Announcement: there is an English version of this forum on Was ist davon zu halten ? http://www.golem.de/news/kaspersky-os-kaspersky-stellt-eigenes-betriebssystem-vor-1611-124583.html
Boris Holler schrieb: > Was ist davon zu halten ? > > http://www.golem.de/news/kaspersky-os-kaspersky-stellt-eigenes-betriebssystem-vor-1611-124583.html Solange da keine normalen 1) Anwendungen laufen reicht auch OpenBSD oder Tails etc. Das der Kernel wie der seL4 formal verifiziert wäre d.h. beweisbar frei von Fehlern wie Buffer Overflows, Use-After-Free etc., steht bei Kaspersky nichts. 1) Java, Browser etc. pp. sind heutzutage die Haupteinfallstore für Schadsoftware, ist da eine Lücke drin hat der Angreifer die Rechte der Anwendung und kann meist genügend Schaden verursachen.
Boris Holler schrieb: > Was ist davon zu halten ? Ein große Blase heisser Luft... Wer behauptet, dass irgendwas sicher wäre, den Quelltext aber nicht vollständig veröffentlicht, ist im Minimum als Schaumschläger verdächtig. Aber mehr noch: selbst wenn der Quelltext vollständig verfügbar wäre, ist damit immer noch längst nicht bewiesen, dass das System sicher ist. Das könnte nicht einmal eine vollständige automatische Analyse leisten, die bei jedem ernsthaft als solchem zu bezeichnenden OS aus Aufwandsgründen wegen der Komplexität nicht in akzeptablen Zeiträumen zu leisten sein wird. Und selbst wenn man diesen Aufwand treiben kann: bestenfalls liesse sich dadurch sicherstellen, das nicht zufällige Fehler zu ausnutzbarem Fehlverhalten führen. Absichtlich eingebaute Schwächen z.B. in der Kryptographie hingegen lassen sich auch durch eine vollständige automatische Analyse nicht detektieren. Das erfordert tiefgreifendes Verständnis des Codes in vollem Umfang. Bei der Komplexität eines OS (im heutigen Verständnis) praktisch unmöglich. Wenn überhaupt irgendwer, dann hätten nur die Urheber wesentlicher Teile des Codes eine Chance, den Kram in Gänze zu überblicken. Das wären aber blöderweise auch genau die Leute, die dafür prädestiniert wären, absichtliche Schwachstellen fast unentdeckbar einzubauen. Da beißt sich die Katze etwas in den Schwanz...
Naja, erstmal ist festzuhalten, dass das kein "normales" OS ist, also nicht fuer PC, Server, etc. gedacht ist. https://eugene.kaspersky.com/2016/11/15/finally-our-own-os-oh-yes/
1 | This unassuming black box is a protected layer 3 switch powered by |
2 | Kaspersky OS and designed for networks with extreme requirements for |
3 | data security. |
4 | ... |
5 | First, it should provide a basis for the development of protected |
6 | industrial control systems. |
7 | |
8 | Second, it should provide a basis for the development of protected |
9 | embedded devices, including the IoT. |
Damit ist es schon mal nicht mehr so wirklich interessant. Okay, es soll IoT-Devices sicherer machen... und was mach ich bitte mit einem OS fuer das es keine Software gibt? Mit IoT-Devices duerften wohl ausschliesslich Produkte von Herstellern gemeint sein (also Dinge wie Smartwatches, die Kloschuessel die den Stuhlgang auf Facebook, Twitter und Instagram postet, etc.), aber keine Geraete fuer die Bastel/Maker-Szene wie der RPi, oder die selbst vernetzte Heizungssteuerung. Sprich: Nur fuer Geraete wo man als Anwender nichts dran aendern kann. Klasse, darauf hab ich gewartet. Das Kaspersky OS wird wohl auf Geraete wie Switches/Router beschraenkt bleiben. Ist halt am Ende nichts anderes als Cisco IOS oder Junos OS (Juniper, basiert auf FreeBSD) => beschraenkt auf eine spezielle Aufgabe. Damit kann man das schon mal nicht mit einem OS wie Windows, Linux, BSD, OSX, oder was auch immer vergleichen. Schon alleine mit der beschraenkung auf Netzwerkgeraete faellt dieser Vergleich unter den Tisch. Natuerlich ist es sehr viel einfacher ein OS, das nur auf einem Netzwerkgeraet wie einem Switch laeuft, sicher zu machen, alls ein OS wo ein Anwender davor sitzt, Software installiert, Mails liest, Multimediadateien verarbeitet, etc. Ich seh das ganze mal von einer anderen Seite: Die Russen haben schon vor langer Zeit erkannt, das die NSA in allen moeglichen Geraeten sitzt, und wollten etwas haben wo das (zumindestens) Softwaretechnisch nicht mehr der Fall ist. Unter diesem Gesichtspunkt kann ich nur den Film "Zero Days" empfehlen. Ist eine Doku ueber Stuxnet, und die NSA sitzt absolut ueberall drin. https://www.amazon.de/Zero-Days-OmU-Mahmoud-Ahmadinejad/dp/B01LC3V2BY/ref=sr_1_1?ie=UTF8&qid=1479574968&sr=8-1&keywords=zerodays Viele Worte ohne Sinn: Nichts ist unhackbar! Trotzdem halte ich es fuer Moeglich ein ziemlich sicheres OS zu entwickeln, sofern die Aufgaben des OS sehr eingeschraenkt sind, wie. zB. auf einem Switch. Solange der Code aber nicht von einer breiten Basis an unabhaengigen Leuten geprueft werden kann, bleibt Kaspersky uns den Beweis der Sicherheit schuldig. Zappenduster schrieb im Beitrag #4798990: > c-hater schrieb: >> Ein große Blase heisser Luft... >> >> Wer behauptet, dass irgendwas sicher wäre, den Quelltext aber nicht >> vollständig veröffentlicht, ist im Minimum als Schaumschläger >> verdächtig. > > Als Schaumschläger, so, so... So ein Wort aus DEINER Feder. Das ist > schon bemerkenswert. Man kann von c-hater halten was man will, aber an der Stelle muss ich ihm recht geben. Es hat seine Gruende warum z.B. Kryptoverfahren veroeffentlich werden, weil nur so die Sicherheit annaehrungsweise beweisbar ist. Selbiges gilt auch fuer Anwendungen die sich selbst mit "unhackbar" auszeichen. Wenn es etwas gibt, dass im Jahre 2016 halbwegs angekommen ist, dann ist es, dass Geheimhaltung nicht gerade die Kirsche auf der Sahne ist, wenn es um Sicherheit geht. Frueher oder Spaeter wird aber auch Kaspersky auf die Fresse fliegen. So wie jede andere grosskotzige Firma auch die bisher meinte sie haette etwas das "absolut sicher und unhackbar" ist. Und nur weil es "unhackbar" sein soll, heisst das ja nicht, dass es auch absolut frei von gewollten Hintertueren ist. Wenn es etwas in der Welt der Computer gibt, dass noch laenger gueltig ist als das Mooresches Gesetz, dann die Tatsache, dass es absolute Sicherheit nicht gibt. Kein System ist sicher. Nichts ist unhackbar.
Boris Holler schrieb: > Was ist davon zu halten ? Viel Marketing-Blabla ohne irgendwelche echten Infos. Mit anderen Worten: Es gibt keinerlei Beleg dafür, dass das tatsächlich irgendwie besonders sicher ist. Behaupten kann man viel...
Wenn Kaspersky mal ein paar Monate nicht in den Medien ist, dann fehlt irgendwas, dann kribbelt es und es muss mal wieder was raus. Wenn grad kein Virendesaster gepusht werden kann, dann eben sowas.
A. K. schrieb: > Wenn Kaspersky mal ein paar Monate nicht in den Medien ist, dann fehlt > irgendwas, ... Also ich lese da nur raus das Cheffe in seinem Blog erzählt das Sie jetzt ein embedded OS bauen. Ziel seien Switches und Router da das ganze US-Zeugs mit Spyware, Hintertüren etc. pp. verseucht ist (bzw. sein kann). Dann erzählt er noch was von Stuxnet (Simatic S7 Virus) und wie wichtig das ganze doch sei. Soweit so business as usual. Ob das nun open oder closed source wird steht da aber nicht. Da hier wohl kaum einer nen Hobbyswitch von scratch bastelt ist das wohl auch von geringer Relevanz.
Ein System, was garantiert per Design frei von Buffer-Overflows ist, wird keine Checks auf Buffer Overflows mehr beinhalten und ist damit anfällig für jede Form von Hardwarefehlern oder -bugs. Nuja, muss jeder selbst wissen, was er davon halten soll.
Hugo S. schrieb: > S. R. schrieb: >> keine Checks auf Buffer Overflows > > Was genau sind Buffer Overflows? Der häufigste Programmfehler. Man sorgt daführ, das man für etwas Speicher hat, in das man dieses etwas hineinschreiben kann. Aber manchmal kommt es vor, dass Programmierer nicht aufpassen, oder einen fehler machen, wodurch in gewissen fällen nicht genug Speicher für das vorbereitet wurde, was hineingeschrieben werden soll. Das nennt man dann Bufferoverflow, weil über das ende des vorbereiteten Bereichs, des Buffers, hinaus geschrieben wird. Dadurch werden Daten nach dem Buffer überschrieben. Das können Daten oder Programmcode oder sonstwas sein. Eine Programmiersprache, die davor sicher ist, sorgt dafür, das bei den Buffern die grösse immer bekannt ist, und vor jedem Zufriff überprüft wird, ob er innerhalb des Buffers liegt. Dies hat minimale Performancenachteile. Es bleibt ein restrisiko für Bufferoverflows in z.B. den Nativen methoden.
https://blog.fefe.de/?ts=ab7788b3 https://blog.fefe.de/?ts=aa783639 https://blog.fefe.de/?q=Schlangen%C3%B6l ... und noch zig weitere. Ob man Fefe nun alles glaubt (immerhin hat er immer Quellenangaben) sei jedem selbst überlassen. Sagen wir mal so: mit einem Kaspersky-OS auf meinem Router würde ich mich unwohl fühlen.
Hugo S. schrieb: > Was genau sind Buffer Overflows? Hier mal was praktisches dazu ;) Simple Buffer Overflows http://netsec.ws/?p=180
Angehängte Dateien:
-
vmware.jpg
271 KB, 243 Downloads
VMware hat auch mal was von super duper Sicherheit erzaehlt und der VMware Enterprise Hypervisor hat eine EAL4 zertifizierung erhalten... 3 Tage spaeter war das Ding kaputt :D --------------------- Auschnitt aus dem Buch: Embedded Systems Security https://www.amazon.de/Embedded-Systems-Security-Practical-Development/dp/0123868866/ref=sr_1_1?ie=UTF8&qid=1479757046&sr=8-1&keywords=embedded+systems+security
Le X. schrieb: > Sagen wir mal so: mit einem Kaspersky-OS auf meinem Router würde ich > mich unwohl fühlen. Um mal aus 'Per Anhalter durch die Galaxis' zu zitieren: Ich traue der Firma Kaspersky so weit, wie ich Manhattan werfen kann.
Thread beobachten
Seitenaufteilung abschalten