朝鲜“红星”操作系统解析，给插入电脑的U盘内文件打水印

红星操作系统是朝鲜自主开发的Linux操作系统。一直以来，朝鲜的内联网阻绝国内民众通往外部互联网，但允许人们浏览国家媒体和一些被官方批准设立的网站。在过去的十多年里，朝鲜一直在研发自己的操作系统。尽管朝鲜早在2013年夏天便发布了第三代红星操作系统，但外界一直对其知之甚少。直到2014年底，谷歌前雇员威尔·斯科特（Will Scott）参观朝鲜平壤科技大学，并把买到的红星OS光盘带回美国。

本月27日，在德国汉堡举行的年度混沌通信大会（Chaos Communication Congress）上，德国IT安全公司DRNW GmbH的研究人员公布了对最新的第三代红星操作系统的深入调查结果。调查发现，该系统能够对用户进行深入监控，并能防御任何修改或控制操作系统的企图。

为提高安全性，“红星”无法在朝鲜以外国家使用

据英国路透社报道，研究人员希思（Schiess）和格鲁诺（Grunow）对红星系统的内部工作机制进行了研究，发现“红星”并不仅仅是一个仿冒产品那么简单。该系统使用了以Linux为主的开源软件，却违背了开源运动（开放源代码、信息共享和自由使用）的精神。

“他们使用的软件恰恰是为支持言论自由而问世的。”格鲁诺说。

谈及该操作系统的具体形式，希思说：“这是一套功能全面的桌面系统”。红星系统的基础架构采用Fedora 11，这是2011年发布的Linux分布式系统的一种迭代，并具有内核。该操作系统具备用户需要的所有功能，包括文字处理和音乐制作软件，另外还有改造过的Firefox浏览器。这些应用程序、桌面环境以及文件系统的核心架构都在模仿Mac OSX。据猜测，“红星”操作系统的界面风格由Window转向Mac OSX可能是因为朝鲜最高领导人金正恩曾与一台苹果iMac电脑“同框”。

但红星操作系统与其他操作系统的相似之处仅止于此。该系统具有很多独特的地方，包括其加密文件。“为了提高系统安全性，红星系统还包含大量自制功能。”希思说。

这些功能包括预先安装的防火墙、对某些系统核心文件的额外保护机制、以及一个可以对计算机上发生的任何修改进行持续监控的小程序。红星系统甚至还自带杀毒软件，配备图形化用户界面，并从位于朝鲜国内的服务器下载更新。

研究人员称，这些特性的设计目的不是为了保护系统免受外部攻击——比如意图入侵朝鲜计算机系统的外国黑客，而是为了防范红星系统自己的用户。

很显然，红星系统的设计意图就是让它无法在朝鲜以外的国家使用，因为该操作系统的互联网浏览器、防病毒更新服务器全部指向朝鲜内部的IP地址，无法从国外访问。这些应用程序有可能出自10个不同的开发者：研究人员在操作系统的修改日志中发现了不同编码人员的内部电子邮件地址。

红星系统的自制加密进一步体现了该操作系统和这个国家的封闭性。这些加密采用AES等成熟加密算法，但对这些算法进行了修改。至于红星系统开发人员是否出于对算法后门的担忧而对算法进行修改——从而对敌方可利用后门获取敏感数据，还是对加密算法进行真正的改进，目前还不得而知。

无论如何，“这表明朝鲜根本不想依赖外国的加密技术。”格鲁诺说，“这是一个很成熟的操作系统，他们控制着绝大部分的编码。”研究人员认为，朝鲜是为了避免其它国家的情报机构利用他们的编码才这样做的。

研究人员表示，目前还不清楚共有多少台电脑使用这款操作系统。

更严密监控，给插入电脑的U盘内文件打水印

除了系统本身的加密性，安装红星系统的电脑还对用户所作的修改进行严密监控，并据此作出反应。例如，如果用户自行关掉杀毒软件或防火墙，可能会导致系统注销或不断的重启。

对于插入电脑的任何USB设备，红星系统能在设备文件上打上“数字水印”。简单来说，只要将存储了文件、照片、视频的USB存储设备插入安装有红星系统的计算机，红星系统就会获取当前硬盘设备的序列号并对其加密，然后将加密序列写入文件，在文件上打上印记。

这么做的目的是为了“跟踪谁使用了文件、谁创建了文件以及谁打开过这个文件。”希思说。

据路透社称，在朝鲜，一些非法内容通常是通过USB和SD卡，经人手传播开来的，这种做法让平壤政府难以追查这些非法内容是从哪里来的。但如果这些文件经由装有“红星”操作系统的电脑处理，就出麻烦了。“红星”会将电脑中或相连接的USB中的每份文件都进行标签或打水印，意味着每份文件由谁创建，上一手经过谁打开，都可以被查得出来。

研究员格鲁诺说：“这绝对是侵犯隐私（的做法），这样的行文并不会对使用者公开，而是悄悄进行，（系统会）碰触你甚至没有打开过的文件”。

“他们实现了对系统的全面控制。”格鲁诺表示。

之前有研究人员报告说，红星操作系统具有水印功能，而另有研究人员在获得泄漏出的红星系统的几个版本后，发表了针对该操作系统的分析文章。不过，希思和格鲁诺的研究更进一步，是到目前为止对该操作系统最全面的研究成果。

【背景阅读】

朝鲜“红星”计算机操作系统

2002年，为替代Windows XP，朝鲜自主开发了红星操作系统。2013年，红星操作系统第三版发布，配备了类似苹果Mac的桌面。最新版的红星系统于2015年1月发布。

据研究人员弗洛里安·格鲁诺（Florian Grunow）所说，红星操作系统能够对内容贴上独特的隐藏标签，从而实现跟踪用户的目的。只要有包含word文档和JPEG图片的文件连接到安装有红星操作系统的计算机，即使并未在红星操作系统上执行，红星系统就能在其代码中插入标签，标签中包含以硬件序列号为基础的编号。

“在分析红星操作系统时，我们注意到的第一件事就是其自带内核模块rtscan。其中运行着一个名为opprc的二元组。另有一些其它二元组，其中一个可执行类似某种“病毒扫描仪”的功能，并能够与opprc分享代码库。”格鲁诺说。

“如果你在朝鲜用红星系统创建、使用媒体文件和文档，就可能会给自己惹上麻烦；不要以为文件有任何隐私性可言，所有文件都能追踪到创建者。”

格鲁诺说，红星操作系统不会对用开源软件OpenOffice文字处理套件创建的文件打上水印。

研究还发现，红星系统会对其上所运行的文档、图片甚至音频打上水印。

自1月份红星操作系统的弱点被揭露以来，这是对红星操作系统的最新研究。红星操作系统自2010年公开以来，持续受到IT安全行业的关注。