OpenNews: Tin Hat - параноидально защищенный Linux дистрибутив

11.03.2009 23:47 Tin Hat - параноидально защищенный Linux дистрибутив

Представлен релиз десктоп-ориентированного дистрибутива Tin Hat 20090309, основанного на коде проекта Hardened Gentoo и нацеленного на предотвращение возможности утечки информации в случае получения недоброжелателем физического доступа к машинe и применения средств для анализа остаточных данных (forensic analyses).

В отличие от LiveCD в Tin Hat не производится монтирование при помощи файловых систем подобных UnionFS, вместо этого содержимое диска напрямую копируется в память, при этом для защиты от атаки методом холодной перезагрузки работа осуществляется с зашифрованным tmpfs разделом. После загрузки с DVD или USB Flash все операции производятся исключительно в памяти.

Для защиты от эксплуатации возможных уязвимостей во входящих в комплект программах в дистрибутиве включена поддержка PaX/Grsecurity, для предотвращения запуска rootkit-ов Linux ядро собрано монолитно, без поддержки загрузки модулей.

Ценой высокой безопасности является:

Медленная первоначальная загрузка - копирование в память двухгигабайтного образа системы занимает от 2 до 5 минут в зависимости от типа носителя. Но после загрузки производительность системы на высоте, так как все программы находятся в RAM-диске;
Высокие системные требования - для комфортной работы с GNOME окружением рекомендуют 4Гб ОЗУ;
Высокая вероятность потерять данные при отключении питания или после сбоя - данные сохраняются только путем создания зашифрованного iso образа всей системы и копирования его на DVD или USB Flash.

исправить +/–

Тип: Тема для размышления

Ключевые слова: linux, gentoo, secruity, (найти похожие документы)

При перепечатке указание ссылки на opennet.ru обязательно

Реклама

Обсуждение

Линейный вид (Ajax) | Показать все | RSS

1.1, ABC, 00:17, 12/03/2009 [ответить] [смотреть все]	+/–
>для защиты от атаки методом холодной перезагрузки работа >осуществляется с зашифрованным tmpfs разделом Так, а ключи, в воздухе что ли зависают?

2.28, Владимир, 09:46, 12/03/2009 [^] [ответить] [смотреть все] [показать ветку]	+/–
Собственно, если по ссылке пройти, то разработчики сами признают, что с этим нич... весь текст скрыт [показать] [показать ветку]

2.30, uldus, 11:20, 12/03/2009 [^] [ответить] [смотреть все] [показать ветку]	+/–
В кеше процессора ключи можно хранить, там есть ссылка к новости про это ... весь текст скрыт [показать] [показать ветку]

3.51, ABC, 01:21, 13/03/2009 [^] [ответить] [смотреть все]	+/–
По ссылке, авторы проекта сами говорят, что ключи у них в ОЗУ... весь текст скрыт [показать]

4.54, uldus, 09:51, 13/03/2009 [^] [ответить] [смотреть все]	+/–
Я про ссылку Защита от атаки на секретные данные методом холодной перезагрузки ... весь текст скрыт [показать]

1.2, User294, 00:22, 12/03/2009 [ответить] [смотреть все]	+/–
Что-то их парнойя конкретно так пробила.А что, сохранять данные на шифрованный жесткий диск - не того?Что-то не понял смысла создания исошек.Это чтобы было максимально черезжопно и неудобно чтоли?Чтобы доказать всем что удобной безопасности не бывает? :)

2.24, Andrew Kolchoogin, 09:29, 12/03/2009 [^] [ответить] [смотреть все] [показать ветку]	+/–
Доказывать это не нужно -- by definition, удобной безопасности не бывает ... весь текст скрыт [показать] [показать ветку]

3.50, User294, 17:36, 12/03/2009 [^] [ответить] [смотреть все]	+/–
Отсюда следует что ее надо сделать неудобной по максимуму Ну если по максимуму ... весь текст скрыт [показать]

1.3, pavlinux, 01:02, 12/03/2009 [ответить] [смотреть все]

+/–

1. А как же защита от клавиатурных шпиёнов.
2. Тупо, от камер наблюдения.
3. От kexec ядра, с "нужными" утилитками, замаскированрого под заставку BIOS и POST.
4. ЭМИ-читалок.
5. Звуковых анализаторов... Ну типа "qwerasdf" вы наберете быстее, чем "keyboard".
6. IR сканеров - во время набора пароля, происходит маленький скачок тепла у человека.

да и ещё кучу всего интересного.... скоро книжку напишу...

2.4, Аноним, 01:23, 12/03/2009 [^] [ответить] [смотреть все] [показать ветку]	+/–
Человек, ты крут ты офигительно крут если б я такое сказал в универе на переме... весь текст скрыт [показать] [показать ветку]

2.6, Аноним, 02:38, 12/03/2009 [^] [ответить] [смотреть все] [показать ветку]	+/–
Это от паяльника в заднице чтоль ... весь текст скрыт [показать] [показать ветку]

3.13, pavlinux, 08:20, 12/03/2009 [^] [ответить] [смотреть все]	+/–
Это тогда амперметр надо ставить, ибо будет скачок напряжения ... весь текст скрыт [показать]

4.39, Serega, 13:14, 12/03/2009 [^] [ответить] [смотреть все]	+/–
напряжение меряют вольтметром, а амперметром - силу тока ... весь текст скрыт [показать]

4.55, Аноним, 07:07, 16/03/2009 [^] [ответить] [смотреть все]	+/–
Ой не пишите книги на технические темы Вы силу тока от напряжения не отличаете ... весь текст скрыт [показать]

2.10, mma, 04:37, 12/03/2009 [^] [ответить] [смотреть все] [показать ветку]	+/–
Теоретик млин Полный бред пишешь 1 от 1 и 2 защита элементарная - длинный п... весь текст скрыт [показать] [показать ветку]

3.14, anonymous, 08:28, 12/03/2009 [^] [ответить] [смотреть все]	+/–
http xkcd com 538 ... весь текст скрыт [показать]

3.15, pavlinux, 08:33, 12/03/2009 [^] [ответить] [смотреть все]	+/–
Практик Аппаратный кейлогер, - по виду - цилиндрицеская прещепка, с КВ передатч... весь текст скрыт [показать]

4.23, Andrew Kolchoogin, 09:27, 12/03/2009 [^] [ответить] [смотреть все]	+/–
На ноутбук В тихое незаметное место Где оно у ноутбука, разрешите по... весь текст скрыт [показать]

5.44, Sergey, 14:34, 12/03/2009 [^] [ответить] [смотреть все]	+/–
На ноутбук В тихое незаметное место Где оно у ноутбука, разрешите по... весь текст скрыт [показать]

6.46, eve, 14:52, 12/03/2009 [^] [ответить] [смотреть все]	+/–
Было дело Тот парень сделал самое главное - опубликовал http virus org ua un... весь текст скрыт [показать]

6.47, eve, 15:19, 12/03/2009 [^] [ответить] [смотреть все]	+/–
А вот и опровержение http www snopes com computer internet dellbug asp ... весь текст скрыт [показать]

4.53, fank, 08:43, 13/03/2009 [^] [ответить] [смотреть все]	+/–
gt оверквотинг удален вот я бы сильно посмотрел, как ты в банке свой ДВД попро... весь текст скрыт [показать]

3.22, Andrew Kolchoogin, 09:24, 12/03/2009 [^] [ответить] [смотреть все]	+/–
Человек слышал про понятие Plausible Deniability ... весь текст скрыт [показать]

2.25, Andrew Kolchoogin, 09:31, 12/03/2009 [^] [ответить] [смотреть все] [показать ветку]	+/–
ROTFL Нет ничего тривиальнее Никогда не задумывался, как в современ... весь текст скрыт [показать] [показать ветку]

....нить скрыта, показать (15)

1.5, кдпзу, 01:56, 12/03/2009 [ответить] [смотреть все]	+/–
//происходит маленький скачок тепла у человека. про это поподробнее

2.8, Hettikus, 03:59, 12/03/2009 [^] [ответить] [смотреть все] [показать ветку]	+/–
Это если человек пароль набирает раз в день А когда их набираешь постоянно и ра... весь текст скрыт [показать] [показать ветку]

3.18, pavlinux, 08:44, 12/03/2009 [^] [ответить] [смотреть все]	+/–
Ну если в кратце, то по аналогии с реакцией в мозге на знакомое фото, слово, зву... весь текст скрыт [показать]

4.34, anonymous, 11:49, 12/03/2009 [^] [ответить] [смотреть все]	+/–
Это вы у него электроэнцефалограмму мозга снимать будете Любопытно посмотреть ... весь текст скрыт [показать]

2.29, Аноним, 09:59, 12/03/2009 [^] [ответить] [смотреть все] [показать ветку]	+/–
Потеть начинает ... весь текст скрыт [показать] [показать ветку]

3.32, anonymous, 11:35, 12/03/2009 [^] [ответить] [смотреть все]	+/–
ага, чувствует, что час расплаты близок ... весь текст скрыт [показать]

1.11, человек, 07:49, 12/03/2009 [ответить] [смотреть все]

+/–

Дистрибутив я думаю уже нашел свою нишу, а если учесть то что ценность информации с каждом годом становится всё больше - в дальнейшем данные наработки окажутся весьма кстати.

П.С. В треде ничего не говорилось про защиту от физических (нецифровых) методов получения доступа к целевой системе, так что все рассуждение про датчики, монтировки и так далее - полнейший бред.

П.С.С. Такое впечатление что неадекватные люди с ЛОРа перебрались на опеннет, жаль :(.

2.19, pavlinux, 08:50, 12/03/2009 [^] [ответить] [смотреть все] [показать ветку]	+/–
Ну читай заново Наверно Вы с ЛОРа, тогда видимо не знаете, что для этого мет... весь текст скрыт [показать] [показать ветку]

3.52, человек, 08:10, 13/03/2009 [^] [ответить] [смотреть все]	+/–
gt оверквотинг удален Ну читай еще раз ... весь текст скрыт [показать]

1.12, Аноним, 08:08, 12/03/2009 [ответить] [смотреть все]	+/–
http www xkcd ru xkcd_img xkcd538___ png ... весь текст скрыт [показать]

2.20, pavlinux, 08:55, 12/03/2009 [^] [ответить] [смотреть все] [показать ветку]	+/–
Иногда необходимо, или даже выгодно, чтоб враг цель жертва думала что все нормал... весь текст скрыт [показать] [показать ветку]

1.16, i, 08:38, 12/03/2009 [ответить] [смотреть все]	+/–
от паяльника в жопе есть один способ, при вводе неправильного пароля шифрованный диск херится по состояния невосстановления.

2.21, Dwa34, 09:23, 12/03/2009 [^] [ответить] [смотреть все] [показать ветку]	+/–
Тру парни делают копию диска и работают с копией ... весь текст скрыт [показать] [показать ветку]

3.26, Anon, 09:32, 12/03/2009 [^] [ответить] [смотреть все]	+/–
Ага, от неправильного пароля защита копирование диска А от правильного паяльник... весь текст скрыт [показать]

3.27, Andrew Kolchoogin, 09:35, 12/03/2009 [^] [ответить] [смотреть все]	+/–
Тру парни очень удивятся, когда диск от неправильного пароля смонтируется, и... весь текст скрыт [показать]

1.17, i, 08:40, 12/03/2009 [ответить] [смотреть все]	+/–
или лучше 'определенного' не правильного пароля, например на 1-2 букву отличающегося от правильного.

2.36, littster, 12:34, 12/03/2009 [^] [ответить] [смотреть все] [показать ветку]	+/–
итить а я думал, что я параноик ... весь текст скрыт [показать] [показать ветку]

1.35, Alex, 12:08, 12/03/2009 [ответить] [смотреть все]	+/–
Дааа, товарищи, параноя рулит, но саме главное забирает на себя все внимание. Первое правило любых средств защиты информации: ни одно средство, каким бы изащренным оно не было, не является панацеей. А следовательно, строить защиту только лишь установкой одного, даже суперзащищенного дистррибутива бред. Защитка должна быть КОМПЛЕКСНОЙ. И прежде всего основваться на оганизационных мерах, затем уже средства контроля доступа(шумелки всякие и т.п.) и только потом можно думать о защите вычислительных средств. Так что сей дистр никак не панацея, но хороший инструмент для построения надежной защиты.

1.41, Аноним, 13:59, 12/03/2009 [ответить] [смотреть все]	+/–
Зачем грузить весь имейж в память, что такого секретного может быть в bin sbin u... весь текст скрыт [показать]

2.43, anonymous, 14:25, 12/03/2009 [^] [ответить] [смотреть все] [показать ветку]	+/–
Ты не работал с LiveCD Работать в системе, отклик которой лимитирован откликом ... весь текст скрыт [показать] [показать ветку]

3.45, Аноним, 14:52, 12/03/2009 [^] [ответить] [смотреть все]	+/–
ну конечно, гораздо прятнее бегать и искать комп с 3 гигами озу а хомяк и настро... весь текст скрыт [показать]

1.48, Аноним, 16:19, 12/03/2009 [ответить] [смотреть все]	+/–
Если с ним комфортно - я его установлю Ещё бы скрипты для шифровки в Интернете ... весь текст скрыт [показать]

1.49, graaf, 17:33, 12/03/2009 [ответить] [смотреть все]	+/–
pavlinux, ты, реально, параноик :) в хорошем смысле:)

Ваш комментарий