Йоанна Рутковская (http://ru.wikipedia.org/wiki/%D0%A0%D1%8... (Joanna Rutkowska) представила (
http://theinvisiblethings.blogspot.ru/2013/02/qubes-2-beta-2... вторую бета-версию операционной системы Qubes 2, реализующей идею строгой изоляции приложений и компонентов ОС с задействованием системы виртуализации Xen.
Приложения в Qubes разделены на классы в зависимости от важности обрабатываемых данных и решаемых задач, каждый класс приложений, а также системные сервисы (сетевая подсистема, работа с хранилищем и т.п.), работают в отдельных виртуальных машинах. При этом указанные приложения бесшовно доступны в рамках одного рабочего стола и выделяются для наглядности разным цветом обрамления окна. Каждое окружение имеет доступ на чтение к базовой корневой ФС и локальному хранилищу, не пересекающемуся с хранилищами других окружений, для организации взаимодействия приложений используется специальный сервис. Подробнее с особенностями системы можно познакомиться в анонсе (http://www.opennet.me/opennews/art.shtml?num=34732) первого выпуска Qubes.
<center><a href="http://wiki.qubes-os.org/trac/raw-attachment/wiki/QubesScree... src="http://www.opennet.me/opennews/pics_base/0_1362199283.png" style="border-style: solid; border-color: #e9ead6; border-width: 15px;" title="" border=0></a></center>
По сравнению с первой бета-версией (http://www.opennet.me/opennews/art.shtml?num=35608) в новом выпуске осуществлено обновление компонентов базового окружения Dom0 до пакетной базы Fedora 18 (ранее использовались пакеты из Fedora 13). Обновление до Fedora 18 позволило существенно расширить поддержку оборудования и обновить компоненты графического стека X.Org.Предлагаемый по умолчанию шаблон для запуска виртуальных машин также обновлён до Fedora 18. В качестве базового ядра Linux для Dom0 задействовано ядро 3.7.6. Пользовательское окружение обновлено до KDE 4.9, в качестве альтернативы обеспечена возможность использования Xfce 4.10. Реализован работающих в отдельной виртуальной машине конвертер PDF.
Для загрузки доступен (http://wiki.qubes-os.org/trac/wiki/QubesDownloads) установочный образ, размером 2.2 Гб. Для работы Qubes необходима система с 4 Гб ОЗУ, 64-разрядным CPU Intel или AMD, желательно с поддержкой технологий VT-x/AMD-v и VT-d/AMD IOMMU. Из графических карт в полной мере поддерживается только карты Intel, при использовании NVIDIA наблюдаются проблемы, а работа карт AMD/ATI не протестирована.
URL: http://theinvisiblethings.blogspot.ru/2013/02/qubes-2-beta-2...
Новость: http://www.opennet.me/opennews/art.shtml?num=36273
Да, процессоры и память сейчас доступны как никогда ранее, любых мощностей. Но тратить ресурсы на изоляцию основанную таким методом бессмысленно. В прошлой бета версии был прикол о безопасность, и о том, что Xen имеет небольшой код и его держать в безопасности гораздо проще. А уже через неделю выходит новость, что в Xen найдено некоторое количество критических уязвимостей. Я это к тому, что изоляция процессов путем построения ОС внутри ОС для большинства задач подходит и это позволяет эффективно использовать ресурсы железа. Но Йоанна Рутковская как эксперт в области компьютерной безопасности должна бы понимать, что данный вариант безопасность не повышает.
Изоляция процессов уменьшает возможный ущерб от ошибочного или вредоносного кода, значит повышает безопасность. Рутковска это понимает, а аноним - нет :)
А процессы и без Xen являются изолированными сущностями, или Гуго об этом не слыхивал?
Вот только уровень изоляции немного разный.
Где-то читал что синюю пилюлю не она изобрела. Ее раньше продемонстрировали
> Где-то читал что синюю пилюлю не она изобрела. Ее раньше продемонстрировалиНе скажу насчет синей пилюли, а вот штучка с кодом в BMC контроллере, переписывающая системную память через DMA и вообще в принципе не видимая из х86 у нее годная получилась. Весьма концептуально.
Кто первый встал, того и тапки.
Xen рассчитан на изоляцию процессов, но, этот слой слишком тонкий, чтобы на нем можно было строить системы повышенной безопасности. По крайней мере в таком виде в каком это представлено в Qubes 2. Как уже было сказано ниже нужно изолировать каждый процесс в отдельности, но контейнер для каждого процесса должен быть построен на чем то более легком и более контролируемом, а не на xen guest. В общем, то все возможно только нужно время и желание.Для гуго:
man capabilities
> Xen рассчитан на изоляцию процессов, но, этот слой слишком тонкий, чтобы на
> нем можно было строить системы повышенной безопасности.Это обычный такой виртуализатор, слой там вполне нормальный. Мадам опасные процессы, драйвера и host-управлятор разнесла по отдельным VM. По сравнению с "обычной" операционкой разница как между фанерным щитом и десятисантиметровым куском металла. Первое протыкается хорошим ножиком. Второе требует бронебойные снаряды. Небольшая такая разница.
И повелел народ "Иди, Иоанна,
Иди, рази врагов, потом, с победой
возвратись..."// Орлеанская Дева by П.И. Чайковский
>И повелел народ "Иди, Иоанна,
>Иди, рази врагов, потом, с победой
>возвратись..."
>// Орлеанская Дева by П.И. ЧайковскийТащем-та из ответа Орлеанской девы Королю. То бишь не народ, а Пречистая:
"Узнай меня, восстань, иди от стада;
Господь тебя к иному призывает.
Возьми мое святое знамя, меч
Мой опояшь и им неустрашимо
Рази врагов народа моего,
И приведи помазанника в Реймс,
И увенчай его венцом наследным".А народ там орал разве что:
"Срази ее проклятьем,
Господь. Богоотступница, погибнешь ты..."
Версия, которая "вперёд вперёд, мы победим" - это самая потрясающаяя версия. Конец первого акта я первые 80 раз, когда слушал, ВСЕ 80 раз плакал, вот в этой версии: http://classic-online.ru/ru/listen/5398. Потом стал как-то спокойнее воспринимать, теперь плачу только через раз.Но, к сожалению, нигде не могу найти либретто для этой версии, поэтому только на слух. Вот, из записи 1946 года:
> Версия, которая "вперёд вперёд, мы победим" - это самая потрясающаяя версия. Конец
> первого акта я первые 80 раз, когда слушал, ВСЕ 80 раз
> плакал, вот в этой версии: http://classic-online.ru/ru/listen/5398. Потом стал как-то
> спокойнее воспринимать, теперь плачу только через раз.
> Но, к сожалению, нигде не могу найти либретто для этой версии, поэтому
> только на слух. Вот, из записи 1946 года:
> http://youtu.be/6WefaXyp0qE?t=1h28m32sПрошу пардону, не сообразил, что указывалась советская версия. После работы торможу.
Судя по тому, что "работа видеокарт AMD не протестирована" аж с самого начала проекта, проект нужен только самой Рутковской.
Да ладно. Все приличные процы сейчас с интеловской графикой. Все нормально.
> Да ладно. Все приличные процы сейчас с интеловской графикой. Все нормально.Заявление из разряда "640 кило хватит всем".
> Да ладно. Все приличные процы сейчас с интеловской графикой. Все нормально.Назвать проц с "интеловской графикой" приличным - надобыть совсем диби^Wнепритязательным:)
>> Да ладно. Все приличные процы сейчас с интеловской графикой. Все нормально.Неправда.
> Назвать проц с "интеловской графикой" приличным - надо быть совсем
> диби^Wнепритязательным:)Тоже неправда.
АМД опять научились делать нормальные процы?
> Каждое окружение имеет доступ на чтение к базовой корневой ФС и локальному хранилищу, не пересекающемуся с хранилищами других окружений...если уж заговорили про изоляцию -- то было бы не плохо чтобы каждый ЭКЗЕМПЛЯР запущенной программы был бы в своём контейнере и имел бы свои файлы.
тоесть чтобы если было бы например открыто односременно два LibreOffice, и один из них оказался бы взломанным -- то чтобы это не отразилось бы на втором открытом LibreOffice и на его открытом документе.
иначе -- баловство а не безопасность.
хотя в любом случае использовать парадигму виртуальных машин именно для безопасности (а не для эффективной утилизации мощностей) -- баловство.
(вобщем изоляция -- в идеале это более тонкая хирургическая консрукция, чем топорные виртуальные машины)
> (вобщем изоляция -- в идеале это более тонкая хирургическая консрукция, чем топорные виртуальные машины)Может что то ближе к solaris - zones?
Ну дык в соляре то по умному сделано, а тут костыль на костыле
Слухи все это.
> Может что то ближе к solaris - zones?Это скорее солярщики с их маркетинговым шитом. А топорные VM для хакера в целом менее удобны чем вычурные хирургические конструкции. Вычурные конструкции имеют свойство быть достаточно сложными и содержать кучу багов. А вот гипервизор - относительно простая штука и поэтому дырок там не сильно много. А как известно, чем проще конструкция - тем меньше в ней багов. В том числе и касающихся секурити. В этом плане дизайн рутковской весьма осмысленный получился. И таки да, человек засовывающий руткит в BMC контроллер материнки шарит в секурити явно лучше любого солярщика с промытым маркетингом мозгом. Так что их дешевый понт следует просто игнорировать. Это обычный маркетинговый буллшит. Ну и нежелание себе признать что потратил эн лет на изучение бобика который благодаря ораклу практически издох.
> Это обычный маркетинговый буллшит.Может, достаточно уже смешивать маркетинг (который в санях никогда особенно выдающимся по части именно булшита не был, иначе бы сейчас лицезрели вместо MS с Oracle) и технологию?
FreeBSD jails?
> FreeBSD jails?Этот вопрос - риторический. Т.е ни сам вопрос, ни ответ на него, ни предмет вопроса смысла не имеет.
> если уж заговорили про изоляцию -- то было бы не плохо чтобы каждый ЭКЗЕМПЛЯР
> запущенной программы был бы в своём контейнере и имел бы свои файлы.В идеале - можно и так. Реально это ресурсов ну совсем уж жутко будет жрать и логичнее как-то группировать программы по функционалу и группам данных к которым они обращаются.
> бы на втором открытом LibreOffice и на его открытом документе.
Вы произошли Hутковску в паранойе? Это круто! Нет, реально, кроме стеба, это не так то просто, а вы даже юзкейс хоть какой-то предложили.
> иначе -- баловство а не безопасность.
Ну не скажите, например наиболее часто долбаемый браузер не сможет умыкнуть ваш офисный документ.
> хотя в любом случае использовать парадигму виртуальных машин именно для безопасности (а
> не для эффективной утилизации мощностей) -- баловство.Это вы зря, оно хорошо поднимает планку, особенно в дизайне как у Рутковской. Рутковска свое дело знает.
>юзкейспример использования
> если уж заговорили про изоляцию -- то было бы не плохо чтобы каждый ЭКЗЕМПЛЯР
> запущенной программы был бы в своём контейнере и имел бы свои файлы.К этому и идём.
Но:
1) Xen mini-os пока ещё очень сырая, падает от малейшего чиха даже Driver Model, на ней основанная;
2) overhead будет сумасшедшим.
Эпическая сила... Ядро Линукс = дыра в дыре, дырой погоняет. Какая такая безопасность... имени Майкрософт и Аппле?
> Эпическая сила...Эпическая сила, изоляцию делает не только ядро линя но еще и отдельный гипервизор - xen. Пробить такую операционку не то чтобы совсем уж невозможно (в xen тоже дыры бывают), но намного сложнее чем обычные дизайны. Рутковска в курсе как атаковать. И потому в курсе как сделать атакующему максимально неудобно и утомительно. И что-то я сомневаюсь что вы так запросто сможете сделать более защищенную ОС. Там даже линевое ядро вот так влобешник долбануть не получится - драйвера в отдельной виртуалке живут, так что до того как их атаковать получится - надо XEN будет прошибить. Не говоря уж про прошибание программ в гуесте и прочая.
> Эпическая сила, изоляцию делает не только ядро линя но еще и отдельный
> гипервизор - xen. Пробить такую операционку не то чтобы совсем уж
> невозможно (в xen тоже дыры бывают), но намного сложнее чем обычные
> дизайны. Рутковска в курсе как атаковать. И потому в курсе как
> сделать атакующему максимально неудобно и утомительно. И что-то я сомневаюсь что
> вы так запросто сможете сделать более защищенную ОС. Там даже линевое
> ядро вот так влобешник долбануть не получится - драйвера в отдельной
> виртуалке живут, так что до того как их атаковать получится -
> надо XEN будет прошибить. Не говоря уж про прошибание программ в
> гуесте и прочая.Вот именно потому, что всем управляет именно Xen то, как раз таки именно на него и будет нацелен взор как на центральные двери всей системы. Как вы сами заметили, в Xen регулярно находят разного рода и уровня уязвимости. Не стоит забывать, что все контейнеры, так или иначе, имеют определенный слой для коммутации между собой. Вы можете, как угодно усложнять этот коммуникационный слой, но это ничего не изменит
>Рутковска в курсе как атаковатьЧего умеет? Запустить свой гипервизор первым? Ничего волшебного.
Всегда интересовало, как сделать часть окон желтыми, а часть зелеными, как у нее?
Хочу свои приложения видеть с одной рамкой, в чужие, полученные по Х11 - с другой.