The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

10.07.2017 19:33  Проект Qubes выступил с новой инициативой сертификации безопасных ноутбуков

Разработчики операционной системы Qubes, реализующей идею использования гипервизора для строгой изоляции приложений и компонентов ОС (каждый класс приложений и системные сервисы работают в отдельных виртуальных машинах), представили новую программу сертификации безопасных ноутбуков. Изначально сертификация от проекта Qubes подразумевала только проверку совместимости с данной ОС и не затрагивала как таковую безопасность устройства.

Затем в прошлом году был предложен дополнительный уровень сертификации, который предъявлял определённые требования к безопасности, такие как поддержка аппаратных механизмов для полноценной изоляции памяти виртуальных окружений (SLAT), отсутствие неотключаемых микрофонов, использование открытой прошивки (например, Coreboot), рекомендовано наличие выключателя для физического отключение камеры, Wi-Fi и Bluetooth.

Сейчас добавлен ещё один уровень, определяющий параметры stateless-ноутбука, защищённого от бэкдоров, внедрённых на уровне прошивок и аппаратного обеспечения. Суть stateless-ноутбуков в том, что данные в них жестко отделены от оборудования, что не позволяет аппаратным закладкам и Intel Management Engine (ME) получить скрытый доступ к информации пользователя. Все низкоуровневые программные компоненты stateless-устройства, такие как прошивки (включая SPI, прошивки беспроводных/сетевых чипов и различных контроллеров), избавлены от Flash-памяти, а для хранения данных применяется накопитель Trusted Stick, недоступный для прямого обращения из прошивок.

Сертификат нулевого уровня (тестирование совместимости) прошел ноутбук Purism Librem 13v1, который поставлялся с предустановленной ОС Qubes, но уже снят с производства и не актуален. Последние два уровня сертификации пока не получило ни одно устройство и ноутбуки соответствующие данным критериям ещё предстоит выпустить. В настоящее время ведутся начальные переговоры с несколькими производителями о возможности производства ноутбуков, которые отвечали бы предъявляемым проектом Qubes критериям безопасности. Что касается, stateless-ноутбуков, то по предварительной оценке они могут появиться не раньше, чем через два года.

  1. Главная ссылка к новости (https://www.qubes-os.org/news/...)
  2. OpenNews: Доступна ОС Qubes 3.2, использующей виртуализацию для изоляции приложений
  3. OpenNews: ОС Qubes переходит на Xfce из-за недовольства развитием KDE
  4. OpenNews: Ноутбук Purism Librem 13 будут поставляться с операционной системой Qubes
  5. OpenNews: Концепция stateless-ноутбука, защищённого от аппаратных бэкдоров
  6. OpenNews: Intel устранил удалённую уязвимость в технологии AMT (Active Management Technology)
Лицензия: CC-BY
Тип: К сведению
Ключевые слова: qubes, securty, notebook
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, Аноним, 22:32, 10/07/2017 [ответить] [смотреть все]
  • +/
    Eve Tech?
     
  • 1.2, Аноним, 22:36, 10/07/2017 [ответить] [смотреть все]
  • +/
    Кто-то получит сертификат лишь из спортивного интереса Рыночных конкурентных по... весь текст скрыт [показать]
     
     
  • 2.5, rshadow, 23:48, 10/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Да норм От тех же макбуков не сильно отличается по цене и дизайну И там и там ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.18, Аноним, 11:11, 11/07/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Расчёт на то, что сертификация стоит денег, которые ты получишь со 100 гарантие... весь текст скрыт [показать]
     
     
  • 4.46, Аноним, 08:19, 21/07/2017 [^] [ответить] [смотреть все]  
  • +/
    любая работа есть управление
     
  • 2.7, qsdg, 01:31, 11/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Ну вроде как таким могут заинтересоваться спецслужбы разных стран для себя и дл... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.11, Аноним, 07:14, 11/07/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    Для спецслужб и дипломатов все железо заказывается отдельно С сертификацией ФСБ... весь текст скрыт [показать]
     
     
  • 4.27, J.L., 17:28, 11/07/2017 [^] [ответить] [смотреть все]  
  • +/
    и что, реально сумели закупить что-то кроме болтиков и гаек или это формальная ... весь текст скрыт [показать]
     
  • 3.33, АА, 03:04, 12/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Внезапно агенты умудряются терять ноутбуки с важной секретной информацией В д... весь текст скрыт [показать]
     
  • 2.26, J.L., 17:24, 11/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    никто не получит, ибо Intel Management Engine ME и аналоги на амд, арме каки... весь текст скрыт [показать] [показать ветку]
     
  • 1.3, Anonplus, 22:43, 10/07/2017 [ответить] [смотреть все]  
  • +16 +/
    >> Intel Management Engine (ME)

    Эту штуку лучше вообще вырезать (github -> me_cleaner), но на десктопах без неё отрубается разгон (хотя, ноутам пофиг, кто их гнать будет), а на ноутах, возможно, управление питанием (а вот это плохо).

    У AMD теперь тоже всё плохо с этим.

    "Ryzen — первый CPU от AMD, в который добавили PSP, прошивка которого (основанная на Trustonic TEE) подписана и зашифрована, а сам он занимается на платформе тренировкой памяти, возвратом системы из S3, реализует fTPM 2.0 и криптоускорение. У AMD был шанс выпустить нормальный производительный процессор, которому можно доверять, но вместо этого они догнали и перегнали Intel с их Management Engine, да еще и AGESA стали поставлять в виде BLOB'а, а ведь еще относительно недавно (в 2011) эти же люди обещали всегда поставлять ее в исходниках и поддерживать проект coreboot. В итоге, на рынке ни осталось ни одного процессора от Intel и AMD без «ядра обеспечения безопасности», и это печально.

    Я не упарываюсь тем, что все пропало, но с моей точки зрения как специалиста по безопасности прошивок, количество этих самых прошивок нужно уменьшать, а не увеличивать, иначе ни о какой безопасности через некоторое время речь вести уже не получится — слишком много будет векторов атаки на самый низкий уровень, где защищаться практически нечем. У АМД и так уже в процессоре и прошивка IMC, и прошивка контролера XHCI, и теперь вот PSP еще. И аудит исходников этих прошивок приходится у них буквально боем выбивать, а потом ездить к ним в офис, чтобы проводить его за закрытыми дверями."

     
  • 1.4, Аноним, 23:34, 10/07/2017 [ответить] [смотреть все]  
  • +/
    смотрел выступление этой rootkovskи где она расказывала о концепции ноутов Толь... весь текст скрыт [показать]
     
     
  • 2.8, Ordu, 03:27, 11/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –8 +/
    На самом деле кое-что мешает Сейчас интел не пойман на лжи Если же его поймают... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.9, Аноним, 03:52, 11/07/2017 [^] [ответить] [смотреть все]  
  • +2 +/
    Не пойман на лжи - это какой-то оксюморон в современном мире Дырок в Intel ME... весь текст скрыт [показать]
     
     
  • 4.35, Ordu, 07:20, 12/07/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Оксюморон или не оксюморон, какая разница Технически Intel не пойман на лжи, сп... весь текст скрыт [показать]
     
  • 3.22, Аноним, 13:09, 11/07/2017 [^] [ответить] [смотреть все]  
  • +/
    Связь капитализации и прибыли весьма условная, зависит от структуры владения и в... весь текст скрыт [показать]
     
     
  • 4.30, Аноним, 19:00, 11/07/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Пока темпы роста превышают ставку по кредиту, компания будет иначе её съедят з... весь текст скрыт [показать]
     
  • 3.41, овопооч, 11:29, 16/07/2017 [^] [ответить] [смотреть все]  
  • –2 +/
    А причём тут ложь Интел может это делать в открытую, 99,99 согласятся с этим ... весь текст скрыт [показать]
     
     
  • 4.47, Аноним, 08:26, 21/07/2017 [^] [ответить] [смотреть все]  
  • +/
    все это правильно, кроме одного - не государства определяют вектор развития или... весь текст скрыт [показать]
     
     ....нить скрыта, показать (7)

  • 1.6, Аноним, 00:50, 11/07/2017 [ответить] [смотреть все]  
  • –2 +/
    Джуана Рутковская одобряет.
     
  • 1.12, Аноним, 07:40, 11/07/2017 [ответить] [смотреть все]  
  • –2 +/
    Одобряю такую ос, возможно на неё с гибнущей убунты и мигрирую, а не на другие к... весь текст скрыт [показать]
     
     
  • 2.13, Аноним, 07:42, 11/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Отбой, пагни, на сайте сертификат комодо, придётся самому пилить операционку из ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.15, Аноним, 08:54, 11/07/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    А что не так с сертификатом комодо?
     
     
  • 4.20, Аноним, 11:59, 11/07/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Они выпускают серты для цру и анб, и им ничо за это не бывает
     
     
  • 5.43, овопооч, 11:30, 16/07/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    требую пруфы ... весь текст скрыт [показать]
     
  • 5.48, Аноним, 08:34, 21/07/2017 [^] [ответить] [смотреть все]  
  • +/
    какие именно сертификаты сайты подписаны без участия Comodo... весь текст скрыт [показать]
     
  • 2.42, овопооч, 11:30, 16/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    в ней нет opengl ... весь текст скрыт [показать] [показать ветку]
     
  • 1.14, jOKer, 07:54, 11/07/2017 [ответить] [смотреть все]  
  • +/
    Отличная идея. Жестко ориентированные на прибыль корпорации однозначно заинтересуются. У них, кстати, как правило, уровень безопасности повыше будет чем даже у вояк.
     
     
  • 2.21, АНоним, 12:47, 11/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Почему они должны доверять левой маргинальной шаражке даже если на бумаге у них... весь текст скрыт [показать] [показать ветку]
     
  • 1.16, Параноик, 09:20, 11/07/2017 [ответить] [смотреть все]  
  • +4 +/
    >безопасных ноутбуков

    а такие бывают? Архитектура проприетарна, свободных драйверов под многие вещи просто нет (желающие могут посмотреть список поддерживаемого железа для того же либрбута, например), всякие зонды вроде psp или me идут везде.
    Арм? Там все еще хуже со вторым пунктом, да и от мутной перефирии не спасает.
    Мипсы если только, но с ними тоже многое не ясно.

     
     
  • 2.17, Аноним, 10:36, 11/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    OR1200, RISC-V всякие
     
     
  • 3.36, Аноним, 08:27, 12/07/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    тут другая проблема - голые железяки никому не нужны А под сабжи, в лучшем случ... весь текст скрыт [показать]
     
  • 2.44, овопооч, 11:31, 16/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    >>безопасных ноутбуков
    > а такие бывают?

    novena

     
  • 1.31, Аноним, 20:46, 11/07/2017 [ответить] [смотреть все]  
  • –1 +/
    У этой поделки нет будущего С чего бы производителям вообще производить подобные... весь текст скрыт [показать]
     
     
  • 2.37, Аноним, 11:24, 12/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +5 +/
    ФСБ как раз проверяет Пятёрочку на причастность к терроризму Как оказалось, все... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.49, Аноним, 08:36, 21/07/2017 [^] [ответить] [смотреть все]  
  • +/
    откуда вы такой бред высасываете только?
     
  • 1.32, vitalif, 00:32, 12/07/2017 [ответить] [смотреть все]  
  • –1 +/
    Пока просто скандалов на эту тему не было. Надо чтоб Русские Хакеры сделали Петю для intel ME, потом АНБ дало асимметричный ответ, и чем в большем числе стран, тем лучше. Тогда может поймут, что открыто все должно быть))).
     
     
  • 2.34, Аноним, 05:08, 12/07/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –2 +/
    Если возводить Открытость в абсолют, то боюсь - результат многим не понравится... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.45, овопооч, 11:34, 16/07/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    многим копирастам и гебистам - точно не понравится Но их проблемы меня не волну... весь текст скрыт [показать]
     
  • 1.38, Аноним, 16:19, 12/07/2017 [ответить] [смотреть все]  
  • +/
    Эх Какой ноут был Toshiba R600 Если ME выкорчевать, то вообще бы замечатель... весь текст скрыт [показать]
     
  • 1.39, Аноним, 18:20, 12/07/2017 [ответить] [смотреть все]  
  • –1 +/
    Ну что, звучит логично Есть к чему стремится, но помимо этого, важно то, что Жа... весь текст скрыт [показать]
     
  • 1.40, DmA, 16:04, 14/07/2017 [ответить] [смотреть все]  
  • +1 +/
    Правильное направление . Сотовые и смартфоны тоже должны иметь аппаратный выключатель на радиомодуль GSM ,микрофон, камеры, wi-fi. В противном случае безопасности у этих устройств 0, даже в возможно выключенном состоянии !
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor