Forum: PC Hard- und Software Kaspersky-OS: Ein neues Betriebssystem das grundsätzlich nicht gehackt werden kann


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
von Boris Holler (Gast)


Bewertung
0 lesenswert
nicht lesenswert

von Arc N. (arc)


Bewertung
0 lesenswert
nicht lesenswert
Boris Holler schrieb:
> Was ist davon zu halten ?
>
> 
http://www.golem.de/news/kaspersky-os-kaspersky-stellt-eigenes-betriebssystem-vor-1611-124583.html

Solange da keine normalen 1) Anwendungen laufen reicht auch OpenBSD oder 
Tails etc.
Das der Kernel wie der seL4 formal verifiziert wäre d.h. beweisbar frei 
von Fehlern wie Buffer Overflows, Use-After-Free etc., steht bei 
Kaspersky nichts.
1)  Java, Browser etc. pp. sind heutzutage die Haupteinfallstore für 
Schadsoftware, ist da eine Lücke drin hat der Angreifer die Rechte der 
Anwendung und kann meist genügend Schaden verursachen.

von c-hater (Gast)


Bewertung
6 lesenswert
nicht lesenswert
Boris Holler schrieb:

> Was ist davon zu halten ?

Ein große Blase heisser Luft...

Wer behauptet, dass irgendwas sicher wäre, den Quelltext aber nicht 
vollständig veröffentlicht, ist im Minimum als Schaumschläger 
verdächtig.

Aber mehr noch: selbst wenn der Quelltext vollständig verfügbar wäre, 
ist damit immer noch längst nicht bewiesen, dass das System sicher ist. 
Das könnte nicht einmal eine vollständige automatische Analyse 
leisten, die bei jedem ernsthaft als solchem zu bezeichnenden OS aus 
Aufwandsgründen wegen der Komplexität nicht in akzeptablen Zeiträumen zu 
leisten sein wird.

Und selbst wenn man diesen Aufwand treiben kann: bestenfalls liesse sich 
dadurch sicherstellen, das nicht zufällige Fehler zu ausnutzbarem 
Fehlverhalten führen. Absichtlich eingebaute Schwächen z.B. in der 
Kryptographie hingegen lassen sich auch durch eine vollständige 
automatische Analyse nicht detektieren. Das erfordert tiefgreifendes 
Verständnis des Codes in vollem Umfang. Bei der Komplexität eines OS (im 
heutigen Verständnis) praktisch unmöglich. Wenn überhaupt irgendwer, 
dann hätten nur die Urheber wesentlicher Teile des Codes eine Chance, 
den Kram in Gänze zu überblicken. Das wären aber blöderweise auch genau 
die Leute, die dafür prädestiniert wären, absichtliche Schwachstellen 
fast unentdeckbar einzubauen. Da beißt sich die Katze etwas in den 
Schwanz...

von Kaj (Gast)


Bewertung
4 lesenswert
nicht lesenswert
Naja, erstmal ist festzuhalten, dass das kein "normales" OS ist, also 
nicht fuer PC, Server, etc. gedacht ist.

https://eugene.kaspersky.com/2016/11/15/finally-our-own-os-oh-yes/
1
This unassuming black box is a protected layer 3 switch powered by
2
Kaspersky OS and designed for networks with extreme requirements for
3
data security.
4
...
5
First, it should provide a basis for the development of protected
6
industrial control systems.
7
8
Second, it should provide a basis for the development of protected
9
embedded devices, including the IoT.
Damit ist es schon mal nicht mehr so wirklich interessant.

Okay, es soll IoT-Devices sicherer machen... und was mach ich bitte mit 
einem OS fuer das es keine Software gibt?
Mit IoT-Devices duerften wohl ausschliesslich Produkte von Herstellern 
gemeint sein (also Dinge wie Smartwatches, die Kloschuessel die den 
Stuhlgang auf Facebook, Twitter und Instagram postet, etc.), aber keine 
Geraete fuer die Bastel/Maker-Szene wie der RPi, oder die selbst 
vernetzte Heizungssteuerung. Sprich: Nur fuer Geraete wo man als 
Anwender nichts dran aendern kann. Klasse, darauf hab ich gewartet.

Das Kaspersky OS wird wohl auf Geraete wie Switches/Router beschraenkt 
bleiben. Ist halt am Ende nichts anderes als Cisco IOS oder Junos OS 
(Juniper, basiert auf FreeBSD) => beschraenkt auf eine spezielle 
Aufgabe.

Damit kann man das schon mal nicht mit einem OS wie Windows, Linux, BSD, 
OSX, oder was auch immer vergleichen. Schon alleine mit der 
beschraenkung auf Netzwerkgeraete faellt dieser Vergleich unter den 
Tisch.
Natuerlich ist es sehr viel einfacher ein OS, das nur auf einem 
Netzwerkgeraet wie einem Switch laeuft, sicher zu machen, alls ein OS wo 
ein Anwender davor sitzt, Software installiert, Mails liest, 
Multimediadateien verarbeitet, etc.

Ich seh das ganze mal von einer anderen Seite:
Die Russen haben schon vor langer Zeit erkannt, das die NSA in allen 
moeglichen Geraeten sitzt, und wollten etwas haben wo das (zumindestens) 
Softwaretechnisch nicht mehr der Fall ist.
Unter diesem Gesichtspunkt kann ich nur den Film "Zero Days" empfehlen. 
Ist eine Doku ueber Stuxnet, und die NSA sitzt absolut ueberall drin.
https://www.amazon.de/Zero-Days-OmU-Mahmoud-Ahmadinejad/dp/B01LC3V2BY/ref=sr_1_1?ie=UTF8&qid=1479574968&sr=8-1&keywords=zerodays

Viele Worte ohne Sinn:
Nichts ist unhackbar!
Trotzdem halte ich es fuer Moeglich ein ziemlich sicheres OS zu 
entwickeln, sofern die Aufgaben des OS sehr eingeschraenkt sind, wie. 
zB. auf einem Switch.

Solange der Code aber nicht von einer breiten Basis an unabhaengigen 
Leuten geprueft werden kann, bleibt Kaspersky uns den Beweis der 
Sicherheit schuldig.

Zappenduster schrieb im Beitrag #4798990:
> c-hater schrieb:
>> Ein große Blase heisser Luft...
>>
>> Wer behauptet, dass irgendwas sicher wäre, den Quelltext aber nicht
>> vollständig veröffentlicht, ist im Minimum als Schaumschläger
>> verdächtig.
>
> Als Schaumschläger, so, so... So ein Wort aus DEINER Feder. Das ist
> schon bemerkenswert.
Man kann von c-hater halten was man will, aber an der Stelle muss ich 
ihm recht geben.
Es hat seine Gruende warum z.B. Kryptoverfahren veroeffentlich werden, 
weil nur so die Sicherheit annaehrungsweise beweisbar ist. Selbiges gilt 
auch fuer Anwendungen die sich selbst mit "unhackbar" auszeichen.
Wenn es etwas gibt, dass im Jahre 2016 halbwegs angekommen ist, dann ist 
es, dass Geheimhaltung nicht gerade die Kirsche auf der Sahne ist, wenn 
es um Sicherheit geht.

Frueher oder Spaeter wird aber auch Kaspersky auf die Fresse fliegen. So 
wie jede andere grosskotzige Firma auch die bisher meinte sie haette 
etwas das "absolut sicher und unhackbar" ist.
Und nur weil es "unhackbar" sein soll, heisst das ja nicht, dass es auch 
absolut frei von gewollten Hintertueren ist.

Wenn es etwas in der Welt der Computer gibt, dass noch laenger gueltig 
ist als das Mooresches Gesetz, dann die Tatsache, dass es absolute 
Sicherheit nicht gibt.

Kein System ist sicher.
Nichts ist unhackbar.

von Rolf M. (rmagnus)


Bewertung
1 lesenswert
nicht lesenswert
Boris Holler schrieb:
> Was ist davon zu halten ?

Viel Marketing-Blabla ohne irgendwelche echten Infos. Mit anderen 
Worten: Es gibt keinerlei Beleg dafür, dass das tatsächlich irgendwie 
besonders sicher ist. Behaupten kann man viel...

von (prx) A. K. (prx)


Bewertung
1 lesenswert
nicht lesenswert
Wenn Kaspersky mal ein paar Monate nicht in den Medien ist, dann fehlt 
irgendwas, dann kribbelt es und es muss mal wieder was raus. Wenn grad 
kein Virendesaster gepusht werden kann, dann eben sowas.

von X4U (Gast)


Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> Wenn Kaspersky mal ein paar Monate nicht in den Medien ist, dann fehlt
> irgendwas, ...

Also ich lese da nur raus das Cheffe in seinem Blog erzählt das Sie 
jetzt ein embedded OS bauen. Ziel seien Switches und Router da das ganze 
US-Zeugs mit Spyware, Hintertüren etc. pp. verseucht ist (bzw. sein 
kann).

Dann erzählt er noch was von Stuxnet (Simatic S7 Virus) und wie wichtig 
das ganze doch sei. Soweit so business as usual.

Ob das nun open oder closed source wird steht da aber nicht. Da hier 
wohl kaum einer nen Hobbyswitch von scratch bastelt ist das wohl auch 
von geringer Relevanz.

von S. R. (svenska)


Bewertung
-1 lesenswert
nicht lesenswert
Ein System, was garantiert per Design frei von Buffer-Overflows ist, 
wird keine Checks auf Buffer Overflows mehr beinhalten und ist damit 
anfällig für jede Form von Hardwarefehlern oder -bugs.

Nuja, muss jeder selbst wissen, was er davon halten soll.

von Hugo S. (Gast)


Bewertung
-1 lesenswert
nicht lesenswert
S. R. schrieb:
> keine Checks auf Buffer Overflows

Was genau sind Buffer Overflows?

von Daniel A. (daniel-a)


Bewertung
0 lesenswert
nicht lesenswert
Hugo S. schrieb:
> S. R. schrieb:
>> keine Checks auf Buffer Overflows
>
> Was genau sind Buffer Overflows?

Der häufigste Programmfehler. Man sorgt daführ, das man für etwas 
Speicher hat, in das man dieses etwas hineinschreiben kann. Aber 
manchmal kommt es vor, dass Programmierer nicht aufpassen, oder einen 
fehler machen, wodurch in gewissen fällen nicht genug Speicher für das 
vorbereitet wurde, was hineingeschrieben werden soll. Das nennt man dann 
Bufferoverflow, weil über das ende des vorbereiteten Bereichs, des 
Buffers, hinaus geschrieben wird. Dadurch werden Daten nach dem Buffer 
überschrieben. Das können Daten oder Programmcode oder sonstwas sein. 
Eine Programmiersprache, die davor sicher ist, sorgt dafür, das bei den 
Buffern die grösse immer bekannt ist, und vor jedem Zufriff überprüft 
wird, ob er innerhalb des Buffers liegt. Dies hat minimale 
Performancenachteile. Es bleibt ein restrisiko für Bufferoverflows in 
z.B. den Nativen methoden.

von Le X. (lex_91)


Bewertung
0 lesenswert
nicht lesenswert
https://blog.fefe.de/?ts=ab7788b3
https://blog.fefe.de/?ts=aa783639
https://blog.fefe.de/?q=Schlangen%C3%B6l
... und noch zig weitere.

Ob man Fefe nun alles glaubt (immerhin hat er immer Quellenangaben) sei 
jedem selbst überlassen.

Sagen wir mal so: mit einem Kaspersky-OS auf meinem Router würde ich 
mich unwohl fühlen.

von Kaj (Gast)


Bewertung
0 lesenswert
nicht lesenswert
Hugo S. schrieb:
> Was genau sind Buffer Overflows?
Hier mal was praktisches dazu ;)

Simple Buffer Overflows
http://netsec.ws/?p=180

von Kaj (Gast)


Angehängte Dateien:

Bewertung
0 lesenswert
nicht lesenswert
VMware hat auch mal was von super duper Sicherheit erzaehlt und der 
VMware Enterprise Hypervisor hat eine EAL4 zertifizierung erhalten...
3 Tage spaeter war das Ding kaputt :D

---------------------
Auschnitt aus dem Buch:

Embedded Systems Security
https://www.amazon.de/Embedded-Systems-Security-Practical-Development/dp/0123868866/ref=sr_1_1?ie=UTF8&qid=1479757046&sr=8-1&keywords=embedded+systems+security

von Matthias S. (Firma: matzetronics) (mschoeldgen)


Bewertung
0 lesenswert
nicht lesenswert
Le X. schrieb:
> Sagen wir mal so: mit einem Kaspersky-OS auf meinem Router würde ich
> mich unwohl fühlen.

Um mal aus 'Per Anhalter durch die Galaxis' zu zitieren:
Ich traue der Firma Kaspersky so weit, wie ich Manhattan werfen kann.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.
Hinweis: der ursprüngliche Beitrag ist mehr als 6 Monate alt.
Bitte hier nur auf die ursprüngliche Frage antworten,
für neue Fragen einen neuen Beitrag erstellen.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.