Форум "философия", ... пофилосовствуем на тему — Можно ли как-то принципиально, раз и на всегда решить ворос безопасности?
Какие тут есть проблемы:
1) Вирусы
2) Трояны
3) Разграничение
Проблема "Вирусы", это в первую очередь распостранение, можно ли как то в принципе придумать так чтобы вирусы не могли распостраняться?
Проблема "Трояны", это проблема скрытного выживания программы в системе, можно ли как-то придумать так чтобы скрытно сущуствовать в системе было невозможно?
Проблема "Разграничение", это даже не проблема, а отдельная большая тема — тут ее лучше не рассматривать.
То есть вот у живых организмов есть имунная система, она защищает организм, но живые организмы формировались трансформируясь, и имунная система это ответ на проблему, а если бы живые организмы создавались с нуля, то может быть как-то можно было бы придумать, так что бы никакие вирусы и бактерии и паразиты просто не могли бы жить в таком организме.
ОС создается людьми с нуля, почему тут таже проблема — почему не придумали ( а может можно ) такую архитектуру что бы вирусы и трояны не могли бы быть созданы в принципе.
Ну вот тут при проектировании архитекрутры обычно применяют разные методы для для решения проблем — вот скажем есть "проблема" заражения исполняемого файла, тут чтобы закрыть проблему можно просто 1) Убрать такое понятие как исполняемый файл. 2) Сделать его на всегда только чтение — ну по аналогии с ROM. В ПЗУ файл вирусом не заразишь.
Вот предлагаю думать/по рассуждать на эту тему.
Тему специально тут завел а не в ИБ форуме, так как тут скорее именно мозговой штурм и философия, чем ИБ.
- Господа, я всё придумал! Мы купим виноград, очень много винограда! 8 тонн! И положим его в огромный целлофановый пакет! Потом закопаем всё это в землю и через месяц выкопаем! Забродивший сок увезем в Москву, где откроем свой завод. И будем этим соком заправлять выдохшиеся фломастеры! Мы станем богатыми! Очень богатыми!
— Первый канал представляет – ИДИОТЫ! По романам Федоров Михайловичей Достоевских.
Здравствуйте, Andrew.W Worobow, Вы писали:
AWW>Форум "философия", ... пофилосовствуем на тему — Можно ли как-то принципиально, раз и на всегда решить ворос безопасности?
Пока что всё выглядит как попытка решить социальную проблему техническими средствами.
В принципе, есть несколько потенциально интересных направлений. Например, требование цифровой подписи для всех устанавливаемых приложений позволяет как минимум отследить происхождение кода.
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
Здравствуйте, Andrew.W Worobow, Вы писали:
AWW>то может быть как-то можно было бы придумать, так что бы никакие вирусы и бактерии и паразиты просто не могли бы жить в таком организме.
Человеческое тело, оказывается, почти целиком состоит из микроорганизмов. Однако пугаться прежде времени не стоит, пишет Daily Mail: эти существа – не чужеродные формы жизни. Для триллионов микроскопических жизненных форм человеческий организм является родным домом.
"Мы, по сути, лишь на 10% люди, а все остальное – микробы", – уверяет доктор Рой Д. Слитор из ирландского Института Корка. За четыре года основательного изучения предмета он пришел к выводу о том, что истинная роль бактериальных популяций, проживающих в человеческом организме, незаслуженно умаляется.
Здравствуйте, Andrew.W Worobow, Вы писали:
AWW>Форум "философия", ... пофилосовствуем на тему — Можно ли как-то принципиально, раз и на всегда решить ворос безопасности?
Раз и навсегда нельзя, но можно устранить целые классы уязвимостей.
Чего принципиально убрать нельзя — это уязвимость через социальную инженерию.
Грубо говоря, если экран браузера залить красным цветом, написать большими буквами "Опасность! Срочно введите пароль от кредитки, иначе ядерная война!" — то даже на это какой-то процент людей поведется.
AWW>Проблема "Вирусы", это в первую очередь распостранение, можно ли как то в принципе придумать так чтобы вирусы не могли распостраняться?
1) Запрет на динамическую загрузку исполняемого кода, весь исполняемый код находится в одном месте (репозитории).
2) Верификация всего исполняемого кода.
3) Capability-based security — никакая программа не может дать прав другой программе больше, чем сама имеет.
AWW>Проблема "Трояны", это проблема скрытного выживания программы в системе, можно ли как-то придумать так чтобы скрытно сущуствовать в системе было невозможно?
Если система скомпрометирована (например, бинарный образ физически заменен на подпатченный) — то ничего сделать нельзя.
Нужно что-то типа аппаратного верификатора ядра системы — носишь флешку с собой, а на ней БИОС и верификатор. Как ключ в машине.
AWW>Проблема "Разграничение", это даже не проблема, а отдельная большая тема — тут ее лучше не рассматривать.
По поводу разграничений — надо запретить из под одного аккаунта делать действия типа "ходить в интернет" и "форматировать диск".
Ни один супер-администратор не должен иметь такую возможность. Один тип аккаунта может ТОЛЬКО форматировать диск, а другой — ТОЛЬКО ходить в интернет.
Т.е. должны быть группы типа "Пользователь компьютера", "Администратор дисков", "Администратор разграничения доступа" и т.п.
AWW>ОС создается людьми с нуля, почему тут таже проблема — почему не придумали ( а может можно ) такую архитектуру что бы вирусы и трояны не могли бы быть созданы в принципе.
Легаси-код. В случае виндовс местами еще и подход "security through obscurity", ибо никто не запрещает программам срать в реестр тысячами ключей, которые не удаляются при деинсталляции и потом используются для валидации срока пробной версии.
Здравствуйте, Andrew.W Worobow, Вы писали:
AWW>Проблема "Вирусы", это в первую очередь распостранение, можно ли как то в принципе придумать так чтобы вирусы не могли распостраняться?
Чем вирус отличается от других программ? Проблему можно решить, если ограничить набор программ для установки. Например, только из AppStore. Ну а так всегда будет возможна ситуация, что пользователь хочет установить некоторую программу, а ему не дают.
AWW>Проблема "Трояны", это проблема скрытного выживания программы в системе, можно ли как-то придумать так чтобы скрытно сущуствовать в системе было невозможно?
Можно, если не работать под root. Опять же, ряд приложений вполне можна рассматривать как аналоги операционки. Например, Firefox и в нем addon.
Re[2]: Безопасность ОС. Можно ли решить кардинально?
S>Пока что всё выглядит как попытка решить социальную проблему техническими средствами. S>В принципе, есть несколько потенциально интересных направлений. Например, требование цифровой подписи для всех устанавливаемых приложений позволяет
... позволяет заработать на продаже водуха сертификатов.
Кроме того цифровую подпись нужно проверять и удостоверять. Мы же говорим про компьютеры обычных пользователей — значит в числе доверенных центров будут и российсие и американские и европейские УЦ. Все равно спецслужбы неизвестные злоумышленники злых вирусов подпишут и понавыпускают.
ну и не забываем про время необходимое для проверки подписей. современные ЭВМ конечно делают много операций в секунду. но как то тратятся эти операции бездарно. фактически в 2000 году программы были быстрее и отзывчивее. имхо.
Здравствуйте, Andrew.W Worobow, Вы писали:
AWW>Форум "философия", ... пофилосовствуем на тему — Можно ли как-то принципиально, раз и на всегда решить ворос безопасности?
AWW>Какие тут есть проблемы: AWW>1) Вирусы AWW>2) Трояны AWW>3) Разграничение
Начните с гарвардской архитектуры вместо фонНеймановской. Сразу станет полегче.
Re[2]: Безопасность ОС. Можно ли решить кардинально?
Здравствуйте, Andrew.W Worobow, Вы писали:
AWW>Форум "философия", ... пофилосовствуем на тему — Можно ли как-то принципиально, раз и на всегда решить ворос безопасности?
Может быть, прежде чем философствовать на тему, стоит все же сформулировать сам вопрос? Ибо для всех его более-менее строгих формулировок давно и формально доказана неразрешимость проблемы обеспечения безопасности сколь-нибудь сложной информационной системы. А если подходить неформально, то любые предпринимаемые меры (включая все, предложенные в этой теме) будут напоминать попытки запастись горой запасных колес в дальнюю дорогу. Вероятность того, что их в дороге не хватит будет уменьшаться с ростом их числа, но с этим же ростом будет и увеличиваться неудобство, связанное с необходимостью тащить их все с собой. И принципиально решить этот вопрос можно лишь отказавшись от идеи добираться автомобилем
А на практике, в 99% случаев, эти запаски не потребуются вообще, ага
Здравствуйте, Andrew.W Worobow, Вы писали:
AWW>Проблема "Вирусы", это в первую очередь распостранение, можно ли как то в принципе придумать так чтобы вирусы не могли распостраняться?
Verve OS
AWW>Проблема "Трояны", это проблема скрытного выживания программы в системе, можно ли как-то придумать так чтобы скрытно сущуствовать в системе было невозможно?
Достаточно заставить все приложения устанавливаться в персональную песочницу.
Короче можно закрыть всё кроме социальной инженерии.
... << RSDN@Home 1.2.0 alpha 5 rev. 62>>
Пусть это будет просто:
просто, как только можно,
но не проще.
(C) А. Эйнштейн
Re[3]: Безопасность ОС. Можно ли решить кардинально?
Здравствуйте, Stanislaw K, Вы писали: SK>... позволяет заработать на продаже водуха сертификатов. SK>Кроме того цифровую подпись нужно проверять и удостоверять. Мы же говорим про компьютеры обычных пользователей — значит в числе доверенных центров будут и российсие и американские и европейские УЦ. Все равно спецслужбы неизвестные злоумышленники злых вирусов подпишут и понавыпускают.
Простите, вы не могли бы поподробнее осветить этот момент с точки зрения PKI?
Каким образом эти "злоумышленники" останутся неизвестными?
SK>ну и не забываем про время необходимое для проверки подписей.
Вы серьёзно?
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
Re[2]: Безопасность ОС. Можно ли решить кардинально?
Здравствуйте, WolfHound, Вы писали: WH>Здравствуйте, Andrew.W Worobow, Вы писали:
AWW>>Проблема "Вирусы", это в первую очередь распостранение, можно ли как то в принципе придумать так чтобы вирусы не могли распостраняться? WH>Verve OS
Что именно в Verve помешает распространяться вирусам? o_O
AWW>>Проблема "Трояны", это проблема скрытного выживания программы в системе, можно ли как-то придумать так чтобы скрытно сущуствовать в системе было невозможно? WH>Достаточно заставить все приложения устанавливаться в персональную песочницу.
...и обеспечить их взаимодействие с ОС и друг с другом. И вот тут-то и начинается самое интересное
Здравствуйте, Sinclair, Вы писали:
AWW>>Форум "философия", ... пофилосовствуем на тему — Можно ли как-то принципиально, раз и на всегда решить ворос безопасности?
S>Пока что всё выглядит как попытка решить социальную проблему техническими средствами.
S>В принципе, есть несколько потенциально интересных направлений. Например, требование цифровой подписи для всех устанавливаемых приложений позволяет как минимум отследить происхождение кода.
Это решение относится к решениям "типа" — забор. Ну то есть мы строим забор с калиткой, через которую пропускаем только тех кто имеет некий мандат.
Для преодоления надо подделать мандат или пройти в двоем вместе с тем кто мандат имеет.
Я же предлагаю, придумать такую систему (возможно не только ОС, пусть даже и архитектуру железа) при которой таких заборов не надо, чтобы обеспечить безопасность.
В качестве иллюстрации, продолжая образ с заборами и калитками, надо не строить заборы, а "не строить мосты". То есть что бы добратся куда то, надо построить сначала мост. Ну так как строить всегда дольше чем ломать, то при определенном условии может оказаться что мост построить будет просто "заразе" не под силу.
Не все кто уехал, предал Россию.
Re[2]: Безопасность ОС. Можно ли решить кардинально?
Здравствуйте, Osaka, Вы писали:
>>кардинально O>Каждому приложению своя виртуальная машина!
Это так называемая "изолированная среда".
Это архитектурное решение лучше, чем строить заборы — это как раз из разряда не строить мостов.
Ну только надо теперь "придумать" как эти машины или среды будут жить уже на уровне процессоров.
И почему никак будет не возможно выйти из этой машины в другую или в супервизор.
Не все кто уехал, предал Россию.
Re[2]: Безопасность ОС. Можно ли решить кардинально?
Здравствуйте, kochetkov.vladimir, Вы писали:
KV>Может быть, прежде чем философствовать на тему, стоит все же сформулировать сам вопрос? Ибо для всех его более-менее строгих формулировок давно и формально доказана неразрешимость проблемы обеспечения безопасности сколь-нибудь сложной информационной системы. А если подходить неформально, то любые предпринимаемые меры (включая все, предложенные в этой теме) будут напоминать попытки запастись горой запасных колес в дальнюю дорогу. Вероятность того, что их в дороге не хватит будет уменьшаться с ростом их числа, но с этим же ростом будет и увеличиваться неудобство, связанное с необходимостью тащить их все с собой. И принципиально решить этот вопрос можно лишь отказавшись от идеи добираться автомобилем
Ну почему-же неразрешимая.
Возмите просто архитектуру где есть ЦПУ1 есть память где хранятся команды ОП1 и есть где хранятся данные ОП2. ЦПУ1 не имеет прав на запись в ОП1 и имеет все права на ОП2. Есть ЦПУ2 который имеет право на запись в ОП1 и не имеет прав на запись в ОП2.
ЦПУ2 это просто лоадер, который загржает код для большого ЦПУ1. Имеет пару команд и его код например подписан и он имеет архтектуру WLIV ( например ).
Не все кто уехал, предал Россию.
Re[3]: Безопасность ОС. Можно ли решить кардинально?
Здравствуйте, Andrew.W Worobow, Вы писали:
AWW>Ну почему-же неразрешимая.
Потому что неразрешима проблема останова, к которой сводится проблема доказательства защищенности ИС
AWW>Возмите просто архитектуру где есть ЦПУ1 есть память где хранятся команды ОП1 и есть где хранятся данные ОП2. ЦПУ1 не имеет прав на запись в ОП1 и имеет все права на ОП2. Есть ЦПУ2 который имеет право на запись в ОП1 и не имеет прав на запись в ОП2.
И откуда ЦПУ2 будет брать команды для загрузки в ОП1? Вопрос риторический, сразу перескочу к главному: кто из них будет иметь право писать в порты внешних устройств, а кто считывать из них?
AWW>>>Проблема "Трояны", это проблема скрытного выживания программы в системе, можно ли как-то придумать так чтобы скрытно сущуствовать в системе было невозможно? WH>>Достаточно заставить все приложения устанавливаться в персональную песочницу. KV>...и обеспечить их взаимодействие с ОС и друг с другом. И вот тут-то и начинается самое интересное
Да-да. Пользователи, как ни странно, удобства хотят — открывать вордом документы скачанные в браузере и таскать картинки из ворда в скайп. Причем без тыщи подтверждений и проверок, а так чтоб просто работало.
Как много веселых ребят, и все делают велосипед...
Re[3]: Безопасность ОС. Можно ли решить кардинально?
Здравствуйте, Andrew.W Worobow, Вы писали:
AWW>Это решение относится к решениям "типа" — забор. Ну то есть мы строим забор с калиткой, через которую пропускаем только тех кто имеет некий мандат. AWW>Для преодоления надо подделать мандат или пройти в двоем вместе с тем кто мандат имеет. AWW>Я же предлагаю, придумать такую систему (возможно не только ОС, пусть даже и архитектуру железа) при которой таких заборов не надо, чтобы обеспечить безопасность. AWW>В качестве иллюстрации, продолжая образ с заборами и калитками, надо не строить заборы, а "не строить мосты". То есть что бы добратся куда то, надо построить сначала мост. Ну так как строить всегда дольше чем ломать , то при определенном условии может оказаться что мост построить будет просто "заразе" не под силу.
Излишняя поэтика вредит инженерому делу. Вот, скажем, если "построить" — это найти произведение N простых множителей, а, соответственно, "сломать" — это разложить число обратно на простые множители, то ваша утверждение строго неверно.
Если вы хотите поговорить про capability-based security, то лучше так и формулировать — мы же не в детском саду.
Уйдемте отсюда, Румата! У вас слишком богатые погреба.
