер (для доступа в контролируемым государством избранным веб-сайтам), офисный пакет и подобные. Помимо прочего есть и «Терминал» — именно через него я выполнил определённые махинации, чтобы включить в системе английский язык (по умолчанию доступен только корейский, и его нельзя поменять в настройках).

Чтобы снять некоторые ограничения с системы, мне пришлось включить пользователя с правами администратора через командную строку — обычные жители Северной Кореи, имеющие официальный доступ только к ограниченным государственным веб-ресурсам, совершенно точно не смогли бы провернуть что-то подобное. Более того, в операционную систему внедрены механизмы защиты от подобных действий пользователя: если он попытается отключить «антивирусную проверку» или брандмауэр стандартными средствами, система отобразит ошибку и перезагрузится — по информации из «Википедии», Red Star OS 3.0 даже может уничтожить сама себя. Root-права «пользователя-администратора» снимают некоторые барьеры, однако ограничения на уровне ядра операционной системы не позволяют получить доступ к определённым файлам даже с правами суперпользователя. Более того, во время загрузки Red Star OS 3.0 выполняет обширную проверку на предмет того, были повреждены эти секретные файлы или нет.

Достаточно запустить практически любое приложение, чтобы вновь убедиться в схожести с OS X: мало того, что элементы управления точно такие же (только вместо кружочков для управления окнами используются квадратики), так ещё и большинство программ выглядят идентично альтернативам в OS X.

Некоторые приложения имеют похожие названия (Finder в OS X и KFinder в английской версии Red Star OS 3.0), а часть иконок и вовсе взяты из компьютеров Mac без изменений. Недавно энтузиаст опубликовал на GitHub архив системных иконок из Red Star OS 3.0, и среди них можно обнаружить значки различных гаджетов: DVD-диски, фотоаппарат, ноутбук… Apple TV. А файл иконки смартфона, доступный в двух вариантах, подписан как «iPhone». В этом архиве много явно украденных иконок (к примеру, логотипы дистрибутивов Debian, Gnome, RedHat и Ubuntu, значки AIM и Eclipse). Впрочем, есть и много своих: подавляющее большинство нарисованы в зелёной цветовой гамме, как и стандартная заставка рабочего стола.

Отдельно стоит упомянуть веб-браузер — в английском варианте он называется Naenara, что в переводе означает «Моя страна». Приложение основано на Mozilla Firefox, и при включённом английском языке это даже особо не скрывается — название заметно в сообщении о неудавшемся подключении. Браузер предоставляет доступ только к закрытому интернету «Кванмён», полностью контролируемому государством. В виртуальной машине веб-обозеватель не смог подключиться ни к одному из сайтов — ни к домашней странице, ни к иностранным ресурсам. Я попытался отключить ограничения через «Терминал» и дал брандмауэру разрешение на посещение всех сайтов, а не только заранее встроенных IP-адресов, но это ни к чему не привело. Впрочем, у пользователей из сети получалось обойти ограничения — либо я делал что-то не так, либо у меня более поздняя версия Red Star OS 3.0, в которой известная лазейка устранена.

Как северокорейская система шпионит за пользователями

После того, как ISO-образ Red Star OS 3.0 оказался во всемирной сети, исследователи в области кибербезопасности со всего мира принялись изучать операционную систему на предмет безопасности и конфиденциальности — результат оказался ожидаемым.

Следуя националистической государственной идеологии Чучхе, власти Северной Кореи всячески борются с насущной проблемой подпольного распространения зарубежных фильмов, музыки и литературы, которые проникают в страну и оказываются у местных жителей (видимо, во многом из-за иностранных туристов).

В Северной Корее незаконные медиа чаще всего передаются от человека к человеку на USB-накопителях и картах памяти, и в прошлом это очень затрудняло правительству отслеживание распространения запрещенных файлов. Однако Red Star OS решает эту проблему: операционная система помечает всё, что попадает на компьютер, специальным «водяным знаком» в дампе памяти — в нём содержится серийный номер жёсткого диска, на который попал файл. По данным исследователей Флориана Грунова и Никлауса Шисса, для нанесения скрытой метки на файл его даже не всегда обязательно открывать. Вполне вероятно, что правоохранители могут привязывать IP-адрес внутри северокорейского интранета к серийному номеру жёсткого диска, и таким образом отслеживать распространение запрещённого контента удалённо.

Также в Red Star OS 3.0 обнаружили «антивирусное» программное обеспечение — на деле оно удаляет файлы из цензурного реестра, которые оказываются на компьютере.

Впрочем, как и, пожалуй, в случае с любой другой операционной системой, в безопасности Red Star OS 3.0 тоже есть дыры. В декабре 2016 года портал Hacker House сообщил об уязвимости, позволяющей удалённо выполнять произвольный код — для этого жертве достаточно лишь перейти по URL-ссылке. Дыра в безопасности кроется в том, что при обработке URI-запросов «mailto» (для создания электронного письма) и «cal» (для создания события в календаре) запросы не удаляются из командной строки при их обработке — как следствие, хакеры могут оставить там произвольный код, который будет выполнен. Впрочем, велика вероятность, что это именно бэкдор, намеренно встроенный правительством.

Примечательно, что в своём исследовании 2015-го (за год до появления заметки на Hacker House) упомянутые в начале статьи Флориан Грунов и Никлаус Шисс не нашли бэкдоры, которые ожидалось увидеть. Однако они предположили, что правительство Северной Кореи намеренно не внедряет их в ISO свей операционной системы. По их мнению, власти КНДР прекрасно осознают, что образ системы может оказаться за пределами страны, поэтому они либо внедряют бэкдоры через обновления всей системы или отдельных приложений, рассылаемые исключительно с определённых северокорейских доменов, либо осуществляют взлом системы через интернет. Судя по всему, как минимум одно из предположений специалистов немецкой компании ERNW GmbH оказалось верным.