«Verdens sikreste» operativsystem ikke sikkert likevel

[AfterGlow]

Forskere har funnet et alvorlig hull som kan bryte anonymiteten.

«Verdens sikreste» operativsystem ikke sikkert likevel

[Gjest Slettet-jDflNq]

Sikkert og anonymt er da ikke nødvendigvis alltid synonymt.

[BlueCoder]

Vel, en og annen bug dukker jo alltid opp fra tid til annen, men det jeg virkelig lurer på er om NSA allerede vet om denne.

[G]

Hva med å lage et OS med så lite kode som overhode mulig, og hvor fokus på gjenbruk der det er mulig tas i bruk?

 

Samt, å dele koden opp i oversiktelige segmenter, hvor hver del gås etter i sømmene av flere enn kun 1 korrekturleser?

[tommyb]

Sikkert og verdens sikreste er ikke nødvendigvis alltid synonymt, heller.

[tommyb]

Hva med å lage et OS med så lite kode som overhode mulig, og hvor fokus på gjenbruk der det er mulig tas i bruk?

 

Samt, å dele koden opp i oversiktelige segmenter, hvor hver del gås etter i sømmene av flere enn kun 1 korrekturleser?

 

Flere enn 1 korrekturlesere vil være et betydelig løft for det meste av kode. Hvis man i tillegg har et godt rammeverk for testing, er man langt.

 

Dette vil koste ressurser (tid==penger) som man da må overføre fra andre deler av utviklingen. Det er alltid en avveining mellom videreutvikling, kvalitetsheving og økonomi. Det jeg er mest bekymret over er at produkter fra non-profit organisasjoner som burde være aller fremst på sikkerhet, heller ikke har prioritert sikkerheten høyt nok. Hvordan er det da med kommersielle aktører der det er en avveining mellom inntjening og kvalitet?

[G]

Det er mulig man må stole noe på ildsjeler som brenner for åpen kildekode (opensource), at enkelte slike kan heve kvaliteten av ren idealisme.

Endret 24. juli 2014 av G

[tHz]

Vel, en og annen bug dukker jo alltid opp fra tid til annen, men det jeg virkelig lurer på er om NSA allerede vet om denne.

 

Exodus selger informasjon til bla. NSA. Så de vet nok om det.

Når det gjelder denne saken så ville jeg ikke blitt overrasket om det var NSA som ga Exodus informasjon for å så tvil om Tails.

Har aldri brukt det selv, men dette vil vel sikkert hindre noen i å stole på Tails.

[tHz]

Hva med å lage et OS med så lite kode som overhode mulig, og hvor fokus på gjenbruk der det er mulig tas i bruk?

 

Samt, å dele koden opp i oversiktelige segmenter, hvor hver del gås etter i sømmene av flere enn kun 1 korrekturleser?

 

Så lenge data og kode ligger i samme minnne er det umulig å hindre exploits.

For å få et sikkert system må arkitekturen endres drastisk. Men det vil nok ikke skje.

[G]

Så dette med ring 0, ring 1 også slikt, det hjelper heller ikke en døyt (i kjernen av OS'et) ??

 

Hva med å basere minneaksess på at all aksess må skje via virtuelle minnebolker, kunne det vært en løsning?

Endret 24. juli 2014 av G

[tHz]

Så dette med ring 0, ring 1 også slikt, det hjelper heller ikke en døyt (i kjernen av OS'et) ??

 

Hva med å basere minneaksess på at all aksess må skje via virtuelle minnebolker, kunne det vært en løsning?

 

Ringene tar bort muligheten til å kjøre endel instruksjoner, men hindrer i bunn og grunn ikke kode i å "hoppe" mellom ringene.

I en perfekt verden ville ringene vært nok sikkerhet. I praksis fungerer det rett og slett ikke.

Dessuten kan et system eies ganske bra uten å endre kode i ring 0.

 

Minneblokker i x86 arkitektur er i bunn og grunn virtuelle. Man har aldri "fysisk" tilgang til hele minne, selv om man har tilgang til hele adresseområdet.

[endrebjo]

Jeg trodde OpenBSD var regnet som det sikreste OSet.

Tails skriver selv at de tilbyr "privacy and anonymity", altså personvern og anonymitet. Dette er ikke nødvendigvis sikkerhet.

Endret 25. juli 2014 av endrebjo

[anders iver]

Utviklerne har kommet med en uttalelse. Det dreier seg om en sårbarhet i I2P, som kan la en angriper deanonymisere deg. Men I2P startes ikke opp automatisk, så om du ikke bruker det er du fortsatt relativt trygg. Er du paranoid kan du avinstallere I2P ved oppstart.

[tHz]

Jeg trodde OpenBSD var regnet som det sikreste OSet.

Tails skriver selv at de tilbyr "privacy and anonymity", altså personvern og anonymitet. Dette er ikke nødvendigvis sikkerhet.

 

Det er ikke en sårbarhet i OS, men i L2P som anders_iver sier.

[endrebjo]

 

Jeg trodde OpenBSD var regnet som det sikreste OSet.

Tails skriver selv at de tilbyr "privacy and anonymity", altså personvern og anonymitet. Dette er ikke nødvendigvis sikkerhet.

Det er ikke en sårbarhet i OS, men i L2P som anders_iver sier.

 

Mitt innlegg var mer siktet mot påstanden om at Tails er "verdens sikreste" operativsystem, og ikke akkurat denne feilen.

[ism]

Det er mulig man må stole noe på ildsjeler som brenner for åpen kildekode (opensource), at enkelte slike kan heve kvaliteten av ren idealisme.

 

Det er veldig mange som får betalt for å utvikle åpen kildekode. Det er strengt tatt ikke mye idealisme ved åpen kildekode. De aller fleste får en eller annen form for betaling for det de gjør. Ikke alle i penger riktignok, men penger er faktisk ikke alt

[Gjest Slettet-jDflNq]

Er ikke uvanlig å gi ut produktet gratis og selge support.

[Raymond Brun]

Det er mulig man må stole noe på ildsjeler som brenner for åpen kildekode (opensource), at enkelte slike kan heve kvaliteten av ren idealisme.

 

Mye open source utvikles av selskaper som IBM/Cisco/Google og så videre - de som er ansatt i de selskapene får betalt for å jobbe

[Gjest Slettet-5a6f9]

Det som _virkelig_ er sikker, er at ingenting er 100% sikkert.

Men det kan likevel være det sikreste.