id: Гость   вход   регистрация
текущее время 05:22 29/03/2024
Автор темы: Гость, тема открыта 11/06/2012 23:16 Печать
Категории: анонимность, инфобезопасность, разграничение доступа
http://www.pgpru.com/Форум/ПрактическаяБезопасность/БезопасноеИспользованиеВиртуальнойОс
создать
просмотр
ссылки

Безопасное использование виртуальной ос

Интересуют практические аспекты безопастного использования виртуальной ос. Я считаю, если мы хотим анонимно работать из-под виртуальной ос, которая хранится на зашифрованном диске, то помимо обеспечения анонимного канала доступа в сеть на виртуальной ос должны быть проведены дополнительные мероприятия:
1) При каждом новом логине смена информации о ос и устройствах. (mac-адреса, серийные номера устройств, информация о версии ос, браузерах и.т.д.)
2) Ограниченные права пользователя (гость с дополнительными настройками).


Интересует прежде всего каким софтом можно обеспечить выполнение первого требования и в каких правах можно урезать гостя, какие службы отключить и.т.д.?



 
На страницу: 1, 2, 3, 4 След.
Комментарии
— Гость (06/07/2012 00:55)   <#>
подмывает заоффтопить ))
(система тем надёжней и безопасней, чем она проще)
жигули проста, но не хочется на ней ездить именно потому что не надежна.
— neverward (06/07/2012 04:14)   профиль/связь   <#>
комментариев: 43   документов: 0   редакций: 7
Примерна та же дилемма, пожалуй, возникает и при обсуждении виртуалок.
Да, навскидку сказать очень сложно, но однозначно утверждать, что безопасность не улучшается я бы не стал.

а что сейчас мешает в любой системе запускать каждое приложение в своей песочнице? или я неправильно понимаю, что вы имели ввиду?
да, песочница штука хорошая, но опять же изоляция там не полная. Например процесс даже в песочнице может исчерпать память или нагрузить HDD так, что система начнёт тормозить, или начнёт форкать себя в бесконечном цикле, что в итоге иногда приводит к завершению ядром других процессов или полной остановке системы. Точно известно на практике, что виртуализация OpenVZ(она как раз по сути хорошая песочница) не защищает отдельные виртуальные контейнеры от влияния скомпрометированного контейнера.

Т.е. слишком сильно влияние программ на аппаратную часть. В случае виртуального контейнера даже полный отказ всей ОС в нём ничего не сделает ни HDD, ни RAM, ни любым другим железкам, так как у каждого контейнера свои собственные железки и друг на друга они почти не влияют. Можно ли считать это большей защитой, нежели sandox? Тут вопрос остаётся открытым
жигули проста, но не хочется на ней ездить именно потому что не надежна
тут сравнение не совсем корректно. Допустим жигули это ОС, а гипервизор это отдельная только для этих жигулей дорога на которой больше никого нет. Конечно можно ухитрится вылететь с дороги на другую изолированную дорогу, но всё таки сделать это сложнее, чем угробить жигулями сверхзащищённую другую машину на той же дороге.
— Гость (06/07/2012 04:33)   <#>
а что сейчас мешает в любой системе запускать каждое приложение в своей песочнице? или я неправильно понимаю, что вы имели ввиду?

Нужно, чтобы приложения

  1. Не знали про железо, на котором запущены.
  2. Не знали про чужие процессы, которые запущены в ОС.
  3. Не знали про юзеров, зарегистрированных в ОС.
  4. Не знали имена, содержание и даты создания/модификаций файлов (которые в норме всем доступы) в /var и /tmp.
  5. Не знали времена создания/модификации системных файлов (например, в /usr).

Список намного длиннее, его можно продолжить. Если все требования списка не удовлетворены, при наличии уязвимости обоих пользователей (анонимного и неанонимного) в одной и той же ОС/железе всегда можно доказать, что они живут в одной ОС ⇒ деанонимизация. Заметьте, настройки firewall'а от этого не спасут.

Представьте, что вы создали двух пользователей на компьютере и посадили за них двух реальных людей. Они не знают, в одной и той же ОС/железе работают или нет, но могут свободно обмениваться любой информацией и наблюдениями, доступными из своего профиля. Вам понятно, что они всегда могут доказать, что работают в физически одной ОС и машине, и никакие песочницы не спасут? Вот и деанон так же работает.

Под неанонимным профилем запускали скайп или flash-плагин? Считайте, что потенциально вся уникальная информация, которая была доступна из-под неанонимного пользователя, утекла. Остаётся добиться уязвимости в любом софте под анонимным пользователем (потенциальных комбайнеров много: firefox, openoffice, mplayer), и утекёт уникальная информация, доступная из-под него. Далее, противник, сопоставляя первую и вторую информацию, легко делает однозначный вывод. Firewall от этого в принципе не защищает.

Про уязвимости под неанонимным юзером я не преувеличиваю. В одной распространённой ОС довольно широкий список подобного по умолчанию сливается в MS при каждом обновлении. Под Linux дела не намного лучше: любая программа имеет доступ ко всем этим данным — так уж устроен UNIX. И никто не знает когда они утекали, и утекали ли вообще. А если считать, что потенциально утекли, вера в неуязвимость прикладного софта под анонимным пользователем — последний барьер защиты, на котором всё висит. Увы, без виртуалок проблема не решается никак. С ними — хоть как-то, но защищает не от полного профилирования (всё равно под виртуалкой будет свой уникальный набор доступных параметров), а только от полной и однозначной деанонимизации.
— Гость (06/07/2012 04:42)   <#>
жигули проста, но не хочется на ней ездить именно потому что не надежна.

В экстремальных случаях (низкие температуры, отсутствие СТО под рукой, выход деталей из строя) жигули могут оказаться как раз надёжней. В современной технике если главный компьютер машины откажет, уже ничего не сделаешь. Опыт пилотирования всяких навороченных машин с непрямым управлением самолётом опять же об этом свидетельствует: в критический момент нельзя взять управление в свои руки.

Это как сравнение электронных часов с механическими. У первых не показывает экран как при низкой температуре, так и при высокой, а вторые легко приходят в негодность от механического удара. Нет тут простой однозначности.
— Гость (06/07/2012 09:56)   <#>
Нужно, чтобы приложения
это называется: идеальные условия. достичь их невозможно даже в лабораторных условиях, поэтому это остается только теорией.
вообще, мне кажется что при обсуждении виртуальной ос, корректнее детализировать обстоятельства. хотя бы:
1. разработчик гипервизора
2. как построена связь между хостом и гостем
3. как настроена связь с интернет (внешними сетями)
— Гость (06/07/2012 10:13)   <#>
Нужно, чтобы приложения
это называется: идеальные условия. достичь их невозможно даже в лабораторных условиях, поэтому это остается только теорией.
Всё перечисленное достигается в Xen по умолчанию.
— neverward (06/07/2012 10:22)   профиль/связь   <#>
комментариев: 43   документов: 0   редакций: 7
Всё перечисленное достигается в Xen по умолчанию.
++
XEN hvm
— Гость (06/07/2012 11:20)   <#>
Всё перечисленное достигается в Xen по умолчанию.
если он так хорош, почему тогда не используется так широко (за пределами unix)?
— Гость (06/07/2012 11:44)   <#>
Если UNIX так хорош, почему тогда повсюду на десктопах винда?
Amazon — это мало? Есть несколько коммерческих производных продуктов.
— Гость (06/07/2012 12:26)   <#>
так я не уменьшаю роль продукта. именно потому что пользователь винды большинство, логично было бы не игнорировать этот сегмент пользователей.
— Гость (06/07/2012 12:44)   <#>
Если виртуализация поддерживается процессором аппаратно, то можно принудительно виртуализировать в гостевых ОС всё, что угодно, хоть винду. Если не поддерживается, то нужны специальные ядра. Вы уверены, что у винды такого ядра нет? Пилили же, был проект на эту тему.
— SATtva (06/07/2012 14:20)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
жигули проста, но не хочется на ней ездить именно потому что не надежна.

"Make everything as simple as possible, but not simpler" © Эйнштейн. К слову, тенденция к навешиванию на автомобили компьютеров непрямого контроля движения (drive-by-wire) — контрпример нормальным активным системам безопасности, которых нет в "Жигулях", но которые не переусложняют систему более, чем нужно.
— unknown (06/07/2012 21:50, исправлен 06/07/2012 21:51)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664

Были устойчивы к нахождению различителя между предлагаемой работающей системой и анонимным оракулом! Пусть анонимный оракул — это идеальная модель, описывающая множество анонимусов, что подразумевает и несвязываемость профилей. Нахождение различителя при помощи достижимых ресурсов — это атака и т.д. Это если не для красоты, а для объединения методологий доказуемой безопасности с доказуемой анонимностью. Может когда-нибудь и анонимную ОС разработают и напишут (с раздачей контекстов анонимности, мандатного управления, анонимными подписями доступа к ресурсам, например, на базе той же QubeOS или SELinux) в соответствии с каким-нибудь теоретическим подходом, а не просто пересборкой из того, что под руку попалось.

— Гость (07/07/2012 01:02)   <#>
Да, было бы неплохо. Несколько лет назад один проект делал много шума и самопиара в сети, типа если какую-то там законодательную инициативу примут, они зарелизят анонимую ОС и всем настанет ппц, законодатели пожалеют. Уже и не помню, зарелизили ли что, но интересного ничего не было. Кажетя, 4-5 букв в имени с буквой m, но не mint.
— SATtva (07/07/2012 07:57, исправлен 07/07/2012 07:57)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118

m-o-o-t. Ничего они не выпустили.

На страницу: 1, 2, 3, 4 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3