forum.opennet.ru

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Режим отображения отдельной подветви беседы		[ Отслеживать ]

Оглавление

Вторая бета-версия безопасной операционной системы Qubes OS,..., opennews (??), 20-Сен-11, (0) [смотреть все]

Вместо упрощения системы безопасности городить слои абстракции - прям в стиле mi, Аноним (-), 22:31 , 20-Сен-11, (1) –4 //

Так именно сложного там ничего нет Xen - мелкий гипервизор А что до слоев - ну, Аноним (-), 05:42 , 21-Сен-11, (14) +2 //

http seclists org dailydave 2010 q3 29, коксюзер (?), 10:33 , 21-Сен-11, (23) //

А как тебе идейка - пустить иксы в отдельной виртуалочке, до кучи прокинув туда , Аноним (-), 15:57 , 21-Сен-11, (29)

Ниже уже отписал http www opennet ru openforum vsluhforumID3 80417 html 33Могу, коксюзер (?), 18:02 , 21-Сен-11, (37)

Вот такая она дуэль IT-шников 21-ого века BTW, a personal invitation to Joanna, vle (ok), 16:26 , 22-Сен-11, (40)

На сколько я знаю, не было Не вижу связи Почему не в апстриме - потому что у, коксюзер (?), 21:30 , 22-Сен-11, (41)

Сколько же там сложностей, наверняка и там найдется не одна дыра, самая защищенн, freename (ok), 22:43 , 20-Сен-11, (2) –1
Без использования SELinux или аналогов такой уровень изоляции выглядит сомнитель, bircoph (ok), 23:24 , 20-Сен-11, (3)
А чем им не понравилась концепция микроядерности , Аноним (-), 00:28 , 21-Сен-11, (5) //

хм, тем что к безопасности как таковой не относится или вы изолированность адрес, ананим (?), 00:31 , 21-Сен-11, (6) //

Вообще-то да Не в курсе как работает с памятью XEN, но если есть принципиальная, Аноним (-), 00:33 , 21-Сен-11, (7) //

Легко - в микроведре большинство подсистем выполняются в своём, юзерспейсном про, ананим (?), 06:31 , 21-Сен-11, (19)

Сори за ошибки - пишу с ведроида, ананим (?), 06:38 , 21-Сен-11, (21)

Полуркал по-поводу XEN и теперь вообще не вижу разницы с точки зрения безопаснос, Аноним (-), 02:10 , 21-Сен-11, (9) –1 //

У каждой из которых к примеру своё дисковое пространство со своим возможно вр, ананим (?), 06:36 , 21-Сен-11, (20)

Т е модель безопасности как в WP7 Спасибо, понял , Аноним (-), 12:15 , 21-Сен-11, (25)

У WP7 есть один важный минус вы не контролируете это А контролирует майкрософт, Аноним (-), 15:53 , 21-Сен-11, (28)
х з WP7 не интересуюсь а после вашего комментария тем более - зачем мне это в т, ананим (?), 19:27 , 21-Сен-11, (38)

Рассматривайте гипервизор XEN как небольшое ядро, а операционки как некие метаза, Аноним (-), 05:46 , 21-Сен-11, (15) //

А что, мсье уже на раз прошибает Qubes и поломал Рутковску вплоть до получения с, Аноним (-), 08:52 , 21-Сен-11, (22) +2

Молодец тётка - нужное дело делает Уважуха Через 5 лет без идей, заложенных в , СуперАноним (?), 12:13 , 21-Сен-11, (24) //

В основном дело делают другие члены команды Qubes Рутковска по большей части пи, коксюзер (?), 14:45 , 21-Сен-11, (27) //

Ну она пиарится но согласись, blue pill красив и вообще, эта особа более-менее в, Аноним (-), 16:01 , 21-Сен-11, (30) //

Средства проникновения и средства защиты - это две разные специализации Пример , коксюзер (?), 17:11 , 21-Сен-11, (33)

Штука-то интересная А как насчет накладных расходов Тут вот нам, жабабыдлокоде, жабабыдлокодер (ok), 12:43 , 21-Сен-11, (26) //

Как бы системные требования намекают, да , Аноним (-), 16:02 , 21-Сен-11, (31)

Почему не KVM Или я немного или много не в теме Спасибо , vi (?), 17:06 , 21-Сен-11, (32) //

Виртуализация вообще в текущей её ипостаси непригодна для защиты посредством изо, коксюзер (?), 17:15 , 21-Сен-11, (34) –1 //

Спасибо Где порекомендуете посмотреть именно порекомендуете без обсуждения , , vi (?), 17:29 , 21-Сен-11, (35) //

Здесь http secunia com advisories product 17812 task advisoriesИ свежачок в , коксюзер (?), 17:49 , 21-Сен-11, (36)

да во всех случается в xen поменьше - http www cvedetails com vulnerability-li, ананим (?), 19:45 , 21-Сен-11, (39)

Уж намного проще использовать контейнеры типа OpenVZ, Аноним (-), 22:02 , 22-Сен-11, (42) +2 //

Они реализованы на уровне гораздо более уязвимого ядра , коксюзер (?), 00:26 , 23-Сен-11, (43)

Сообщения [Сортировка по времени | RSS]

14. "Вторая бета-версия безопасной операционной системы Qubes OS,..." +2 +/–

Сообщение от Аноним (-), 21-Сен-11, 05:42

Так именно сложного там ничего нет. Xen - мелкий гипервизор. А что до слоев - ну так даже процессор в невиртуализованной системе делит привилегии на ядро и пользователя. С xen - лишь дальнейшее развитие идеи. Операционка в контейнере - "задача ядра низкого уровня". А гипервизор - "ядро низкого уровня". Рутковска вообще свое дело знает. Учить ее безопасности будете после того как сделаете не менее годный руткит или более секурную ос с таким же функционалом ))

Ответить | Правка | Наверх | Cообщить модератору

23. "Вторая бета-версия безопасной операционной системы Qubes OS,..." +/–

Сообщение от коксюзер (?), 21-Сен-11, 10:33

http://seclists.org/dailydave/2010/q3/29

Ответить | Правка | Наверх | Cообщить модератору

29. "Вторая бета-версия безопасной операционной системы Qubes OS,..." +/–

Сообщение от Аноним (-), 21-Сен-11, 15:57

> http://seclists.org/dailydave/2010/q3/29
А как тебе идейка - пустить иксы в отдельной виртуалочке, до кучи прокинув туда PCI-девайс видеокарты и выпихав драйвер туда? (Для этого надо систему с IOMMU, иначе есть риск поставить раком весь хост, когда dma из девайса полетит в неправильный адрес т.к. драйвер в виртуалке не в курсе что его надурили, и на самом деле все не совсем так как он видит).

Ответить | Правка | Наверх | Cообщить модератору

37. "Вторая бета-версия безопасной операционной системы Qubes OS,..." +/–

Сообщение от коксюзер (?), 21-Сен-11, 18:02

>> http://seclists.org/dailydave/2010/q3/29
> А как тебе идейка - пустить иксы в отдельной виртуалочке, до кучи
> прокинув туда PCI-девайс видеокарты и выпихав драйвер туда? (Для этого надо
> систему с IOMMU, иначе есть риск поставить раком весь хост, когда
> dma из девайса полетит в неправильный адрес т.к. драйвер в виртуалке
> не в курсе что его надурили, и на самом деле все
> не совсем так как он видит).
Ниже уже отписал:
http://www.opennet.ru/openforum/vsluhforumID3/80417.html#33
Могу только добавить, что компрометация биоса видеокарты позволит выполнить вредоносный код на этапе её инициализации - то есть до загрузки ОС и гипервизора хост-системы. Ничего себе мерочка предотвращеньица! ;)
Кстати, примерно так и мыслит Рутковска: в ответ на указания на потенциальные уязвимости предлагает от них "защититься" способами, которые порождают новые потенциальные уязвимости. Однако публика, внемлющая мнению иксперта, удовлетворена. Problem solved! ;)

Ответить | Правка | Наверх | Cообщить модератору

40. "Вторая бета-версия безопасной операционной системы Qubes OS,..." +/–

Сообщение от vle (ok), 22-Сен-11, 16:26

>>> http://seclists.org/dailydave/2010/q3/29
>> А как тебе идейка - пустить иксы в отдельной виртуалочке, до кучи
>> прокинув туда PCI-девайс видеокарты и выпихав драйвер туда? (Для этого надо
>> систему с IOMMU, иначе есть риск поставить раком весь хост, когда
>> dma из девайса полетит в неправильный адрес т.к. драйвер в виртуалке
>> не в курсе что его надурили, и на самом деле все
>> не совсем так как он видит).
> Ниже уже отписал:
> http://www.opennet.ru/openforum/vsluhforumID3/80417.html#33
Вот такая она дуэль IT-шников 21-ого века...
BTW, a personal invitation to Joanna: if you believe in Qubes as much
as your 100% undetectable rootkit, the PaX Team and I give you the same
offer we would give to any SELinux zealot; put your most personal,
valuable information in an AppVM, and give the world separate access to
an AppVM with root ssh access enabled and outbound connections
disallowed (since root doesn't matter, after all). In other words, put
something other than hype where your mouth is.
Интересно, на это ответ был?
BTW. Допустим, Джоанна неадекватна, и ее поделки не стоят ломаного гроша,
но почему PaX/grsecurity не в апстриме?

Ответить | Правка | Наверх | Cообщить модератору

41. "Вторая бета-версия безопасной операционной системы Qubes OS,..." +/–

Сообщение от коксюзер (?), 22-Сен-11, 21:30

> Интересно, на это ответ был?
На сколько я знаю, не было.
> BTW. Допустим, Джоанна неадекватна, и ее поделки не стоят ломаного гроша,
> но почему PaX/grsecurity не в апстриме?
Не вижу связи. :) Почему не в апстриме - потому что у разработчиков ядра нет ни личной мотивации и понимания проблем, ни внешних стимулов, которые было бы сложно игнорировать. После того, как киберкриминал хорошенько прижал экосистему мелкософта, в винде, начиная с висты, появились некоторые средства защиты, которые впервые были реализованы именно в PaX. Линуксу держать подобный удар в силу возросшей популярности ещё лишь предстоит, и то - если повезёт.

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру


	14. "Вторая бета-версия безопасной операционной системы Qubes OS,..."	+2 +/–
	Сообщение от Аноним (-), 21-Сен-11, 05:42
	Так именно сложного там ничего нет. Xen - мелкий гипервизор. А что до слоев - ну так даже процессор в невиртуализованной системе делит привилегии на ядро и пользователя. С xen - лишь дальнейшее развитие идеи. Операционка в контейнере - "задача ядра низкого уровня". А гипервизор - "ядро низкого уровня". Рутковска вообще свое дело знает. Учить ее безопасности будете после того как сделаете не менее годный руткит или более секурную ос с таким же функционалом ))
	Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Вторая бета-версия безопасной операционной системы Qubes OS,..."	+/–
	Сообщение от коксюзер (?), 21-Сен-11, 10:33
	http://seclists.org/dailydave/2010/q3/29
	Ответить \| Правка \| Наверх \| Cообщить модератору


	29. "Вторая бета-версия безопасной операционной системы Qubes OS,..."	+/–
	Сообщение от Аноним (-), 21-Сен-11, 15:57
	> http://seclists.org/dailydave/2010/q3/29 А как тебе идейка - пустить иксы в отдельной виртуалочке, до кучи прокинув туда PCI-девайс видеокарты и выпихав драйвер туда? (Для этого надо систему с IOMMU, иначе есть риск поставить раком весь хост, когда dma из девайса полетит в неправильный адрес т.к. драйвер в виртуалке не в курсе что его надурили, и на самом деле все не совсем так как он видит).
	Ответить \| Правка \| Наверх \| Cообщить модератору


	37. "Вторая бета-версия безопасной операционной системы Qubes OS,..."	+/–
	Сообщение от коксюзер (?), 21-Сен-11, 18:02
	>> http://seclists.org/dailydave/2010/q3/29 > А как тебе идейка - пустить иксы в отдельной виртуалочке, до кучи > прокинув туда PCI-девайс видеокарты и выпихав драйвер туда? (Для этого надо > систему с IOMMU, иначе есть риск поставить раком весь хост, когда > dma из девайса полетит в неправильный адрес т.к. драйвер в виртуалке > не в курсе что его надурили, и на самом деле все > не совсем так как он видит). Ниже уже отписал: http://www.opennet.ru/openforum/vsluhforumID3/80417.html#33 Могу только добавить, что компрометация биоса видеокарты позволит выполнить вредоносный код на этапе её инициализации - то есть до загрузки ОС и гипервизора хост-системы. Ничего себе мерочка предотвращеньица! ;) Кстати, примерно так и мыслит Рутковска: в ответ на указания на потенциальные уязвимости предлагает от них "защититься" способами, которые порождают новые потенциальные уязвимости. Однако публика, внемлющая мнению иксперта, удовлетворена. Problem solved! ;)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	40. "Вторая бета-версия безопасной операционной системы Qubes OS,..."	+/–
	Сообщение от vle (ok), 22-Сен-11, 16:26
	>>> http://seclists.org/dailydave/2010/q3/29 >> А как тебе идейка - пустить иксы в отдельной виртуалочке, до кучи >> прокинув туда PCI-девайс видеокарты и выпихав драйвер туда? (Для этого надо >> систему с IOMMU, иначе есть риск поставить раком весь хост, когда >> dma из девайса полетит в неправильный адрес т.к. драйвер в виртуалке >> не в курсе что его надурили, и на самом деле все >> не совсем так как он видит). > Ниже уже отписал: > http://www.opennet.ru/openforum/vsluhforumID3/80417.html#33 Вот такая она дуэль IT-шников 21-ого века... BTW, a personal invitation to Joanna: if you believe in Qubes as much as your 100% undetectable rootkit, the PaX Team and I give you the same offer we would give to any SELinux zealot; put your most personal, valuable information in an AppVM, and give the world separate access to an AppVM with root ssh access enabled and outbound connections disallowed (since root doesn't matter, after all). In other words, put something other than hype where your mouth is. Интересно, на это ответ был? BTW. Допустим, Джоанна неадекватна, и ее поделки не стоят ломаного гроша, но почему PaX/grsecurity не в апстриме?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	41. "Вторая бета-версия безопасной операционной системы Qubes OS,..."	+/–
	Сообщение от коксюзер (?), 22-Сен-11, 21:30
	> Интересно, на это ответ был? На сколько я знаю, не было. > BTW. Допустим, Джоанна неадекватна, и ее поделки не стоят ломаного гроша, > но почему PaX/grsecurity не в апстриме? Не вижу связи. :) Почему не в апстриме - потому что у разработчиков ядра нет ни личной мотивации и понимания проблем, ни внешних стимулов, которые было бы сложно игнорировать. После того, как киберкриминал хорошенько прижал экосистему мелкософта, в винде, начиная с висты, появились некоторые средства защиты, которые впервые были реализованы именно в PaX. Линуксу держать подобный удар в силу возросшей популярности ещё лишь предстоит, и то - если повезёт.
	Ответить \| Правка \| Наверх \| Cообщить модератору