The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

10.07.2017 19:33  Проект Qubes выступил с новой инициативой сертификации безопасных ноутбуков

Разработчики операционной системы Qubes, реализующей идею использования гипервизора для строгой изоляции приложений и компонентов ОС (каждый класс приложений и системные сервисы работают в отдельных виртуальных машинах), представили новую программу сертификации безопасных ноутбуков. Изначально сертификация от проекта Qubes подразумевала только проверку совместимости с данной ОС и не затрагивала как таковую безопасность устройства.

Затем в прошлом году был предложен дополнительный уровень сертификации, который предъявлял определённые требования к безопасности, такие как поддержка аппаратных механизмов для полноценной изоляции памяти виртуальных окружений (SLAT), отсутствие неотключаемых микрофонов, использование открытой прошивки (например, Coreboot), рекомендовано наличие выключателя для физического отключение камеры, Wi-Fi и Bluetooth.

Сейчас добавлен ещё один уровень, определяющий параметры stateless-ноутбука, защищённого от бэкдоров, внедрённых на уровне прошивок и аппаратного обеспечения. Суть stateless-ноутбуков в том, что данные в них жестко отделены от оборудования, что не позволяет аппаратным закладкам и Intel Management Engine (ME) получить скрытый доступ к информации пользователя. Все низкоуровневые программные компоненты stateless-устройства, такие как прошивки (включая SPI, прошивки беспроводных/сетевых чипов и различных контроллеров), избавлены от Flash-памяти, а для хранения данных применяется накопитель Trusted Stick, недоступный для прямого обращения из прошивок.

Сертификат нулевого уровня (тестирование совместимости) прошел ноутбук Purism Librem 13v1, который поставлялся с предустановленной ОС Qubes, но уже снят с производства и не актуален. Последние два уровня сертификации пока не получило ни одно устройство и ноутбуки соответствующие данным критериям ещё предстоит выпустить. В настоящее время ведутся начальные переговоры с несколькими производителями о возможности производства ноутбуков, которые отвечали бы предъявляемым проектом Qubes критериям безопасности. Что касается, stateless-ноутбуков, то по предварительной оценке они могут появиться не раньше, чем через два года.

  1. Главная ссылка к новости (https://www.qubes-os.org/news/...)
  2. OpenNews: Доступна ОС Qubes 3.2, использующей виртуализацию для изоляции приложений
  3. OpenNews: ОС Qubes переходит на Xfce из-за недовольства развитием KDE
  4. OpenNews: Ноутбук Purism Librem 13 будут поставляться с операционной системой Qubes
  5. OpenNews: Концепция stateless-ноутбука, защищённого от аппаратных бэкдоров
  6. OpenNews: Intel устранил удалённую уязвимость в технологии AMT (Active Management Technology)
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: qubes, securty, notebook
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, Аноним (-), 22:32, 10/07/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Eve Tech?
     
  • 1.2, Аноним (-), 22:36, 10/07/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +/
    Кто-то получит сертификат лишь из спортивного интереса.
    Рыночных конкурентных по цене решений не будет увы.
     
     
  • 2.5, rshadow (ok), 23:48, 10/07/2017 [^] [ответить]    [к модератору]
  • –1 +/
    Да норм. От тех же макбуков не сильно отличается по цене и дизайну. И там и там расчет на фанатов, а не массовый рынок.

    https://puri.sm/products/

     
     
  • 3.18, Аноним (-), 11:11, 11/07/2017 [^] [ответить]     [к модератору]
  • –1 +/
    Расчёт на то, что сертификация стоит денег, которые ты получишь со 100 гарантие... весь текст скрыт [показать]
     
     
  • 4.46, Аноним (-), 08:19, 21/07/2017 [^] [ответить]    [к модератору]  
  • +/
    любая работа есть управление
     
  • 2.7, qsdg (ok), 01:31, 11/07/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Ну вроде как таким могут заинтересоваться спецслужбы разных стран для себя и дл... весь текст скрыт [показать]
     
     
  • 3.11, Аноним (-), 07:14, 11/07/2017 [^] [ответить]     [к модератору]  
  • –3 +/
    Для спецслужб и дипломатов все железо заказывается отдельно С сертификацией ФСБ... весь текст скрыт [показать]
     
     
  • 4.27, J.L. (?), 17:28, 11/07/2017 [^] [ответить]     [к модератору]  
  • +/
    и что, реально сумели закупить что-то кроме болтиков и гаек или это формальная ... весь текст скрыт [показать]
     
  • 3.33, АА (?), 03:04, 12/07/2017 [^] [ответить]     [к модератору]  
  • +/
    Внезапно агенты умудряются терять ноутбуки с важной секретной информацией В д... весь текст скрыт [показать]
     
  • 2.26, J.L. (?), 17:24, 11/07/2017 [^] [ответить]     [к модератору]  
  • +/
    никто не получит, ибо Intel Management Engine ME и аналоги на амд, арме каки... весь текст скрыт [показать]
     
  • 1.3, Anonplus (?), 22:43, 10/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +15 +/
    >> Intel Management Engine (ME)

    Эту штуку лучше вообще вырезать (github -> me_cleaner), но на десктопах без неё отрубается разгон (хотя, ноутам пофиг, кто их гнать будет), а на ноутах, возможно, управление питанием (а вот это плохо).

    У AMD теперь тоже всё плохо с этим.

    "Ryzen — первый CPU от AMD, в который добавили PSP, прошивка которого (основанная на Trustonic TEE) подписана и зашифрована, а сам он занимается на платформе тренировкой памяти, возвратом системы из S3, реализует fTPM 2.0 и криптоускорение. У AMD был шанс выпустить нормальный производительный процессор, которому можно доверять, но вместо этого они догнали и перегнали Intel с их Management Engine, да еще и AGESA стали поставлять в виде BLOB'а, а ведь еще относительно недавно (в 2011) эти же люди обещали всегда поставлять ее в исходниках и поддерживать проект coreboot. В итоге, на рынке ни осталось ни одного процессора от Intel и AMD без «ядра обеспечения безопасности», и это печально.

    Я не упарываюсь тем, что все пропало, но с моей точки зрения как специалиста по безопасности прошивок, количество этих самых прошивок нужно уменьшать, а не увеличивать, иначе ни о какой безопасности через некоторое время речь вести уже не получится — слишком много будет векторов атаки на самый низкий уровень, где защищаться практически нечем. У АМД и так уже в процессоре и прошивка IMC, и прошивка контролера XHCI, и теперь вот PSP еще. И аудит исходников этих прошивок приходится у них буквально боем выбивать, а потом ездить к ним в офис, чтобы проводить его за закрытыми дверями."

     
  • 1.4, Аноним (-), 23:34, 10/07/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    смотрел выступление этой rootkovskи где она расказывала о концепции ноутов Толь... весь текст скрыт [показать]
     
     
  • 2.8, Ordu (ok), 03:27, 11/07/2017 [^] [ответить]     [к модератору]  
  • –8 +/
    На самом деле кое-что мешает Сейчас интел не пойман на лжи Если же его поймают... весь текст скрыт [показать]
     
     
  • 3.9, Аноним (-), 03:52, 11/07/2017 [^] [ответить]     [к модератору]  
  • +2 +/
    Не пойман на лжи - это какой-то оксюморон в современном мире Дырок в Intel ME... весь текст скрыт [показать]
     
     
  • 4.35, Ordu (ok), 07:20, 12/07/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Оксюморон или не оксюморон, какая разница Технически Intel не пойман на лжи, сп... весь текст скрыт [показать]
     
  • 3.22, Аноним (-), 13:09, 11/07/2017 [^] [ответить]     [к модератору]  
  • +/
    Связь капитализации и прибыли весьма условная, зависит от структуры владения и в... весь текст скрыт [показать]
     
     
  • 4.30, Аноним (-), 19:00, 11/07/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Пока темпы роста превышают ставку по кредиту, компания будет иначе её съедят з... весь текст скрыт [показать]
     
  • 3.41, овопооч (?), 11:29, 16/07/2017 [^] [ответить]     [к модератору]  
  • –2 +/
    А причём тут ложь Интел может это делать в открытую, 99,99 согласятся с этим ... весь текст скрыт [показать]
     
     
  • 4.47, Аноним (-), 08:26, 21/07/2017 [^] [ответить]    [к модератору]  
  • +/
    все это правильно, кроме одного - не государства определяют вектор развития (или деградации) общества и мира в целом

     
  • 1.6, Аноним (-), 00:50, 11/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    Джуана Рутковская одобряет.
     
  • 1.12, Аноним (-), 07:40, 11/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    Одобряю такую ос, возможно на неё с гибнущей убунты и мигрирую, а не на другие калечные люнексы последнего времени
     
     
  • 2.13, Аноним (-), 07:42, 11/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Отбой, пагни, на сайте сертификат комодо, придётся самому пилить операционку из хена и нодежс
     
     
  • 3.15, Аноним (-), 08:54, 11/07/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    А что не так с сертификатом комодо?
     
     
  • 4.20, Аноним (-), 11:59, 11/07/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Они выпускают серты для цру и анб, и им ничо за это не бывает
     
     
  • 5.43, овопооч (?), 11:30, 16/07/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > Они выпускают серты для цру и анб, и им ничо за это
    > не бывает

    требую пруфы

     
  • 5.48, Аноним (-), 08:34, 21/07/2017 [^] [ответить]    [к модератору]  
  • +/
    > Они выпускают серты для цру и анб, и им ничо за это
    > не бывает

    какие именно сертификаты?
    сайты подписаны без участия Comodo

     
  • 2.42, овопооч (?), 11:30, 16/07/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > Одобряю такую ос, возможно на неё с гибнущей убунты и мигрирую, а
    > не на другие калечные люнексы последнего времени

    в ней нет opengl


     
  • 1.14, jOKer (ok), 07:54, 11/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Отличная идея. Жестко ориентированные на прибыль корпорации однозначно заинтересуются. У них, кстати, как правило, уровень безопасности повыше будет чем даже у вояк.
     
     
  • 2.21, АНоним (?), 12:47, 11/07/2017 [^] [ответить]    [к модератору]  
  • +/
    Почему они должны доверять левой маргинальной шаражке? даже если на бумаге у них все шикарно, но никто их не исследовал не ломал и даже не использовали т д, т онафиг они сдались.
     
  • 1.16, Параноик (?), 09:20, 11/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    >безопасных ноутбуков

    а такие бывают? Архитектура проприетарна, свободных драйверов под многие вещи просто нет (желающие могут посмотреть список поддерживаемого железа для того же либрбута, например), всякие зонды вроде psp или me идут везде.
    Арм? Там все еще хуже со вторым пунктом, да и от мутной перефирии не спасает.
    Мипсы если только, но с ними тоже многое не ясно.

     
     
  • 2.17, Аноним (-), 10:36, 11/07/2017 [^] [ответить]    [к модератору]  
  • +/
    OR1200, RISC-V всякие
     
     
  • 3.36, Аноним (-), 08:27, 12/07/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    тут другая проблема - голые железяки никому не нужны. А под сабжи, в лучшем случае, кроме ядра ничего не сконпеляешь.
     
  • 2.44, овопооч (?), 11:31, 16/07/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    >>безопасных ноутбуков
    > а такие бывают?

    novena

     
  • 1.31, Аноним (-), 20:46, 11/07/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    У этой поделки нет будущего С чего бы производителям вообще производить подобные... весь текст скрыт [показать]
     
     
  • 2.37, Аноним (-), 11:24, 12/07/2017 [^] [ответить]     [к модератору]  
  • +5 +/
    ФСБ как раз проверяет Пятёрочку на причастность к терроризму Как оказалось, все... весь текст скрыт [показать]
     
     
  • 3.49, Аноним (-), 08:36, 21/07/2017 [^] [ответить]    [к модератору]  
  • +/
    откуда вы такой бред высасываете только?
     
  • 1.32, vitalif (ok), 00:32, 12/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Пока просто скандалов на эту тему не было. Надо чтоб Русские Хакеры сделали Петю для intel ME, потом АНБ дало асимметричный ответ, и чем в большем числе стран, тем лучше. Тогда может поймут, что открыто все должно быть))).
     
     
  • 2.34, Аноним (-), 05:08, 12/07/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    Если возводить "Открытость" в абсолют, то боюсь - результат многим не понравится. Открытость - это не всегда хорошо и приемлемо. За открытость ратуют лишь глупцы!
     
     
  • 3.45, овопооч (?), 11:34, 16/07/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > Если возводить "Открытость" в абсолют, то боюсь - результат многим

    многим копирастам и гебистам - точно не понравится. Но их проблемы меня не волнуют. Также как и мои - их.

     
  • 1.38, Аноним (-), 16:19, 12/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Эх. Какой ноут был... Toshiba R600. Если ME выкорчевать, то вообще бы замечательно. И аппаратные выключатели есть. Но не для всего:-/
     
  • 1.39, Аноним (-), 18:20, 12/07/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    Ну что, звучит логично Есть к чему стремится, но помимо этого, важно то, что Жа... весь текст скрыт [показать]
     
  • 1.40, DmA (??), 16:04, 14/07/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Правильное направление . Сотовые и смартфоны тоже должны иметь аппаратный выключатель на радиомодуль GSM ,микрофон, камеры, wi-fi. В противном случае безопасности у этих устройств 0, даже в возможно выключенном состоянии !
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor