The OpenNET Project
 
Поиск (теги):    НОВОСТИ (+) КОНТЕНТ WIKI MAN'ы ФОРУМ

11.03.2009 23:47  Tin Hat - параноидально защищенный Linux дистрибутив

Представлен релиз десктоп-ориентированного дистрибутива Tin Hat 20090309, основанного на коде проекта Hardened Gentoo и нацеленного на предотвращение возможности утечки информации в случае получения недоброжелателем физического доступа к машинe и применения средств для анализа остаточных данных (forensic analyses).

В отличие от LiveCD в Tin Hat не производится монтирование при помощи файловых систем подобных UnionFS, вместо этого содержимое диска напрямую копируется в память, при этом для защиты от атаки методом холодной перезагрузки работа осуществляется с зашифрованным tmpfs разделом. После загрузки с DVD или USB Flash все операции производятся исключительно в памяти.

Для защиты от эксплуатации возможных уязвимостей во входящих в комплект программах в дистрибутиве включена поддержка PaX/Grsecurity, для предотвращения запуска rootkit-ов Linux ядро собрано монолитно, без поддержки загрузки модулей.

Ценой высокой безопасности является:

  • Медленная первоначальная загрузка - копирование в память двухгигабайтного образа системы занимает от 2 до 5 минут в зависимости от типа носителя. Но после загрузки производительность системы на высоте, так как все программы находятся в RAM-диске;
  • Высокие системные требования - для комфортной работы с GNOME окружением рекомендуют 4Гб ОЗУ;
  • Высокая вероятность потерять данные при отключении питания или после сбоя - данные сохраняются только путем создания зашифрованного iso образа всей системы и копирования его на DVD или USB Flash.


  1. Главная ссылка к новости (http://opensource.dyc.edu/pipermail/tinh...)
  2. OpenNews: Защита от атаки на секретные данные методом холодной перезагрузки
  3. OpenNews: Представлены исходные тексты для совершения атаки методом холодной перезагрузки
  4. OpenNews: Атака на секретные данные методом холодной перезагрузки
Тип: Тема для размышления
Ключевые слова: linux, gentoo, secruity, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
Реклама
Обсуждение Линейный вид (Ajax) | Показать все | RSS
 
  • 1.1, ABC, 00:17, 12/03/2009 [ответить] [смотреть все]
  • +/
    >для защиты от атаки методом холодной перезагрузки работа
    >осуществляется с зашифрованным tmpfs разделом

    Так, а ключи, в воздухе что ли зависают?

     
     
  • 2.28, Владимир, 09:46, 12/03/2009 [^] [ответить] [смотреть все] [показать ветку]
  • +/
    Собственно, если по ссылке пройти, то разработчики сами признают, что с этим нич... весь текст скрыт [показать] [показать ветку]
     
  • 2.30, uldus, 11:20, 12/03/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    В кеше процессора ключи можно хранить, там есть ссылка к новости про это ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.51, ABC, 01:21, 13/03/2009 [^] [ответить] [смотреть все]  
  • +/
    По ссылке, авторы проекта сами говорят, что ключи у них в ОЗУ... весь текст скрыт [показать]
     
     
  • 4.54, uldus, 09:51, 13/03/2009 [^] [ответить] [смотреть все]  
  • +/
    Я про ссылку Защита от атаки на секретные данные методом холодной перезагрузки ... весь текст скрыт [показать]
     
  • 1.2, User294, 00:22, 12/03/2009 [ответить] [смотреть все]  
  • +/
    Что-то их парнойя конкретно так пробила.А что, сохранять данные на шифрованный жесткий диск - не того?Что-то не понял смысла создания исошек.Это чтобы было максимально черезжопно и неудобно чтоли?Чтобы доказать всем что удобной безопасности не бывает? :)
     
     
  • 2.24, Andrew Kolchoogin, 09:29, 12/03/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Доказывать это не нужно -- by definition, удобной безопасности не бывает ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.50, User294, 17:36, 12/03/2009 [^] [ответить] [смотреть все]  
  • +/
    Отсюда следует что ее надо сделать неудобной по максимуму Ну если по максимуму ... весь текст скрыт [показать]
     
  • 1.3, pavlinux, 01:02, 12/03/2009 [ответить] [смотреть все]  
  • +/
    1. А как же защита от клавиатурных шпиёнов.
    2. Тупо, от камер наблюдения.
    3. От kexec ядра, с "нужными" утилитками, замаскированрого под заставку BIOS и POST.
    4. ЭМИ-читалок.
    5. Звуковых анализаторов... Ну типа "qwerasdf" вы наберете быстее, чем "keyboard".
    6. IR сканеров - во время набора пароля, происходит маленький скачок тепла у человека.

    да и ещё кучу всего интересного.... скоро книжку напишу...

     
     
  • 2.4, Аноним, 01:23, 12/03/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Человек, ты крут ты офигительно крут если б я такое сказал в универе на переме... весь текст скрыт [показать] [показать ветку]
     
  • 2.6, Аноним, 02:38, 12/03/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это от паяльника в заднице чтоль ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.13, pavlinux, 08:20, 12/03/2009 [^] [ответить] [смотреть все]  
  • +/
    Это тогда амперметр надо ставить, ибо будет скачок напряжения ... весь текст скрыт [показать]
     
     
  • 4.39, Serega, 13:14, 12/03/2009 [^] [ответить] [смотреть все]  
  • +/
    напряжение меряют вольтметром, а амперметром - силу тока ... весь текст скрыт [показать]
     
  • 4.55, Аноним, 07:07, 16/03/2009 [^] [ответить] [смотреть все]  
  • +/
    Ой не пишите книги на технические темы Вы силу тока от напряжения не отличаете ... весь текст скрыт [показать]
     
  • 2.10, mma, 04:37, 12/03/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Теоретик млин Полный бред пишешь 1 от 1 и 2 защита элементарная - длинный п... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.14, anonymous, 08:28, 12/03/2009 [^] [ответить] [смотреть все]  
  • +/
    http xkcd com 538 ... весь текст скрыт [показать]
     
  • 3.15, pavlinux, 08:33, 12/03/2009 [^] [ответить] [смотреть все]  
  • +/
    Практик Аппаратный кейлогер, - по виду - цилиндрицеская прещепка, с КВ передатч... весь текст скрыт [показать]
     
     
  • 4.23, Andrew Kolchoogin, 09:27, 12/03/2009 [^] [ответить] [смотреть все]  
  • +/
    На ноутбук В тихое незаметное место Где оно у ноутбука, разрешите по... весь текст скрыт [показать]
     
     
  • 5.44, Sergey, 14:34, 12/03/2009 [^] [ответить] [смотреть все]  
  • +/
    На ноутбук В тихое незаметное место Где оно у ноутбука, разрешите по... весь текст скрыт [показать]
     
     
  • 6.46, eve, 14:52, 12/03/2009 [^] [ответить] [смотреть все]  
  • +/
    Было дело Тот парень сделал самое главное - опубликовал http virus org ua un... весь текст скрыт [показать]
     
  • 6.47, eve, 15:19, 12/03/2009 [^] [ответить] [смотреть все]  
  • +/
    А вот и опровержение http www snopes com computer internet dellbug asp ... весь текст скрыт [показать]
     
  • 4.53, fank, 08:43, 13/03/2009 [^] [ответить] [смотреть все]  
  • +/
    gt оверквотинг удален вот я бы сильно посмотрел, как ты в банке свой ДВД попро... весь текст скрыт [показать]
     
  • 3.22, Andrew Kolchoogin, 09:24, 12/03/2009 [^] [ответить] [смотреть все]  
  • +/
    Человек слышал про понятие Plausible Deniability ... весь текст скрыт [показать]
     
  • 2.25, Andrew Kolchoogin, 09:31, 12/03/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    ROTFL Нет ничего тривиальнее Никогда не задумывался, как в современ... весь текст скрыт [показать] [показать ветку]
     
     ....нить скрыта, показать (15)

  • 1.5, кдпзу, 01:56, 12/03/2009 [ответить] [смотреть все]  
  • +/
    //происходит маленький скачок тепла у человека.

    про это поподробнее

     
     
  • 2.8, Hettikus, 03:59, 12/03/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это если человек пароль набирает раз в день А когда их набираешь постоянно и ра... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.18, pavlinux, 08:44, 12/03/2009 [^] [ответить] [смотреть все]  
  • +/
    Ну если в кратце, то по аналогии с реакцией в мозге на знакомое фото, слово, зву... весь текст скрыт [показать]
     
     
  • 4.34, anonymous, 11:49, 12/03/2009 [^] [ответить] [смотреть все]  
  • +/
    Это вы у него электроэнцефалограмму мозга снимать будете Любопытно посмотреть ... весь текст скрыт [показать]
     
  • 2.29, Аноним, 09:59, 12/03/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Потеть начинает ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.32, anonymous, 11:35, 12/03/2009 [^] [ответить] [смотреть все]  
  • +/
    ага, чувствует, что час расплаты близок ... весь текст скрыт [показать]
     
  • 1.11, человек, 07:49, 12/03/2009 [ответить] [смотреть все]  
  • +/
    Дистрибутив я думаю уже нашел свою нишу, а если учесть то что ценность информации с каждом годом становится всё больше - в дальнейшем данные наработки окажутся весьма кстати.

    П.С. В треде ничего не говорилось про защиту от физических (нецифровых) методов получения доступа к целевой системе, так что все рассуждение про датчики, монтировки и так далее - полнейший бред.

    П.С.С. Такое впечатление что неадекватные люди с ЛОРа перебрались на опеннет, жаль :(.

     
     
  • 2.19, pavlinux, 08:50, 12/03/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ну читай заново Наверно Вы с ЛОРа, тогда видимо не знаете, что для этого мет... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.52, человек, 08:10, 13/03/2009 [^] [ответить] [смотреть все]  
  • +/
    gt оверквотинг удален Ну читай еще раз ... весь текст скрыт [показать]
     
  • 1.12, Аноним, 08:08, 12/03/2009 [ответить] [смотреть все]  
  • +/
    http www xkcd ru xkcd_img xkcd538___ png ... весь текст скрыт [показать]
     
     
  • 2.20, pavlinux, 08:55, 12/03/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Иногда необходимо, или даже выгодно, чтоб враг цель жертва думала что все нормал... весь текст скрыт [показать] [показать ветку]
     
  • 1.16, i, 08:38, 12/03/2009 [ответить] [смотреть все]  
  • +/
    от паяльника в жопе есть один способ, при вводе неправильного пароля шифрованный диск херится по состояния невосстановления.
     
     
  • 2.21, Dwa34, 09:23, 12/03/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Тру парни делают копию диска и работают с копией ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.26, Anon, 09:32, 12/03/2009 [^] [ответить] [смотреть все]  
  • +/
    Ага, от неправильного пароля защита копирование диска А от правильного паяльник... весь текст скрыт [показать]
     
  • 3.27, Andrew Kolchoogin, 09:35, 12/03/2009 [^] [ответить] [смотреть все]  
  • +/
    Тру парни очень удивятся, когда диск от неправильного пароля смонтируется, и... весь текст скрыт [показать]
     
  • 1.17, i, 08:40, 12/03/2009 [ответить] [смотреть все]  
  • +/
    или лучше 'определенного' не правильного пароля, например на 1-2 букву отличающегося от правильного.
     
     
  • 2.36, littster, 12:34, 12/03/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    итить а я думал, что я параноик ... весь текст скрыт [показать] [показать ветку]
     
  • 1.35, Alex, 12:08, 12/03/2009 [ответить] [смотреть все]  
  • +/
    Дааа, товарищи, параноя рулит, но саме главное забирает на себя все внимание.
    Первое правило любых средств защиты информации: ни одно средство, каким бы изащренным оно не было, не является панацеей. А следовательно, строить защиту только лишь установкой одного, даже суперзащищенного дистррибутива бред. Защитка должна быть КОМПЛЕКСНОЙ. И прежде всего основваться на оганизационных мерах, затем уже средства контроля доступа(шумелки всякие и т.п.) и только потом можно думать о защите вычислительных средств. Так что сей дистр никак не панацея, но хороший инструмент для построения надежной защиты.
     
  • 1.41, Аноним, 13:59, 12/03/2009 [ответить] [смотреть все]  
  • +/
    Зачем грузить весь имейж в память, что такого секретного может быть в bin sbin u... весь текст скрыт [показать]
     
     
  • 2.43, anonymous, 14:25, 12/03/2009 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Ты не работал с LiveCD Работать в системе, отклик которой лимитирован откликом ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.45, Аноним, 14:52, 12/03/2009 [^] [ответить] [смотреть все]  
  • +/
    ну конечно, гораздо прятнее бегать и искать комп с 3 гигами озу а хомяк и настро... весь текст скрыт [показать]
     
  • 1.48, Аноним, 16:19, 12/03/2009 [ответить] [смотреть все]  
  • +/
    Если с ним комфортно - я его установлю Ещё бы скрипты для шифровки в Интернете ... весь текст скрыт [показать]
     
  • 1.49, graaf, 17:33, 12/03/2009 [ответить] [смотреть все]  
  • +/
    pavlinux, ты, реально, параноик :) в хорошем смысле:)
     

    Ваш комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:
     
    Навигация
     
     Новости для экспорта XML
     В социальных сетях:  twitter    
     Сводные | за день | мини-новости
     Разделы новостей
     Что нового на OpenNet
     Поиск в новостях
     Новые комментарии
     Добавить свою новость

    Важное
    - 04.08 Релиз ядра Linux 3.16 (127 +41)

    Советы
    - 17.08 Простой способ существенно увеличить производительность открытого драйвера RadeonSI
    - 02.06 Увеличение числа вкладок, вмещающихся в строке Firefox
    - 01.06 Как в mpd5 присвоить определенный номер для ng интерфейса
    - 09.04 Блокирование попыток эксплуатации heartbeat-уязвимости в OpenSSL средствами iptables
    - 04.04 Создание чистого openvz-контейнера на основе CentOS 6

    Обсуждаемые новости
    - 16:28 Выпуск systemd 216 c networkctl и кэширующим DNS Resolver (138)
    - 16:27 Администрация Мюнхена создаст рабочую группу для анализа про (273)
    - 16:25 Вышла версия 2.066 компилятора языка D (84)
    - 16:25 Релиз открытой биллинговой системы ABillS 0.56 (18)
    - 16:11 Изменения в лицензировании Qt. Добавлена поддержка лицензии  (2)
    - 16:08 В  MD/RAID6 в Linux выявлена проблема, кот (27)
    - 16:03 Обновление Java SE 8 Update 20 (23)
    - 15:55 В Git-репозиториях ядра Linux обеспечена поддержка двухфакто (39)


      Закладки на сайте
      Проследить за страницей
    Created 1996-2014 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    RUNNet TopList