Вчера стало понятно, чем занималась все это время Джоанна Рутковска во главе своего же стартапа Invisible Things (та самая Джоанна, которая несколько лет назад наделала шуму по части использования технологий виртуализации в руткитах). Они разрабатывали собственную секьюрную операционку с картами и девушками на базе linux и xen. Песочницы, основанные на независимых виртуальных машинах используются вовсю (и компонентами системы и на уровне пользовательских процессов. Например дисковые операции вынесены в отдельную песочницу), под это дело разработан GUI, представляющий все это безобразие в виде окошек на десктопе и т.п. Обещают релиз к концу года
http://qubes-os.org/ , пока представляет скорее академический интерес, особенно довольно подробным описанием архитектуры системы:
Здравствуйте, DOOM, Вы писали:
DOO>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>И похоже, что у них есть все шансы сделать по настоящему безопасную ОС
DOO>Объясни мне неучу — почему встроенных механизмов защиты памяти и доступа к устройствам недостаточно и надо обязательно городить огород с гипервизором?
Потому что в браузерах дыры, в почтовых клиентах дыры, в играх дыры, етс Я бы сделал так:
Виртуалка для игр
Виртуалка для серфинга — там только браузер, если что — сносится и ставится новая.
Виртуалка для секурного сёрфинга — почта, инет-банкинг.
Виртуалка для работы (там впн настроенные, рабочий софт, етс)
Как-то так. Если пробивают что-то одно (наиболее вероятно — игровую или сёрфинговую), то остальные остаются защищёнными.
Здравствуйте, Aen Sidhe, Вы писали:
AS>Потому что в браузерах дыры, в почтовых клиентах дыры, в играх дыры, етс Я бы сделал так:
Дальше-то что? Процессы изолированы слава богу. Сделать привилегии на доступ к системным вызовам, устройствам и т.п. можно.
Запускать процессы с разным набором привилегий — можно.
AS> AS>Виртуалка для игр AS>Виртуалка для серфинга — там только браузер, если что — сносится и ставится новая. AS>Виртуалка для секурного сёрфинга — почта, инет-банкинг. AS>Виртуалка для работы (там впн настроенные, рабочий софт, етс) AS>AS>Как-то так. Если пробивают что-то одно (наиболее вероятно — игровую или сёрфинговую), то остальные остаются защищёнными.
Ну а дальше-то что? Обмениваться между ними информацией надо? Надо. Будут между ними свои механизмы IPC и т.п.
Здравствуйте, DOOM, Вы писали:
DOO>Здравствуйте, Aen Sidhe, Вы писали:
AS>>Как-то так. Если пробивают что-то одно (наиболее вероятно — игровую или сёрфинговую), то остальные остаются защищёнными.
DOO>Ну а дальше-то что? Обмениваться между ними информацией надо? Надо. Будут между ними свои механизмы IPC и т.п.
Secured copy-paste без программного доступа из приложений и такое же копирование файлов. Вот и все механизмы взаимодействия двух AppVM.
DOO>>Ну а дальше-то что? Обмениваться между ними информацией надо? Надо. Будут между ними свои механизмы IPC и т.п.
AS>Secured copy-paste без программного доступа из приложений
Точно также делается без виртуалок (кстати, есть реализации и под винду, и под Linux).
AS>и такое же копирование файлов. Вот и все механизмы взаимодействия двух AppVM.
Ну а это тем более.
Здравствуйте, DOOM, Вы писали:
DOO>Здравствуйте, Aen Sidhe, Вы писали:
DOO>>>Ну а дальше-то что? Обмениваться между ними информацией надо? Надо. Будут между ними свои механизмы IPC и т.п.
AS>>Secured copy-paste без программного доступа из приложений DOO>Точно также делается без виртуалок (кстати, есть реализации и под винду, и под Linux). DOO>Ну а это тем более.
Угу, только там это дефолтный механизм и других нет, а в существующих ОС это надо ставить сверху и отключать всё остальное руками.
Здравствуйте, DOOM, Вы писали:
DOO>Здравствуйте, Aen Sidhe, Вы писали:
DOO>>>Ну а дальше-то что? Обмениваться между ними информацией надо? Надо. Будут между ними свои механизмы IPC и т.п.
AS>>Secured copy-paste без программного доступа из приложений DOO>Точно также делается без виртуалок (кстати, есть реализации и под винду, и под Linux).
AS>>и такое же копирование файлов. Вот и все механизмы взаимодействия двух AppVM. DOO>Ну а это тем более.
Собственно, осильте прочитать первые 10 страниц PDF'a с архитектурой. Там написано всё то, что перевожу оттуда я, только скопом.
Здравствуйте, DOOM, Вы писали: AS>>Потому что в браузерах дыры, в почтовых клиентах дыры, в играх дыры, етс Я бы сделал так: DOO>Дальше-то что?
Это защита по принципу пакетов с пивом. Если положить два дырявых пакета один в один, пиво будет выливаться медленнее.
Здравствуйте, Aen Sidhe, Вы писали:
AS>Собственно, осильте прочитать первые 10 страниц PDF'a с архитектурой. Там написано всё то, что перевожу оттуда я, только скопом.
Собственно, я думал, что Владимир мне озвучит какую-то киллер фичу, чтобы не пришлось читать весь документ и делать вывод, что кроме моды на виртуализцию других предпосылок к созданию такой ОС нет.
Здравствуйте, Aen Sidhe, Вы писали:
AS>Угу, только там это дефолтный механизм и других нет, а в существующих ОС это надо ставить сверху и отключать всё остальное руками.
Ну это тоже не аргумент. Но ладно. Отложим — действительно, я сначала почитаю это как-нибудь, а потом уже примусь за основательную критику
Здравствуйте, DOOM, Вы писали:
DOO>Здравствуйте, Aen Sidhe, Вы писали:
AS>>Собственно, осильте прочитать первые 10 страниц PDF'a с архитектурой. Там написано всё то, что перевожу оттуда я, только скопом.
DOO>Собственно, я думал, что Владимир мне озвучит какую-то киллер фичу, чтобы не пришлось читать весь документ и делать вывод, что кроме моды на виртуализцию других предпосылок к созданию такой ОС нет.
Вкратце: единый GUI между виртуальными машинами делает для юзера прозрачным переключение между VM. Т.е. обычный альт-таб и ты уже в другой VM. Там у браузера другие права (право, поставить N хромов, допустим невозможно, поставить более N копий других браузеров геморройно).
С разными VM делаем так: в банковой VM запрещаем браузеру всё, кроме хттпс и одного сайта (банка); в VM для форумов — разрешаем всё. При этом, в случае взлома форумного браузера из-за XSS атаки или ещё чего, всякие куки, логины и прочее от банка — не утекут. Так как тупо нет доступа. Как сделать подобный аналог в виндах я, честно признаюсь, не знаю.
Здравствуйте, DOOM, Вы писали:
DOO>Здравствуйте, Aen Sidhe, Вы писали:
AS>>Собственно, осильте прочитать первые 10 страниц PDF'a с архитектурой. Там написано всё то, что перевожу оттуда я, только скопом.
DOO>Собственно, я думал, что Владимир мне озвучит какую-то киллер фичу, чтобы не пришлось читать весь документ и делать вывод, что кроме моды на виртуализцию других предпосылок к созданию такой ОС нет.
Да почему сразу киллер-фичу? Просто они ввели еще один уровень абстракции, на котором имеет место набор контролируемых зон, не зависящих друг от друга и от встроенных средств изоляции и реакции на события безопасности и имеющих весьма небольшую площадь пересечения. Т.е. дополнительные, обоснованные гарантии безопасности, но не более того.
Здравствуйте, Aen Sidhe, Вы писали:
AS>С разными VM делаем так: в банковой VM запрещаем браузеру всё, кроме хттпс и одного сайта (банка); в VM для форумов — разрешаем всё. При этом, в случае взлома форумного браузера из-за XSS атаки или ещё чего, всякие куки, логины и прочее от банка — не утекут. Так как тупо нет доступа. Как сделать подобный аналог в виндах я, честно признаюсь, не знаю.
Это назвается домены безопасности. Идее сто лет в обед (просто по-новому посмотрели).
Под винду я знаю только коммерческие реализации, причем только те, с вендорами которых мы партнеримся — поэтому называть не буду.
Под линукс это — SELinux и прочие AppArmor.
Есть это и в банальном сотовом телефоне (профили безопасности Java приложений).
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Да почему сразу киллер-фичу? Просто они ввели еще один уровень абстракции, на котором имеет место набор контролируемых зон, не зависящих друг от друга и от встроенных средств изоляции
Ты точно ТОКБ не изучал?
Абсолютная корректность субъектов друг относительно друга и монитора безопасности — достаточное условие изолированной программной среды
KV>и реакции на события безопасности и имеющих весьма небольшую площадь пересечения. Т.е. дополнительные, обоснованные гарантии безопасности, но не более того.
понятно. С точки зрения чистой теории нового ничего
Здравствуйте, Aen Sidhe, Вы писали:
AS>С разными VM делаем так: в банковой VM запрещаем браузеру всё, кроме хттпс и одного сайта (банка); в VM для форумов — разрешаем всё. При этом, в случае взлома форумного браузера из-за XSS атаки или ещё чего, всякие куки, логины и прочее от банка — не утекут. Так как тупо нет доступа. Как сделать подобный аналог в виндах я, честно признаюсь, не знаю.
Ставишь два фаерфокса — с одного ходишь в банк, с другого — на форумы. XSS-атакой на форумный браузер куки и логины от банка тоже никто не сможет получить.
Здравствуйте, DOOM, Вы писали:
DOO>Здравствуйте, Aen Sidhe, Вы писали:
AS>>С разными VM делаем так: в банковой VM запрещаем браузеру всё, кроме хттпс и одного сайта (банка); в VM для форумов — разрешаем всё. При этом, в случае взлома форумного браузера из-за XSS атаки или ещё чего, всякие куки, логины и прочее от банка — не утекут. Так как тупо нет доступа. Как сделать подобный аналог в виндах я, честно признаюсь, не знаю.
DOO>Это назвается домены безопасности. Идее сто лет в обед (просто по-новому посмотрели).
Никто не говорил, что это новейшая идея и ноу-хау.
DOO>Под линукс это — SELinux и прочие AppArmor.
Здравствуйте, LuciferSaratov, Вы писали:
LS>Здравствуйте, Aen Sidhe, Вы писали:
AS>>С разными VM делаем так: в банковой VM запрещаем браузеру всё, кроме хттпс и одного сайта (банка); в VM для форумов — разрешаем всё. При этом, в случае взлома форумного браузера из-за XSS атаки или ещё чего, всякие куки, логины и прочее от банка — не утекут. Так как тупо нет доступа. Как сделать подобный аналог в виндах я, честно признаюсь, не знаю.
LS>Ставишь два фаерфокса — с одного ходишь в банк, с другого — на форумы. XSS-атакой на форумный браузер куки и логины от банка тоже никто не сможет получить.
Ровно до того момента, как не найдут уязвимость про выполнение любого кода, повышения привелегий и прочее.
Здравствуйте, DOOM, Вы писали:
DOO>Здравствуйте, kochetkov.vladimir, Вы писали:
KV>>Да почему сразу киллер-фичу? Просто они ввели еще один уровень абстракции, на котором имеет место набор контролируемых зон, не зависящих друг от друга и от встроенных средств изоляции DOO>Ты точно ТОКБ не изучал?
Заметно? У меня вообще по безопасности ничего отдельного не было.
DOO>Абсолютная корректность субъектов друг относительно друга и монитора безопасности — достаточное условие изолированной программной среды
Дык корректность еще доказывать надо, в таком случае. А тут она как следствие, сама собой вытекает.