LINUX.ORG.RU

Представлен сверхзащищенный вариант Ubuntu - Privacy Remix

 , , , ,


0

0

На конференции SIGINT 09 представлена beta-версия LiveCD дистрибутива Ubuntu Privacy Remix (UPR), основанного на Ubuntu 9.04 и предназначенного для обеспечения максимально возможной степени изоляции для защиты персональных данных пользователя. Кроме средств для предотвращения проникновения злонамеренного кода, такого как троянские программы, модули перехвата клавиатурного ввода и rootkits, в дистрибутиве используются и средства для противостояния средствам слежения и мониторинга активности пользователей, внедряемым некоторыми правительствами.

Ключевые особенности дистрибутива:

  • Базовая система работает только c CD в режиме для чтения. Дистрибутив не предназначен для установки на жесткий диск, дополнительные программы, включая вредоносные, доустановить невозможно.
  • Все внешние накопители и локальные жесткие диски ПК могут быть смонтированы только в режиме "noexec", недопускающем выполнение программ с внешних носителей.
  • Из Linux ядра убрана поддержка оборудования для работы в сети, дистрибутив работает полностью автономно, задействование LAN/WLAN/Bluetooth запрещено.
  • В дистрибутиве используются только open source программы, исходные тексты которых доступны для аудита.
  • Для хранения настроек пользователя, таких как файлы конфигурации программ и PGP-ключи, используется технология "extended TrueCrypt-Volumes", позволяющая прозрачно накладывать на основную ФС примонтированные из зашифрованного раздела данные.

Взято с opennet.ru

>>> Подробности



Проверено: hibou ()
Последнее исправление: Klymedy (всего исправлений: 1)

Хм, это только мне кажется, что безопасность достигаемая путем "запретить вообще все" какбы не очень нужна?

Toll ★★
()

можно спросить?

ну и нахрена тогда он без сети нужен?
я так могу и венду защитить...

dk-
()

перегнули палку по моему, сеть то за что убили? если ты параноик, отключи ее физически...

hokum13
()

Пентагон заинтересуется. А то у них там плохо всё )

melkor217 ★★★★★
()

> Представлен свехзащищенный вариант Ubuntu

какой-какой??

fhh
()

ой как классно! люблю я защиты для параноиков. не нравится только, что установка на винт не работает. могли бы сделать, чтобы корень монтировался только для чтения, но с винта. а так - долго ждать загрузки с ЦД.

Vetal80
()

скоро сделают так что он вообще не будет запускаться.. и диск не будут никому давать.. хранить буду у себя где нить в подземелье.. под охраной..

keinas
()
Ответ на: комментарий от ogronom

>>А в чем смысл такого дистрибутива?
В том же, в чем и свистелки-перделки компиза и четверокед, повыеживался перед публикой, а реального толку никакого =)

Joy_Nix
()

>Метки: linux, livecd, security, ubuntu, unix

а как же метки ПАРАНОЙЯ ШИЗОФРЕНИЯ, всё как раз для одоволетворения требований больного.

unrealix
()

Хотелось бы услышать мнение ЛОРовских экспертов и аналитиков о том, какую нишу может занять данный продукт.

Demon37 ★★★★
()
Ответ на: комментарий от Demon37

>Хотелось бы услышать мнение ЛОРовских экспертов и аналитиков о том, какую нишу может занять данный продукт.

В психиатрических лечебницах для параноиков и шизофреником ну и конечно же для РМС самое оно.

unrealix
()
Ответ на: комментарий от Demon37

Там же написано:

> в дистрибутиве используются и средства для противостояния средствам слежения и мониторинга активности пользователей, внедряемым некоторыми правительствами.

hibou ★★★★★
()
Ответ на: комментарий от Demon37

Опера тем не менее может использоваться и на такой Убунту

Я вижу применение данного продукта в сфере сертификации безопасности. Берём диск, пишем на него данный образ, надписываем "Самая обычная Убунту" и посылаем на сертификацию. Высший класс защищённости обеспечен. Дальнейшее использование в целях впаривания корпоративным клиентам. Как-то так

operast
()
Ответ на: комментарий от Manhunt

>По сабжу: от гипервизора не спасет :( И нажатия кнопочек он отследит, и по беспроводной сети сам соединится, у убунты не спрашиваясь.

А если прошится открытой прошивкой для биоса (была недавно в новостях на ЛОРе)

unrealix
()
Ответ на: комментарий от ogronom

смысл в том, чтобы доказать что нельзя создать абсолютно защищенный дистр и сохранить его функциональность :)

а так, я могу любой дистр до такого уровня безопасности довести, не сильно усердствуя, с помощью ножниц и паяльника...

надеюсь до релиза не дойдет...

hokum13
()
Ответ на: комментарий от hibou

>Там же написано:

>> в дистрибутиве используются и средства для противостояния средствам слежения и мониторинга активности пользователей, внедряемым некоторыми правительствами

Тут написано: "_в дистрибутиве_ используется", Меня же интересует, где такой дистрибутив может понадобиться.

Demon37 ★★★★
()
Ответ на: комментарий от Demon37

Я просто в голове свел эту новость с проскальзывающим как-то сообщением о принудительной слежке правительством. Вот и подумал, может как-то для противодействия можно приспособить...

hibou ★★★★★
()
Ответ на: комментарий от unrealix

> А если прошится открытой прошивкой для биоса (была недавно в новостях на ЛОРе)

Гипервизор перехватит попытку перепрошивки и будет эмулировать успешное перепрошивание. То есть новая прошивка будет исполняться внутри виртуальной машины, под присмотром оригинального гипервизора.

Manhunt ★★★★★
()
Ответ на: комментарий от unrealix

> а как же метки ПАРАНОЙЯ ШИЗОФРЕНИЯ

шизофрения тут совершенно не в тему, man психиатрия.

isden ★★★★★
()
Ответ на: комментарий от hibou

> Вот и подумал, может как-то для противодействия можно приспособить...

из этого дистра кстати можно несколько фич вытащить в нормальный дистр...

isden ★★★★★
()

защита от правительства

>CD-диска в режиме для чтения >задействование LAN/WLAN/Bleutooth запрещено >Для хранения настроек пользователя, таких как файлы конфигурации программ и PGP-ключи, используется технология "extended TrueCrypt-Volumes", >"noexec",

а теперь скажите мне, куда тут можно кейлогер спрятать? если я даже свой скрипт запустить на этой системе не смогу? я даже файлы конфигов подправить не смогу...чет мне кажется или лечиться им надо, или признаться в сотрудничестве с "некоторыми правительствами".

hokum13
()
Ответ на: комментарий от unrealix

Нда... без сети сейчас трудно себя представить. Сдаюсь тогда, не знаю. Какие-нибудь сверхсекретные документы набирать.

hibou ★★★★★
()
Ответ на: комментарий от Manhunt

>Гипервизор перехватит попытку перепрошивки и будет эмулировать успешное перепрошивание. То есть новая прошивка будет исполняться внутри виртуальной машины, под присмотром оригинального гипервизора.

А если без аппаратной поддержки сети? Тогда и дистр приобретает смысл.

operast
()
Ответ на: комментарий от hibou

>Какие-нибудь сверхсекретные документы набирать.

а на такие доки до сих пор действует директива про печатные машинки и одноразовую копирку

hokum13
()

>дополнительные программы, включая вредоносные, доустановить невозможно.

А в /tmp?

>могут быть смонтированы только в режиме "noexec", недопускающем выполнение программ с внешних носителей.

А скрипты?

>Из Linux ядра убрана поддержка оборудования для работы в сети,

Тфу-ты. Я то думал что-то серьёзное.

legolegs ★★★★★
()
Ответ на: комментарий от operast

> А если без аппаратной поддержки сети? Тогда и дистр приобретает смысл.

Вот ты "на глаз" можешь определить, интегрирован ли вайфай в ту или иную материнку? Как проверить, что сеть в самом деле не поддерживается?

Manhunt ★★★★★
()
Ответ на: комментарий от unrealix

>>Метки: linux, livecd, security, ubuntu, unix

>а как же метки ПАРАНОЙЯ ШИЗОФРЕНИЯ, всё как раз для одоволетворения требований больного.

В данном случае не ПАРАНОЙЯ, а детский_сад

legolegs ★★★★★
()

Параноикам от параноиков...
А может быть имеет смысл рассматривать это как банальное демо возможностей свободного ПО в плане защиты данных?
З.Ы. Поправьте, bluetooth однако.

unikoid ★★★
()

Как вариант - использовать для набора, хранения, шифровки/расшифровки секретных документов. А пересылать зашифрованные данные с помощью обычного дистра.

Capture
()
Ответ на: комментарий от Manhunt

>Как проверить, что сеть в самом деле не поддерживается?

вифи, я, пожалуй на плате найду. Вот другие, менее требовательные передатчики может и не найду.

но мать в стационаре и так от вифи и бт экранирована, а провода наружу, можно и сеткой экранировать. сервера без сети барахло, а вот буки это да, в них можно что нить встроить, но можно и его в экранирующую сетку затянуть...

hokum13
()
Ответ на: комментарий от Demon37

> какую нишу может занять данный продукт.

*ни разу не претендуя на эпитет в первой части вопроса*

скажем, можно этот сд вкупе со стареньким бездисковым компутером использовать для хранения pgp-ключей, экспортируя по мере надобности subkeys на основую систему... не густо, конечно)

n01r ★★
()
Ответ на: комментарий от hokum13

>но мать в стационаре и так от вифи и бт экранирована, а провода наружу, можно и сеткой экранировать. сервера без сети барахло, а вот буки это да, в них можно что нить встроить, но можно и его в экранирующую сетку затянуть...

Предлагаю работать от аккумулятора в клетке Фарадея. Из клетки Фарадея не выносить, сделать экранированный шлюз для входа и выхода пользователя.

Capture
()
Ответ на: комментарий от Manhunt

>Гипервизор перехватит попытку перепрошивки и будет эмулировать успешное перепрошивание. То есть новая прошивка будет исполняться внутри виртуальной машины, под присмотром оригинального гипервизора.

ого страсти. А если специально запороть биос то окажется что на всякий случай там их 2 ? :)

unrealix
()

> Базовая система работает только c CD в режиме для чтения. Дистрибутив не предназначен для установки на жесткий диск, дополнительные программы, включая вредоносные, доустановить невозможно.

> Из Linux ядра убрана поддержка оборудования для работы в сети, дистрибутив работает полностью автономно, задействование LAN/WLAN/Bluetooth запрещено.

Пойду, склепаю сверх-защищённый дистр, который не будет запускаться. Если не будет работать - то и не сломаешь, так ведь?

ChALkeR ★★★★★
()
Ответ на: комментарий от ChALkeR

>Пойду, склепаю сверх-защищённый дистр, который не будет запускаться. Если не будет работать - то и не сломаешь, так ведь?

И что на нём делать?

Capture
()
Ответ на: комментарий от Capture

ага, а еще поставить охрану по периметру, 2 метровый паралоновый и 30 см бетонный футляр, для глушения звуко и видео кейлогеров. а так же подвесить комп в воздухе, на цепи, и поставить круглосуточный караул, человек 200...

данные вносить и выносить только на бумажных носителях, с рукописным выводом. батареи и прочее сжигать на месте, для обеспечения секретности, а еще лучше поставить велогенератор.

hokum13
()
Ответ на: комментарий от hokum13

>данные вносить и выносить только на бумажных носителях

Я же предлагал: вносить и выносить данные только в зашифрованном виде.

Capture
()
Ответ на: комментарий от n01r

>скажем, можно этот сд вкупе со стареньким бездисковым компутером использовать для хранения pgp-ключей, экспортируя по мере надобности subkeys на основую систему... не густо, конечно)

Можно, да. Правда убунту и старый компьютер несовместимы :)

Demon37 ★★★★
()
Ответ на: комментарий от unrealix

> ого страсти. А если специально запороть биос то окажется что на всякий случай там их 2 ? :)

Ты можешь запороть только виртуальный биос. В реальный ничего записать не удастся, пока гипервизор сам этого не захочет (а он и не захочет). Если вынешь микруху с биосом и перепрошьешь ее на программаторе, то произойдет следующее. При холодном старте машины процессор считывает код гипервизора к себе в кэш, высчитывает криптостойкую хэш-сумму кода гипервизора, и если она не совпадает хотя бы с одной из хэш-сумм, зашитых в чипсет (в северный мост, afaik), то процессор сам себе делает ресет. И так до бесконечности.

Manhunt ★★★★★
()
Ответ на: комментарий от Manhunt

>Ты можешь запороть только виртуальный биос. В реальный ничего записать не удастся

Да пусть и так. Клетка Фарадея и строгий режим спасут и от этого. Если гипервизор что-то и сохранит (нажатия клавиш и т.п.), то при торжественном сжигании компьютера (всё делается в клетке Фарадея) данные исчезнут :)

Capture
()

Может он еще и препятствует работе компа? Типа как только загрузился, так сразу в шатдаун...

Zitzy
()
Ответ на: комментарий от Capture

> Да пусть и так. Клетка Фарадея и строгий режим спасут и от этого. Если гипервизор что-то и сохранит (нажатия клавиш и т.п.), то при торжественном сжигании компьютера (всё делается в клетке Фарадея) данные исчезнут :)

Ага, но внутри этой клетке можно хоть трижды шпионскую венду разворачивать, разницы особой нет :)

Manhunt ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.