Йоанна Рутковска (Joanna Rutkowska), известный польский исследователь в области компьютерной безопасности, представила (http://theinvisiblethings.blogspot.com/2012/02/qubes-beta-3....
) третий выпуск операционной системы Qubes OS (http://qubes-os.org/), реализующей идею строгой изоляции приложений и компонентов ОС с задействованием системы виртуализации Xen.
Каждый тип приложений и системных сервисов в Qubes OS работает в своей виртуальной машине. Каждое окружение (домен в терминологии Qubes OS) не может вмешиваться в работу других окружений и взаимодействует через специальный промежуточный сервис. Работа с изолированными программами осуществляется через единый рабочий стол - с точки зрения пользователя, программы запускаются как в обычных системах, а виртуализация плотно скрыта "под капотом". Каждое окружение имеет доступ на чтение к базовой корневой ФС и локальному хранилищу, не пересекающемуся с хранилищами других окружений. Для организации междоменных сервисов задействован...URL: http://theinvisiblethings.blogspot.com/2012/02/qubes-beta-3....
Новость: http://www.opennet.me/opennews/art.shtml?num=33010
Может меня глючит, она вроде на KVM делала, не?!
Не, только Xen. У него меньше оверхед за счет паравиртуализации.
Неоверхед Хеn, это мнимая величина.
Так как часть нагрузки является нагрузкой на хост.
В итоге получаем нагрузки: Xen - 30% СPU, Хост - 70%,
в случае kvm: KVM - 50%, хост 50%:)
И не поспоришь. Ведь приведены мнимые проценты в вакуме !
> В итоге получаем нагрузки: Xen - 30% СPU, Хост - 70%,
> в случае kvm: KVM - 50%, хост 50%Включим телепатический модуль:
Xen - 30% (затраты на виртуализацию) СPU, Хост - 70% (полезная работа),
KVM - 50% (затраты на виртуализацию) CPU, Хост 50% (полезная работа)Так получается, что выигрыш есть ?
> И не поспоришь. Ведь приведены мнимые проценты в вакуме !
>> В итоге получаем нагрузки: Xen - 30% СPU, Хост - 70%,
>> в случае kvm: KVM - 50%, хост 50%
> Включим телепатический модуль:
> Xen - 30% (затраты на виртуализацию) СPU, Хост - 70% (полезная работа),
> KVM - 50% (затраты на виртуализацию) CPU, Хост 50% (полезная работа)
> Так получается, что выигрыш есть ?Да, до тех пор пока вторую Хеn-виртуалку не запустишь. :)
Ну я, всё же, хочу понять что за проценты были приведены.С увеличением количества машин разница будет только расти в пользу xen.
Раз числа у нас абстрактные, то и рассмотрим тоже всё абстрактно :)
у xen запущена одна копия гипервизора, с которой все работают + драйвера в ядре для net и disk.
у kvm запущено N процессов Qemu под каждый домен. (считаем что у нас включены оптимизации под kvm в гостевой системе )Итого можно заметить, что как минимум по расходуемой памяти у нас будет выигрыш у xen.
по процессору в xen будут отсутствовать траты на эмуляцию комапа (пусть даже как-то минимизированную оптимизациями). Доступ к диску у xen идёт через ядерный модуль, а в случае kvm к диску обращается сам процесс qemu. (хотя тут конечно неясно в чём принципиальный недостаток kvm и почему xen молодец :) )
> Не, только Xen. У него меньше оверхед за счет паравиртуализации.У него меньше кода в гипервизоре. Поэтому его рутковска и выбрала как истинный параноик, принципиально не признающий комппромиссов. Какие к черту компромиссы при таком дизайне системы? :)
>Какие к черту компромиссы при таком дизайне системы? :)Ну домены - это, таки, компромисс между запуском всех приложений в одном пространстве и выделением отдельной виртуалки под каждое приложение.
>> Не, только Xen. У него меньше оверхед за счет паравиртуализации.
> У него меньше кода в гипервизоре. Поэтому его рутковска и выбрала как
> истинный параноик, принципиально не признающий комппромиссов.
> Какие к черту компромиссы при таком дизайне системы? :)Какие к чёрту виртуалки, если она сама же писала руткиты для MSI/SMM-дыры у процов,
которые позволяют вылезать из виртуалок.
http://pavlinux.ru/jr/Software_Attacks_on_Intel_VT-d.pdfну и ещё proof of concept ]:->
http://pavlinux.ru/jr/CPU_bugs_,_CPU_backdoors_and_consequences_on_security.pdf
От script-kiddy защитились таким же способом - все GCC с 2008 году игнорируют инструкцию SALC (opcode 0xd6) :)
> Может меня глючит, она вроде на KVM делала, не?!Тебя глючит. Рутковска будучи истинным параноиком в лучшем смысле слова и просто спецом по слому всего и вся компромиссами не довольствуется и потому решила что винтить гайки - так на максимум. Xen по ее мнению лучше KVM за счет того что меньше кода чем в линевом ядре, поэтому мишень меньше, менее вероятно что подобьют. Фиг оспоришь, однако.
Проблема в том что над всем этим аккуратненьким,
чистеньким и безопасным квадратно-гнездовым раем висит адская дырень в виде X-сов.
Так что до выхода waylend безопасный десктопный Линукс нереализуем.
Аха - аха - а вайленд он то конечно по дефолту секурный :)
у меня дежавю?этот диалог я вижу в каждой теме, где поднимается вопрос дырявости Х-ов
> у меня дежавю?
> этот диалог я вижу в каждой теме, где поднимается вопрос дырявости Х-овЗабей, это уже 12 лет длится, до этого в Фидо.
а что, в иксах за эти 12 лет таки появилась защита от кейлогера при вводе пароля в gksudo и подобным?
> а что, в иксах за эти 12 лет таки появилась защита от
> кейлогера при вводе пароля в gksudo и подобным?А почему антикелогерами должны беспокоятся Хы ?
Это как раз задача gksudo - обеспечить защищённый туннель
от контролера клавы до экрана и памяти.
Кому надо писали модуль ядра и весь IPC шифровался ГОСТом 89,
по завершении - memset(keys, 0xAA, ALL); memset(keys, 0x00, ALL);Х - создавались как приложение прозрачно работающие как
локально, так и по сети. Вы же не кричите почему TCP
такой плохой, допускает сниффинг, а делаете IPSec/IPIP иль VPN
... вот тут тоже самое.
> по завершении - memset(keys, 0xAA, ALL); memset(keys, 0x00, ALL);Вон там парни AES с ключами в регистрах проца забабахали - это да, сурово. Из памяти дампить нечего :)
В том то и смысл Qubes, что если эксплуатируют дыру в X-ах, никто кроме X-ов не пострадает, так как они работают в отдельном изолированном домене.
> В том то и смысл Qubes, что если эксплуатируют дыру в X-ах,
> никто кроме X-ов не пострадает, так как они работают в отдельном
> изолированном домене.А самое интересное, что вся система находится в паравиртуалке,
не пострадает только одна часть - ядро и ФС хоста. Но там страдать нечему,
так как все данные находятся в виртуалке. :)Иными словами - спам-боту совершенно пох...ю где работать,
SWF и JS руткитам, тоже пофигу откуда красть номера кредиток,...
в виртуалке или в нативной системе.
Спамботы, полагаю, неактуальны по отношению к целевой аудитории дистра (вынужденным и добровольным параноикам). Эти не прозевают. Номера кредиток тоже неактуальны, т.к. "платежный" браузер будет по-любому крутиться в отдельной виртуалке, иначе зачем вся эта возня.
> Спамботы, полагаю, неактуальны по отношению к целевой аудитории дистра (вынужденным и добровольным
> параноикам). Эти не прозевают. Номера кредиток тоже неактуальны, т.к. "платежный" браузер
> будет по-любому крутиться в отдельной виртуалке, иначе зачем вся эта возня.Так где он крутится будет, там троян и будет ждать.
Запустив два, три,... браузера мы всего лишь изолируем спам-бота от трояна от spyware,...
как-то так :)
А как он туда попадет, если ходить чистым браузером только на страницы, связанные с оплатой? Собственно, параноики щас и делают нечто похожее, только попроще - отдельный профиль или браузер для таких вещей.Взлом/нечистоплотность магазина более вероятны, чем кража данных из такого браузера, имхо.
> Взлом/нечистоплотность магазина более вероятны, чем кража данных из такого браузера, имхо.Прозрачный прокся домашнего провыдыра.
Прозрачный прокся провыдыра домашнего провыдыра.
Прозрачный прокся провыдыра провыдыра домашнего провыдыра.
---
Это из наболевшего... строится система безопасности,... все плюшки, -
снорты, циски, ИДэСы, фаерволы, бранмауеры, виртуалки, контейнеры,... ля-ля-ля,
трижды экранированая витая, ГБШ на окна, тройная шумоизоляция,....
а выход в инет через хрен знает какого-то БутовоХомНет. :)
прозрачный HTTPS прокси? Или кто-то щас передает такую инфу простым HTTP? Или?..
> прозрачный HTTPS прокси? Или кто-то щас передает такую инфу простым HTTP? Или?..Гляньте как работает переводчик гугла, вот тоже самое только фрема не видно.
Да и начальный хэндшейк это самое слабое место SSL. А как распарсить и вынуть
пароли из HTTPS дампа, мануалы чуть ли не на ютубе валяются.
Начальный хэндшейк - слабое место, если у Вас есть диджинатаровский сертификат для банка. А так, только надежда на невнимательность юзера. Тем более, что во многих банках пользователь генерит свой сертификат и засылает его в банк.
Может на ютубе валяются мануалы, как заработать денег на железо или облако для декрипта этого HTTPS дампа?
> во многих банках пользователь генерит свой сертификат и засылает его в
> банк.Вот это и есть начальный хендшейк, разобрать SMTP ещё проще.
Вот у Промсвязьбанка есть хорошая фишка, они выдают карту разовых ключей,
100 штук 6-значных рандомов, для активных банкерюзеров 100 номеров мало,
для простых смертных на год хватает.
>Вот это и есть начальный хендшейк, разобрать SMTP ещё проще.К чему все это. Банк дает разовый сертификат нового клиента. Только для шифрованной пересылки созданного клиентом сертификата. MITM не работает.
> они выдают карту разовых ключей,
> 100 штук 6-значных рандомовТак чего они дают? Вы уж определитесь: генератор паролей или ключей?
Если паролей, то ничего не мешает модифицировать сеанс обмена, после аутентификации.
>> они выдают карту разовых ключей,
>> 100 штук 6-значных рандомов
> Так чего они дают? Вы уж определитесь: генератор паролей или ключей?
> Если паролей, то ничего не мешает модифицировать сеанс обмена, после аутентификации.У меня не было слова паролей.
Ключ - 6-разрядный рандом, запрашивается разные на вход, на каждую операцию...
Если ты даже перехватил одни, то он уже бесполезен.
> SWF и JS руткитам, тоже пофигу откуда красть номера кредиток,...А у меня нет флеша, а JS можно только сильно некоторым, по whitelist'у. Правда я козел, да? :)
Не бойся в X-ах уже нашли более 300 дырок и еще столько же осталось. На твой век хватит.
> Не бойся в X-ах уже нашли более 300 дырок и еще столько
> же осталось. На твой век хватит.Что ж ты не переписал их на супердупербезопасном JS? Пороху не хватило?
Предположим, что у вас на руках эксплойт, позволяющий через взлом иксов выполнить произвольный код. Расскажите как вы его примените в Qubes. Очень любопытно.
Спамбота повесить. Была бы дыра, а что засунуть найдём.
Сделать браузер для отсылки сообщений в отдельной виртуалке, а всему остальному подобную активность запретить, не?
> а всему остальному подобную активность запретить, не?Нафига тогда нужон браузёр, если он своими запретами
не даёт лазить на фесбук и readme.ru =)Как запретить всё и тем самым себя обезопасить, знает
каждый - выдернуть питание из розетки. А вот как разрешить
делать всё и чтоб за это ничего не было - это тост! :)
> Нафига тогда нужон браузёр, если он своими запретамине даёт лазить на фесбук и readme.ru =)
Ну так либо шашечки, либо ехать. Секурность влечет за собой неудобства, этож аксиома.
> А вот как разрешить делать всё и чтоб за это ничего не было
А никак, не будет такого
> А никак, не будет такогокак это, с 1930 по 1985 было, а тут вдруг не будет.
> как это, с 1930 по 1985 было, а тут вдруг не будет.Ты это сам видел?
>> как это, с 1930 по 1985 было, а тут вдруг не будет.
> Ты это сам видел?Не, оба деда фаерволами в НКВД служили.
> Предположим, что у вас на руках эксплойт, позволяющий через взлом иксов выполнить
> произвольный код. Расскажите как вы его примените в Qubes. Очень любопытно.Запустить майнер биткоинов или распределенный брут хешей, проксь, пару спамботов. Ну и хватит с вас - все мыслимые ресурсы будут поюзаны, а остальное от вас как-то и не интересно никому особо.
>Предположим, что у вас на руках эксплойт, позволяющий через взлом иксов выполнить произвольный код. Расскажите как вы его примените в Qubes. Очень любопытно.Х.org он помимо всего прочего обрабатывает пользовательский ввод. Казалось бы зачем видео подсистеме пользовательский ввод?
Кроме того он еще может обеспечивать "сетевую прозрачность", что тоже ни разу не его работа, но так получилось.
Суммируя, если ты управляешь Х-ми, то ты управляешь пользовательским вводом, отображением на экран и можешь стримить его хоть на весь интернет.
Это даже круче чем для виндоус где взломщику приходилось для подобных целей заливать мини VNC сервер.Обидно наверно Рутковской - столько стараний и все сведены на нет одним куском дерьмового софта.
> Обидно наверно Рутковской - столько стараний и все сведены на нет одним
> куском дерьмового софта.А ты уже разломал это? :) Или готов предложить более секурный десигн?
Еще раз, как ты, имея эксплойт для иксов, работающий в стандартном десктопе, собираешься поразить иксы, находящиеся не в твоем домене? Ты вообще интересовался как организована работа с графикой в xen вообще и qubes в частности?
> чистеньким и безопасным квадратно-гнездовым раем висит адская дырень в виде X-сов.Ну-ка расскажи, как storage domain например относится к иксам, быстро и не задумываясь? :)
Ик чему этот баян с ксеном? По-большому к чему пришла Рутковска - практически к структуре обычной ОС, то что делает ксен - должна делать любая нормальная ОС во главе с несокрушимым ядром.
> делать любая нормальная ОС во главе с несокрушимым ядром.Это +1 уровень абстракции, когда ОС рассматриваются как всего лишь (мета)задачи. Ну а мелкий гипервизор получается чем-от типа несокрушимой операционки, в основном в силу мелкости и примитивности предоставляемых сервисов.
>> делать любая нормальная ОС во главе с несокрушимым ядром.
> Это +1 уровень абстракции, когда ОС рассматриваются как всего лишь (мета)задачи. Ну
> а мелкий гипервизор получается чем-от типа несокрушимой операционки, в основном в
> силу мелкости и примитивности предоставляемых сервисов.У Рутковской получилась МЕГА-МИКРО-ЯДЕРНАЯ ОСь :)
> По-большому к чему пришла Рутковска - практически к структуре обычной ОС, то что делает
> ксен - должна делать любая нормальная ОС во главе с несокрушимым ядром.ОС изолирует процессы друг от друга, но во первых куча окон в firefox всё равно работают в одном процессе, а во-вторых - остаётся файловая система, и теоретически одна программа может записать файл, который потом будет использоваться другой.
Google в Android эту проблему попытались решить запуская каждое приложение со своим user id, что в принципе должно обеспечивать изоляцию подобную предложенной, но только использование 10000 user id для таких целей имеет смысл только на однопользовательской системе (какой и является телефон).