Вход на сайт

МЕДИАМЕТРИКА

Облако тегов

О защищенных оперсистемах

Аватар пользователя ВладимирХ

Скинул ссылку на статью Tails — сверхзащищённая операционная система, которой пользуется Эдвард Сноуден.одному знакомому, который в свое время был весьма профессионально в теме, с просьбой прокомментировать..

Он ответил, хоть и с задержкой. Помещаю его комментарий.

По диагонали просмотрел инфу про защищенную ОС, Сходу скажу следующее:
1) все Linux подобные системы уже гораздо защищеннее Windows., которая разрабатывалась как ОС для шпионажа.
2) В тексте много незнакомых мне терминов - понятий которых я не знаю. позже посмотрю
3) Лично для меня защищенность системы определяется степенью доверия к программистам или сборщикам системы
или к источнику его получения. Еще лучше собрать систему из открытых кодов, которые предварительно проанализированы на безопасность.
4) Тут не ругай меня, но к Сноудену у меня отношение ... а не засланный ли он казачок?
К тому что он рекомендует отношение отрицательное так как весьма вероятно это способ внедрения новой шпионской программы взамен всеми опороченной винды.
Готовых сборок для Линукс систем очень много и они являются серьезным вызовом- замещением Windows . И в АНБ это прекрасно понимают. возможно Сноуден - это один из шагов противодействия бесконтрольному со стороны АНБ распространению Linux.

Наша сертифицированная ГосТех КОМИССИЕЙ (сейчас это кажется Федеральная Техническая Служба) созданная на основе REDHAD ОС МСВСфера 6.3 разработана Национальным центром поддержки и разработки (НЦПР) www.ncpr.su . На сайте есть ссылки на бесплатные дистрибутивы для сервера и рабочих станций.
5) Режим загрузки Life с внешнего носителя хорош для совершенно незащищенных аппаратно компов, не имеющих аппаратных закладок.
К стати начиная c Pentium процессоры имеют внутренний программно модифицируемый микро код. Так что неизвестно что там сидит в самом железе.
6) безопасность может быть обеспечена только доверенным железом и доверенным совтом - нужны отечественные Soft & Hard.

 

Фонд поддержки авторов AfterShock

Комментарии

Аватар пользователя Красный аноним

Даёшь ОС-срач! Это который уже по счёту?

Где виндузятники и gay os x'ты, которым нечего скрывать и главное, что б была кнопка "сделать ништяк"?

Аватар пользователя 3d_modeller
3d_modeller(5 лет 1 месяц)(23:15:01 / 03-11-2015)

Придут юзеры специализированного софта и смешают тебя с говном. Оно тебе надо? -)

Аватар пользователя Stiva
Stiva(5 лет 10 месяцев)(09:55:37 / 04-11-2015)

Мсвс и Astra-linux, две российские защищённые ОС. 

Для серьёзной защиты нужно иметь не только сертифицированное ПО, но и проверенное железо, проверенные помещения и защищённые каналы. Но здесь нужно отталкиваться от категории обрабатываемой информации, не каждую категорию требуется так защищать.

Своё железо нужно. Но не столько для безопасности, сколько для устойчивости поставок.

Сами по себе ОС только часть защиты, без прочих мер они не будут работать.

Аватар пользователя ek-nfn
ek-nfn(5 лет 1 месяц)(01:11:19 / 04-11-2015)

Для серьёзной защиты нужно иметь не только сертифицированное ПО, но и проверенное железо

Каким образом железяка обойдет ОС ?

Аватар пользователя Stiva
Stiva(5 лет 10 месяцев)(02:16:18 / 04-11-2015)

Биос может обойти ОС, например.

Закладки в железо существуют, статьи с примерами можно найти в инете. 

Аватар пользователя ek-nfn
ek-nfn(5 лет 1 месяц)(02:19:22 / 04-11-2015)

Биос и есть часть ОС. ОС - это не офис, это посредник между железом и софтом пользователя.

Аватар пользователя kokunov
kokunov(5 лет 9 месяцев)(07:22:43 / 04-11-2015)

Это не част ОС. от слова совсем.

Аватар пользователя Lige
Lige(3 года 9 месяцев)(08:33:25 / 04-11-2015)

Знаете, прежде чем писать, проверяйте знания - вы такую глупость сморозили сейчас.

Аватар пользователя Stiva
Stiva(5 лет 10 месяцев)(09:54:37 / 04-11-2015)

Интересное мнение.

Поставим мысленный эксперимент. Вы собрали новый комп с пустым винтом, включили его и вошли в Биос. Частью какой ОС является этот Биос?

Аватар пользователя ek-nfn
ek-nfn(5 лет 1 месяц)(12:34:04 / 04-11-2015)

Да пусть даже не является, не в этом суть.  Суть в том, что виос - это программа, без которой железо и шага не ступит, даже то, чипы которой  имеют аппаратные закладки.

Аватар пользователя roman.kuvaldin

А если там не BIOS а UEFI?

Аватар пользователя ek-nfn
ek-nfn(5 лет 1 месяц)(13:15:05 / 06-11-2015)

И что? Это все равно программная оболочка, управляющая микросхемами на плате. А точнее - системными шинами (адресной, управления, данных). Без которой ни одна микросхема не чихнет. Кстати, все эти биосы очень компактны, что упрощает проверку их кода.

Аватар пользователя vajtek
vajtek(4 года 9 месяцев)(22:54:41 / 03-11-2015)

Пока каждый во что горазд пиарит одну из тысяч рассовоправильных версий unix, вместо того, чтобы довести хотя бы одну до ума, тем временем windows 10 набирает популярность.

Аватар пользователя Barmalley
Barmalley(5 лет 10 месяцев)(22:58:05 / 03-11-2015)

Тут правильный вопрос про аппаратные закладки поднимается, на Хабре где то был цикл статей про то, что из себя представляет современный BIOS системных плат.

Аватар пользователя Abgeschmiert
Abgeschmiert(2 года 1 месяц)(00:24:34 / 04-11-2015)

уефи блин.

а про закладки в железе это у сноудена

Аватар пользователя IMHO
IMHO(5 лет 11 месяцев)(01:19:45 / 04-11-2015)

аппаратные от программных как отличаете?

Аватар пользователя Barmalley
Barmalley(5 лет 10 месяцев)(01:30:29 / 04-11-2015)

Ну сам биос конечно системное ПО, но работает то всё в комплексе, часть по моему даже до запуска ЦП.

Аватар пользователя IMHO
IMHO(5 лет 11 месяцев)(01:36:17 / 04-11-2015)

ПО аппаратной закладкой называть не следует

до запуска ЦП?!

вах...

 

Аватар пользователя Barmalley
Barmalley(5 лет 10 месяцев)(01:52:56 / 04-11-2015)

Хм, а что следует называть аппаратной ? Практически любой контроллер свою прошивку имеет, жестких дисков тех же, чем прошивка материнской платы отличается от прошивки HDD ? Там так же программы есть.

Аватар пользователя IMHO
IMHO(5 лет 11 месяцев)(01:56:17 / 04-11-2015)

могу предложить называть аппаратными те (сущности), которые не являются программными

 

Аватар пользователя Barmalley
Barmalley(5 лет 10 месяцев)(02:04:33 / 04-11-2015)

Так в том то всё и дело что железо без микропрограмки никому и не нужно, те же сетевые карты, порты на приличных свичах имеют свой код. А назвать аппаратной закладкой дохлый транзистор как то сложно.

Аватар пользователя IMHO
IMHO(5 лет 11 месяцев)(02:10:35 / 04-11-2015)

это вы, явно не являясь разработчиком аппаратуры (hardware), так думаете (и ошибаетесь)

понятия "аппаратура" и "программа" (она же - "микропрограмма") имеют четкие определения в контексте обсуждаемой темы

 

Аватар пользователя Barmalley
Barmalley(5 лет 10 месяцев)(02:16:42 / 04-11-2015)

Ну тогда хоть намекните, что является чисто аппаратной закладкой.

Аватар пользователя IMHO
IMHO(5 лет 11 месяцев)(02:42:01 / 04-11-2015)

это я и пытаюсь выяснить уже много лет у авторов, сообщающих о них как о факте

и утверждаю, что коммерческий производитель и аппаратные закладки - вещи несовместные

нет никаких аппаратных закладок

но если бы они были, то имели бы следующее отличительное свойство:

аппаратный блок (субблок), реализующий функцию закладки, активизировался бы только и исключительно во время работы этой самой закладки

что отсекает от определения "аппаратный" все т.н. (микро)программные подходы

иными словами:

каждый транзистор аппаратной закладки исполняет функцию только аппаратной закладки

каждый транзистор программной закладки исполняет множество функций (в т.ч. функцию закладки)

 

кстати, аппаратный блок "конечный автомат" (или машина состояний), следуя такому подходу, может быть интерпретироваться и как программная и как аппаратная структура, и отнесение ее к той или иной - зависит от нюансов реализуемой функциональности

это относится и к т.н. "реконфигурируемой" аппаратуре

но это так, лирика

Аватар пользователя Barmalley
Barmalley(5 лет 10 месяцев)(02:41:27 / 04-11-2015)

Вполне логично, ну а поскольку все более-менее умные чипы можно назвать аппартно-программным комплексом, то правильнее конечно называть закладки аппаратно-программными, но это как то длинно, а программными так их не отличишь от обычных деструктивных функций, возможно встроенных в ОС или прикладное ПО. Так что это тут вопрос терминологии только.

Аватар пользователя IMHO
IMHO(5 лет 11 месяцев)(02:44:24 / 04-11-2015)

терминология важна

а с "аппаратно-программным" вариантом соглашусь (с натяжкой smiley)

Аватар пользователя Barmalley
Barmalley(5 лет 10 месяцев)(02:51:11 / 04-11-2015)

Ок :-) Я спорить то точно не буду. Спать пожалуй пойду, а на счет использования BIOS перед стартом проца, что то такое я где то читал, что чипсет оттуда данные берет для своих регисторов, но утверждать ничего не буду, тем более толком не знаю, до, это, во время, или после запуска ЦП.

Аватар пользователя IMHO
IMHO(5 лет 11 месяцев)(02:54:13 / 04-11-2015)

спокойной ночи

Аватар пользователя Gudvin
Gudvin(5 лет 2 месяца)(15:12:15 / 04-11-2015)

..."утверждаю, что коммерческий производитель и аппаратные закладки - вещи несовместные"

https://xakep.ru/2011/12/26/58104/ Кажется здесь об этом как раз.

Аватар пользователя Lige
Lige(3 года 9 месяцев)(08:44:54 / 04-11-2015)

А код то кто будет обрабатывать? Его ведь надо считать в конкретное место, а не абы куда, потом по коммандам исполнить. Весь софт - это набор команд для процессора. И в прошивках - тоже

Аватар пользователя Lige
Lige(3 года 9 месяцев)(08:41:00 / 04-11-2015)

Аппаратный код пишется на асме и располагается в прошивке, причем доступ к памяти как правило заблокирован. Самое простое - шафрануть код  но тогда возникает интерес и желание раскопать, чего там скрыто.поэтому правильно будет скрыть с глаз вообще. Программные закладки находятся в установленном по и всегда "на виду", нужно дезассемблировать код и проанализировать. Конечно, это не так просто, но все же проще

Аватар пользователя Barmalley
Barmalley(5 лет 10 месяцев)(11:38:17 / 04-11-2015)

На счет Ассемблера, на нем я писал еще когда MS-DOS был, так что это как раз не показатель. Выше тов. IMHO по моему вполне корректное определение дал, для чисто "аппаратных закладок" , я с ним пожалуй соглашусь.

Аватар пользователя Lige
Lige(3 года 9 месяцев)(18:00:17 / 04-11-2015)

не показатель чего?  исполняемый код в писишной архитектуре - только на асме, без вариантов, вы чего...

ну это личное мнение тов.имхо, с формальной точки зрения он прав, но в реальности под термином аппаратная закладка понимается именно избыточный микрокод (асма) , или изменяемый код, зашитый в железо изначально и не меняющийся с дровами или иным ПО.

и как мне кажется, чисто аппаратную логику сделать довольно емко и трудно. всегда найдется человек, который спросит - а это что за новая микруха и какие ее функции? хотя.. можно выращивать все единым корпусом, но все равно вопрос - насколько это реально. если закладка должна отключить прибор или внести погрешность в вычисления - то это несложно. но для слежки... ну, допустим, она дублирует поток данных по определенному порту в сети, но пропускная способность сети какая должна быть? в общем, в этом вопросе  я не дока, не знаю. но что-то никто вроде и не подтвердил эту "чисто аппартную" имплементацию закладки из АШоковских собратьев...что для меня косвенный сигнал - идея маложивучая в силу малого круга решаемых задач.

Аватар пользователя IMHO
IMHO(5 лет 11 месяцев)(19:02:35 / 04-11-2015)

"асм" (языковая интрепретация системы команд ЦП) по отношению к т.н. "микрокоду" (управляющему коду для микропрограммируемых автоматов) - язык высокого уровня

т.е. ничего общего не имеет

ну и в остальном - да, вы не дока

Аватар пользователя Lige
Lige(3 года 9 месяцев)(19:43:59 / 04-11-2015)

бог мой, вы про элементарные операции с регистрами? а кто-то так вообще программирует? 

ничего общего не имеет с чем? 

спасибо, капитан очевидность! 

вообще-то моя фраза про то, что я не дока имела под собой основание несколько иное, и смыл сводился не к тому, чтобы кто-то подтвердил мои сомнения, а чтобы дока прояснил эти вопросы. 

 

Аватар пользователя IMHO
IMHO(5 лет 11 месяцев)(19:49:38 / 04-11-2015)

без истерик, пожалуйста

и нет, я не про "операции с регистрами"

извините

Аватар пользователя Lige
Lige(3 года 9 месяцев)(19:59:33 / 04-11-2015)

очень умно - молчи за умного сойдешь ) не брякнешь лишнего и не опозоришься, а плеваться репликами, сидя на заборе очень удобно. жизнь скучновата?

ну если не про элементарные операции процессора, тогда двоичные опкоды? более удобные для нашего глаза hex команды, которые по сути - те же опкоды?

о чем вы, Мастер? (на грани истерики)

Аватар пользователя IMHO
IMHO(5 лет 11 месяцев)(20:06:05 / 04-11-2015)

см.

Аватар пользователя v.p.
v.p.(5 лет 3 месяца)(23:12:28 / 03-11-2015)

тут вот в чем дело, безопасность подавляющее большинство человеков понимает неверно на концептуальном уровне, включая экспертов разного рода. основные постулаты которые должен помнить безопасник следующие:

- безопасность это не результат, это процесс

- то что один человек построил другой завсегда поломать сможет

 

это вот мои две копейки как человека немного с темой знакомого, "грузили мы их". если вкратце, то не существует безопасных ОС, безопасного железа и всего прочего, это иллюзии очень опасного свойства и являют собой опасные упрощения как задач, так и их решений, ну вроде того, как решать квантовые уравнения в рамках граничных условий ньютоновкой механики.

Аватар пользователя ВладимирХ
ВладимирХ(4 года 11 месяцев)(00:02:25 / 04-11-2015)

не существует безопасных ОС, безопасного железа и всего прочего

Я правильно Вас понял, что нет никакой разницы, на чем работать: на линуксе или виндах? Мол, все одно все небезопасные.

Аватар пользователя v.p.
v.p.(5 лет 3 месяца)(00:08:50 / 04-11-2015)

концептуально нет, а по факту использования есть, разные софтинки, поддержка, функционал, вся хурма.

 

в чем несогласен так с заявлением "небезопасные". вы не поняли сути понятия "процесс". не бывает "безопасной" системы или "небезопасной" системы, это абсолюты, как математическое определение бесконечности.

 

Аватар пользователя Lige
Lige(3 года 9 месяцев)(08:54:24 / 04-11-2015)

А Сытость - это процесс или результат? wink

Мне кажется, вы путаете слегонца, потому что есть результат, требующий регулярного его поддержания. А есть просто результат,  не требующий ничего больше - например камень переместить.

Аватар пользователя v.p.
v.p.(5 лет 3 месяца)(11:47:52 / 04-11-2015)

я не хотел бы спорить о фундаментальном, тем более находясь в несколько разных понятийных полях. желате поговорить о безопасности деталях - добро пожаловать в специальные интернет сообщества, может мы там с вами и пересечемся как нибудь.

Аватар пользователя sporadic_one
sporadic_one(2 года 10 месяцев)(23:18:17 / 03-11-2015)

на основе REDHAD

дальше не читал, вранье.

Аватар пользователя ВладимирХ
ВладимирХ(4 года 11 месяцев)(23:59:54 / 03-11-2015)

Дык, разверните мысль. Или просто умность показать хотите?

Аватар пользователя v.p.
v.p.(5 лет 3 месяца)(00:09:40 / 04-11-2015)

RedHat, ошибка в подобном непростительна.

Аватар пользователя ВладимирХ
ВладимирХ(4 года 11 месяцев)(07:50:53 / 04-11-2015)

Да, не заметил, спасибо. Но из звуковой описки делать далеко идущие выводы "все вранье"...

Аватар пользователя Abgeschmiert
Abgeschmiert(2 года 1 месяц)(00:29:16 / 04-11-2015)

ты чо собсно хотел спросить/узнать?

упд

тьфу блин, сообщить?

Лидеры обсуждений

за 4 часаза суткиза неделю

Лидеры просмотров

за неделюза месяцза год

СМИ

Загрузка...