Использование TPM в Linux и Open Source

Нет. Он установлен мной на флешку, которую я ношу с собой.

Что толку если твою флэшку может перешить буткит, и прошивку микроконтроллера флэшки и GRUB и т.п.

Да и вообще GRUB2 одно время впаривали так же настойчиво как systemD, и кроме того в нем лезли иногда наружу весьма занятные ошибки, что как бы намекает на то, что об больше чем загрузчик, так же как и systemD больше чем просто init.

Лучше для чего и по сравнению с чем? Маленький загрузчик легче попытаться проверить на отсутствие лишнего вредоносного кода.

Да. А кто ещё может грузиться с диска/флешки? Т.е. если твой бивис затроянен, то носимая флэшка тебе ничем не поможет? Аналогично, если затроянены прошивки контроллеров, флэшки той же, LOL.

https://madaidans-insecurities.github.io/guides/linux-hardening.html

Причем тут шифрование, я тебе толкую о том, что твой линупс уже после загрузки дыряв как решето, и компетентные лица могут легко его затроянить, перешить твои железки так, что комп твой будет навечно затроянен даже после физического форматирования твоих флэшек и дисков, как-то так …

Что толку если твою флэшку может перешить буткит, и прошивку микроконтроллера флэшки и GRUB и т.п.

Не может. Флешка — загрузочная, нужна чтобы считать grub2. После этого она вынимается.
Прошивать флешки по воздуху буткиты пока не научились.

GRUB2 одно время впаривали так же настойчиво как systemD [...] что как бы намекает на то, что об больше чем загрузчик

Обычный себе модульный загрузчик, продолжение grub1. Как syslinux, но модулей больше.

И, в отличие от systemd, grub не пытается заменить существующие утилиты своими урезанными версиями.

Причем тут шифрование,

В сообщении, на которое ты отвечаешь, говорилось о конкретной задаче — проверка целостности загружаемой операционки.

И было предложено конкретное решение — все разделы зашифрованы, плюс загрузчик на флешке.

Такое шифрование решает сразу несколько задач:
• проверяет, что я гружу свою ОС, а не затрояненную
• гарантирует, что если кто-то украдёт мой диск или ноутбук, то не получит доступа к данным (всё зашифровано)
• гарантирует, что никто не подменит на диске загрузчик на что-то с трояном (на диске нет незашифрованного загрузчика).

Вот причем тут шифрование.

А ты как предлагаешь решать эти задачи?

я тебе толкую о том, что твой линупс уже после загрузки дыряв как решето, и компетентные лица могут легко его затроянить,

Давай конкретнее. Назови вектор атаки, и опиши, как от этого вектора защищает, например, BSD?

Скажем, затроянят тебя через баг в firefox. И начнёт твой firefox рассылать спам по сети. Или будет отправлять все вводимые пароли нужному дяде. Как наличие винды/макос/линуха/bsd/solaris/etc на это повлияет? Браузер везде одинаковый.

перешить твои железки так, что комп твой будет навечно затроянен даже после физического форматирования твоих флэшек и дисков, как-то так …

Это возможно только если затроянить биос. Но если троян в биосе, то ОС не имеет значения. Хоть там винда, хоть *BSD — от трояна в биосе они никак не защитят.

Не может. Флешка — загрузочная, нужна чтобы считать grub2. После этого она вынимается. Прошивать флешки по воздуху буткиты пока не научились.

Ты ее прям на скорость выдергиваешь сразу после старта ядра?

А почему бы не использовать одноразовую readonly CDROM болванку на древнючем приводе времен царя гороха с PCI IDE контроллером тех же годов выпуска? Это конечно не решает проблем наличия троянов в самом BIOS, но хотя бы защищает от затроянивания загрузочный носитель.

Кстати бывают болванки и малого компактного формата в 2 раза меньше обычных по диаметру.

Такое шифрование решает сразу несколько задач: • проверяет, что я гружу свою ОС, а не затрояненную

До тех пор пока ее не затроянят во включенном состоянии, а так же и твое оборудование.

• гарантирует, что если кто-то украдёт мой диск или ноутбук, то не получит доступа к данным (всё зашифровано)

Только лишь от гражданских васянов.

• гарантирует, что никто не подменит на диске загрузчик на что-то с трояном (на диске нет незашифрованного загрузчика).

Или подменит флэшку в твоем кармане (ganstalking).

Давай конкретнее. Назови вектор атаки, и опиши, как от этого вектора защищает, например, BSD?

Не BSD вообще, а именно только OpenBSD, в которой по дефолту включены все возможные защиты для базовой поставки в отличии от линупс, которую нужно защищащать и защищать до исчерпания всех разумных твоих временных запасов на это.

Скажем, затроянят тебя через баг в firefox. И начнёт твой firefox рассылать спам по сети. Или будет отправлять все вводимые пароли нужному дяде. Как наличие винды/макос/линуха/bsd/solaris/etc на это повлияет? Браузер везде одинаковый.

Браузер нужно запускать не на рабочей станции с только базовой OpenBSD, а на отдельных железках с линупсами и докерами, когда каждый перезапуск Docker контейнера в Firecracker растроянивает его обратно из образа с чексуммой. Вероятно на GUIX хосте со всеми рекомендациями по hardening и стартуемого аналогично workstation с readonly болванки.

Это возможно только если затроянить биос. Но если троян в биосе, то ОС не имеет значения. Хоть там винда, хоть *BSD — от трояна в биосе они никак не защитят.

Затроянить BIOS 386DX рабочей станции с минимальной базовой OpenBSD v5.5 ? Венда на 386DX ? :)

Чтобы проверить вмешательство надо сравнить хеш, так как проверять все ядро бессмысленно. Чтобы проверить хэш надо его создать и вручную создать ключи. Чтобы создать ключи надо сначала собрать собственное ядро. Чтобы собрать собственное ядро надо сначала избавиться от системд. А вот дальше начинаются пляски с бубном вокруг безопасности с патчами безопасности, которые в апстрим не попадают. Они есть у контор, которые деньги за них платят. Но есть ли смысл когда есть OpenBSD/HardenedBSD? Пока не создадут в России центр по устранению уязвимостей в ядре Linux будет выигрыш на стороне BSD систем. Потому что доверять непонятно кем подписанному ядру это надо быть сумасшедшим в мире открытых исходников.

Затроянить BIOS 386DX рабочей станции с минимальной базовой OpenBSD v5.5 ?

Вернее даже еще более старой типа v3.x-v4.x

Или на древнем одноплатнике с readonly BootROM, где нечего затроянивать.

Проще напаять такой бутром.

Проще напаять такой бутром.

На современные одноплатники?

Можно пример how to?

Для X86 хотя бы с Libreboot такой фокус не пройдет?

Вообще IMHO надо быть имбицилом, чтобы 20 лет подряд жрать кактусы со всевозможными CVE, Spectre/Meldown и т.п. на линупсах, Шиндовзах и т.п. Пихать все на один свой комп во всевозможные sandboxes, с тоннами обещаний безопасности, которые на поверку через некоторое время оказываются дырявыми как сито.

А не использовать вместо этого выделенный терминал с базовой OpenBSD на железке с readonly биос, readonly загрузчиком хотя бы на CDROM

Ты ее прям на скорость выдергиваешь сразу после старта ядра?

Можно даже до старта ядра. grub загрузился — можно вынимать.

А почему бы не использовать одноразовую readonly CDROM болванку на древнючем приводе времен царя гороха с PCI IDE контроллером тех же годов выпуска?

Тогда уж read-only USB-флешку, с маленьким таким read-only переключателем. Всё же найти USB на современных компах проще, чем CD-привод.

До тех пор пока ее не затроянят во включенном состоянии, а так же и твое оборудование.

От затроянивания во включенном состоянии этот метод не защищает. От него вообще ничто не защищает наверняка. Это — другой вектор атаки.

Только лишь от гражданских васянов.

Опять таки, от негражданских ничто не защищает. Негражданскому васяну ты сам всё расскажешь, когда он засунет паяльник в ж...

Или подменит флэшку в твоем кармане (ganstalking).

Вот! Если он не смог затроянить комп в моё отсутствие, и ему пришлось искать более сложные подходы — незаметно воровать мою флешку, троянить, и незаметно возвращать, значит флешка свою задачу выполнила — защитила меня от простых векторов атаки.

«Безопасность» — это не то, когда защищён от всего. Так не бывает. Безопасность всегда относительна — от конкретных векторов атаки в рамках модели угроз.

Затроянить BIOS 386DX рабочей станции с минимальной базовой OpenBSD v5.5 ?

Нет, эту рабочую станцию затроянить не выйдет. Ведь... таких «рабочих станций» не бывает. 🙂 Нельзя затроянить то, чего нет.

Давай конкретнее. Назови вектор атаки, и опиши, как от этого вектора защищает, например, BSD?

Не BSD вообще, а именно только OpenBSD, в которой по дефолту включены все возможные защиты для базовой поставки

Хорошо, назови вектор атаки, и опиши, как от этого вектора защищает именно только OpenBSD.

Браузер нужно запускать не на рабочей станции с только базовой OpenBSD, а на отдельных железках с линупсами и докерами, когда каждый перезапуск Docker контейнера в Firecracker растроянивает его обратно из образа с чексуммой.

И как такой браузер будет сохранять избранное и cookies между перезапусками? А обновлять дополнения? А как таким браузером скачивать, например doc/xls и открывать в libreoffice? Или постить фотки в твиттер/фейсбук?

Вообще IMHO надо быть имбицилом, чтобы 20 лет подряд жрать кактусы со всевозможными CVE, Spectre/Meldown и т.п. на линупсах, Шиндовзах и т.п.

Неудачный пример. «Spectre/Meldown и т.п.» от ОС не зависят. И на всех BSD работают точно так же.

Кстати, напомни, как OpenBSD защитилась от Meltdown? KPTI как в линухе, но спустя пол года после линуха? А как защитилась от Spectre? Отключила SMP с двойной потерей производительности? Впрочем на половине процессоров он итак не поддерживался.

выделенный терминал с базовой OpenBSD на железке с readonly биос, readonly загрузчиком хотя бы на CDROM

На readonly-системах в реальной жизни работать невозможно. Постоянно нужно сохранять какие-то файлы, логи, менять настройки, обновлять программы.

Что-то мне давно не попадались бсдшники...
Раньше считалось, что пользователи *BSD — это пользователи винды, которые видят свою BSD только в окне putty.
Сейчас что-то изменилось?

Можно даже до старта ядра. grub загрузился — можно вынимать.

У тебя ядро не на флэшке, а на шифрованном разделе? GRUB2 поддерживает только LUKS v1 ?

Тогда уж read-only USB-флешку, с маленьким таким read-only переключателем. Всё же найти USB на современных компах проще, чем CD-привод.

Современный комп вероятно максимально аппаратно забэкдорен, начиная со своих прошивок. Можно ведь и по PXE с другого хоста с CDROM грузиться? Интересно, что там с различными атаками типа ARP spoofing прямо в локалке из троянов других хостов?

От затроянивания во включенном состоянии этот метод не защищает. От него вообще ничто не защищает наверняка. Это — другой вектор атаки.

Почему ничто не защищает? А раскидывание разных программ по докер образом и запуск каждой на отдельной железяке?

Опять таки, от негражданских ничто не защищает. Негражданскому васяну ты сам всё расскажешь, когда он засунет паяльник в ж…

Проблем в том, что сейчас ты даже не узнаешь, что он незаметно залез к тебе на комп и стырил все содержимое.

Вот! Если он не смог затроянить комп в моё отсутствие, и ему пришлось искать более сложные подходы — незаметно воровать мою флешку, троянить, и незаметно возвращать, значит флешка свою задачу выполнила — защитила меня от простых векторов атаки.

Еще бы дойти до такого уровня защиты.

«Безопасность» — это не то, когда защищён от всего. Так не бывает. Безопасность всегда относительна — от конкретных векторов атаки в рамках модели угроз.

Заранее не знаешь, какой вектор применят, приходится защищаться от максимального количества векторов, чем OpenBSD и занимается в базовой поставке?

Вернее даже еще более старой типа v3.x-v4.x

Ведь… таких «рабочих станций» не бывает. 🙂 Нельзя затроянить то, чего нет.

https://docstore.mik.ua/manuals/openbsd/faq/faq12.html#FPU

Support for the 80386DX and 80386sx processors was dropped for OpenBSD 4.2 https://docstore.mik.ua/manuals/openbsd/faq/faq12.html

Т.е. ты неправ, уже какой раз, я сбился со счета.

   Давай конкретнее. Назови вектор атаки, и опиши, как от этого вектора защищает, например, BSD?

Этим вектором является отключенность защит в Linux и сложность их конфигурирования:

https://madaidans-insecurities.github.io/linux.html

https://madaidans-insecurities.github.io/guides/linux-hardening.html

Хорошо, назови вектор атаки, и опиши, как от этого вектора защищает именно только OpenBSD.

В OpenBSD максимум защит включены по дефолту, даже нубас получает сразу все, что там есть. Пусть там и нет всего, что есть в максимально защищенной Linux, но и такого линупс дистра наверно тоже нет, сомневаюсь, что Whonix безопаснее OpenBSD, тем более в Whonix есть ненужноD.

И как такой браузер будет сохранять избранное и cookies между перезапусками? А обновлять дополнения? А как таким браузером скачивать, например doc/xls и открывать в libreoffice? Или постить фотки в твиттер/фейсбук?

Кому-то и ненадо ничего сохранять, а если надо, то есть docker volumes для сохранения состояний, например /home.

Вообще IMHO надо быть имбицилом, чтобы 20 лет подряд жрать кактусы со всевозможными CVE, Spectre/Meldown и т.п. на линупсах, Шиндовзах и т.п.

Неудачный пример. «Spectre/Meldown и т.п.» от ОС не зависят. И на всех BSD работают точно так же.

Речь о том, что исполняемые программы нужно изолировать на разных железяках, а на управляющем хосте использовать максимально защищенную по дефолту ось типа OpenBSD.

Кстати, напомни, как OpenBSD защитилась от Meltdown? KPTI как в линухе, но спустя пол года после линуха? А как защитилась от Spectre? Отключила SMP с двойной потерей производительности? Впрочем на половине процессоров он итак не поддерживался.

Дружище, какой meltdown или spectre на древних процах, где OpenBSD неплохо работает? Не делай мне смешно.

выделенный терминал с базовой OpenBSD на железке с readonly биос, readonly загрузчиком хотя бы на CDROM

На readonly-системах в реальной жизни работать невозможно. Постоянно нужно сохранять какие-то файлы, логи, менять настройки, обновлять программы.

Замучался тебе тролю объяснять, что на OpenBSD 386DX только рисовалка экрана GUI контейнеров, запускаемых на других железках в OCI совместимых рантаймах.

Что-то мне давно не попадались бсдшники… Раньше считалось, что пользователи *BSD — это пользователи винды, которые видят свою BSD только в окне putty. Сейчас что-то изменилось?

Еще бы, сейчас они запускают remote OCI контейнеры в окне аппарата OpenBSD 386DX.

Такое шифрование решает сразу несколько задач: • проверяет, что я гружу свою ОС, а не затрояненную

Нет.

До тех пор пока ее не затроянят во включенном состоянии, а так же и твое оборудование.

Да.

Шифрование диска не дает необходимых гарантий для Integrity, хотя в целом влияет на безопасность позитивно и Integrity помогает. Чем?

Шифрование диска не дает необходимых гарантий для Integrity, хотя в целом влияет на безопасность позитивно и Integrity помогает.

Чем?

Тем, что сложнее затроянить хотя бы в выключенном состоянии, пожалуй, это все …

Ну может быть еще тем, что нельзя затроянить во включенном состоянии напрямую из прошивки диска, но можно опосредованно чем закладки в ядре, буткиты и вероятно обычные API доступа к FS, может быть VFS ?

Тем, что сложнее затроянить хотя бы в выключенном состоянии, пожалуй, это все …

В смысле незамонтированным аутентичным хозяином, когда ганстолкер пытается замонтировать самостоятельно в тайне от владельца.

Тем, что сложнее затроянить хотя бы в выключенном состоянии, пожалуй, это все …

Да. Но как факт сложности затроянить при выключенной ОС позитивно влияет на использование этой ОС Integrity?

Да. Но как факт сложности затроянить при выключенной ОС позитивно влияет на использование этой ОС Integrity?

Вот есть что-то ценное, целостность чего нужно обеспечить.

Если его запихать в сейф или на шифрованный диск в данном случае, то труднее незаметно на время забрать сохраняемое и нарушить целостность сохраняемого при условии недоступности атакующим ключей. Разве нет?

https://github.com/tpm2-software/tpm2-pkcs11 — использование TPM как смарт-карты. Поддерживается в ssh, vpn, веб-серверах.

Альтернатива для TPM 1.2: https://github.com/ThomasHabets/simple-tpm-pk11

Этим вектором является отключенность защит в Linux и сложность их конфигурирования

(Забавно слышать жалобы на сложность конфигурирования от того, кто предлагал пачку железок с докер-контейнерами связать вместе каким-то неведомым способом...)

Нет, это — не вектор.

Я перефразирую вопрос. Какие действия должен совершить атакующий, и как от них защитит OpenBSD?

Например: атакующий изменяет посещаемый мной сайт, вставляя на страницу специальный код, который через уязвимость firefox-а устанавливает в него дополнение, рассылающее спам по сети. Как от этого защитит OpenBSD?

Если никак, то зачем в таком случае OpenBSD? Или это — как ноутбук из анекдота?

Кому-то и ненадо ничего сохранять, а если надо, то есть docker volumes для сохранения состояний, например /home.

А зачем тогда docker volumes? Можно просто запускать браузер, и пусть себе сохраняет состояние в /home.

Речь о том, что исполняемые программы нужно изолировать на разных железяках

Так это невозможно же! Их нельзя изолировать — им нужно взаимодействовать. В этом весь смысл. Я скачиваю документ браузером, редактирую его в libreoffice, и отправляю почтовым клиентом.

Ну или о каких «исполняемых программах» речь?

на OpenBSD 386DX только рисовалка экрана GUI контейнеров, запускаемых на других железках в OCI совместимых рантаймах.

Кстати! Можно поподробнее про эту «рисовалку»? Какая на ней сеть? Сколько оперативки? Каким механизмом она будет рисовать экран? VNC? И в целом какое на ней DE, как там окна на экране переключаются? И что это за экран — 640x480 на 16 цветов? А что она делает со звуком?

(потом я спрошу про микрофон и камеру для онлайн-звонков, но то позже... сначала разберёмся с простыми вещами)

Такое шифрование решает сразу несколько задач:
• проверяет, что я гружу свою ОС, а не затрояненную

Нет.

Да. Нельзя затроянить выключенную ОС пока меня нет — всё зашифровано. Можно только подменить весь диск целиком. Но тогда мой пароль не подойдёт, и ОС не загрузится. Если же пароль подошёл, и ОС таки грузится, то это моя ОС.

(Забавно слышать жалобы на сложность конфигурирования от того, кто предлагал пачку железок с докер-контейнерами связать вместе каким-то неведомым способом…)

Связать достаточно легко и предсказуемо в отличии от защит, которые нужно постоянно изучать все новые. Постоянно новые CVE, новые дыры в железе (процах например) и т.п.

Я перефразирую вопрос. Какие действия должен совершить атакующий, и как от них защитит OpenBSD?

Например: атакующий изменяет посещаемый мной сайт, вставляя на страницу специальный код, который через уязвимость firefox-а устанавливает в него дополнение, рассылающее спам по сети. Как от этого защитит OpenBSD?

Установить буткит для набора команд в открытой SSH консоли, изначально заразив через например дыру в браузере. Базовая OpenBSD (без браузеров и офисов) на 386DX не пустит к себе буткита.

А зачем тогда docker volumes? Можно просто запускать браузер, и пусть себе сохраняет состояние в /home.

Во первых контейнер не позволяет затроянить исполняемые файлы при следующем запуске. Во вторых можно запустить один контейнер с volume, а второй без volume.

Речь о том, что исполняемые программы нужно изолировать на разных железяках

Так это невозможно же! Их нельзя изолировать — им нужно взаимодействовать. В этом весь смысл. Я скачиваю документ браузером, редактирую его в libreoffice, и отправляю почтовым клиентом.

Скачиваешь документ браузером на одной железке в ее докер контейнере, потом через SSH перекладываешь файл на другую железку и там открываешь ее в контейнере LibreOffice, а отправляешь на третей железке.

Кстати! Можно поподробнее про эту «рисовалку»? Какая на ней сеть? Сколько оперативки? Каким механизмом она будет рисовать экран? VNC? И в целом какое на ней DE, как там окна на экране переключаются? И что это за экран — 640x480 на 16 цветов? А что она делает со звуком?

VNC или SSH X11 forwarding, что там не было видюх поинтереснее для ISA? Trident какой-нибудь?

(потом я спрошу про микрофон и камеру для онлайн-звонков, но то позже… сначала разберёмся с простыми вещами)

Это на четвертой железке, микрофон и камера подключены к ней напрямую, а на OpenBSD 386DX отображается только экран (виртуальный терминал с клавой).

Да. Но как факт сложности затроянить при выключенной ОС позитивно влияет на использование этой ОС Integrity?

Если его запихать в сейф или на шифрованный диск в данном случае, то труднее незаметно на время забрать сохраняемое и нарушить целостность сохраняемого при условии недоступности атакующим ключей. Разве нет?

Да труднее, но как это позитивно влияет на использования Integrity?

Да труднее, но как это позитивно влияет на использования Integrity?

Если под Integrity понимать целостность в целом, то во время нахождения «в сейфе» или зашифрованном размонтированном состоянии труднее нарушить такой «Integrity»?

Естественно шифрование диска никак не помешает онлайн затрояниванию из браузера например уже после монтирования шифрованного диска, если не считать то, что внешнее шифрование прячет данные от прошивки самого диска.

зашифрованном размонтированном состоянии труднее нарушить такой «Integrity»?

Да.

Труднее нарушить Integrity и как следствие, что?

Установить буткит для набора команд в открытой SSH консоли, изначально заразив через например дыру в браузере. Базовая OpenBSD (без браузеров и офисов) на 386DX не пустит к себе буткита.

То есть линух можно затроянить, если заразить через браузер, а openbsd затроянить нельзя, потому что там нет браузера, так?

Тогда, выходит, на месте OpenBSD может быть любая другая машина, хоть macos, хоть винда, хоть haiku, лишь бы она была без браузера — и это будет так же безопасно, как и openbsd?

Кстати, а каким образом openbsd защищает от буткитов? Там бутлоадер обновлять нельзя? А если можно, то чем бутлоадер отличается от буткита?

VNC или SSH X11 forwarding, что там не было видюх поинтереснее для ISA? Trident какой-нибудь?

Не знаю... Это ж не я предлагаю делать терминал на 386м cpu. 🙂 Там не только с видюхой проблему будут. При X11 forwarding быстро закончатся все 8МБ оперативки. А VNC будет очень не хватать процессора.

Скачиваешь документ браузером на одной железке в ее докер контейнере, потом через SSH перекладываешь файл на другую железку и там открываешь ее в контейнере LibreOffice, а отправляешь на третей железке.
на четвертой железке, микрофон и камера подключены к ней напрямую, а на OpenBSD 386DX отображается только экран (виртуальный терминал с клавой).

Ага! Итак, если я правильно понимаю, у нас есть такой зоопарк:
0. Железка 386DX с OpenBSD, экраном и клавой.
1. Железка с браузером.
2. Железка с офисом.
3. Железка с почтовым клиентом.
4. Железка с микрофоном и камерой (правда непонятно зачем они там, ведь доступа к ней у браузера нету)
(ещё потерялось, какая между ними сеть, и куда подключен звук, но да ладно)
И во всей этой схеме мы не боимся затроянивания четырёх железок №1-4, но зато гарантируем, что железку №0 никто не затроянит.

Всё верно?

Тогда предлагаю такую оптимизацию:
• Продать все железки, кроме №1
• Подключить экран, клавиатуру, камеру и микрофон к железке №1
• Запускать всё на ней и работать как на обычном компе, и не морочить себе голову.

Так, вместо четырёх, у нас затроянят максимум одну железку. Потому что других у нас нет, а эту мы и раньше не боялись затроянить. 🙂

Естественно шифрование диска никак не помешает онлайн затрояниванию из браузера например уже после монтирования шифрованного диска

Затрояниванию из браузера не мешает ничто, никакая ОС и никакие защиты.
(мог бы помешать read-only контейнер, но браузер в контейнере неюзабелен)

Только вот... троянить-то дальше и не надо.

Достаточно затроянить браузер. Этого хватит чтобы перехватывать пароли, рассылать спам, или майнить биткоины в ботнете. Стараться дальше просто незачем.

То есть линух можно затроянить, если заразить через браузер, а openbsd затроянить нельзя, потому что там нет браузера, так? Тогда, выходит, на месте OpenBSD может быть любая другая машина, хоть macos, хоть винда, хоть haiku, лишь бы она была без браузера — и это будет так же безопасно, как и openbsd?

Кроме браузера есть немало и других векторов атак, и в OpenBSD почти все защиты включены по дефолту в отличии от других осей (быть может кроме Whonix и некоторых других малоизвестных сборок Linux). MacOS хоть и относительно неплохо защищена от мамкиных хацкеров, но полностью прозрачная для американских спецслужб. И вообще сравнивать open source с проприетарным Windows - это верх некорректности. Windows могут проверить только спецслужбы и только в теории, потому что там столько LoC, что можно просто крышой поехать от их проверки.

Кстати, а каким образом openbsd защищает от буткитов? Там бутлоадер обновлять нельзя? А если можно, то чем бутлоадер отличается от буткита? Предлагаю пока хотя бы так: secure boot - ложная безопасность? (комментарий)

Наверно лучше было бы научиться прошивать загрузчик OBSD в readonly ПЗУ плат из списка Coreboot v1 ?

VNC или SSH X11 forwarding, что там не было видюх поинтереснее для ISA? Trident какой-нибудь?

Не знаю… Это ж не я предлагаю делать терминал на 386м cpu. 🙂 Там не только с видюхой проблему будут. При X11 forwarding быстро закончатся все 8МБ оперативки. А VNC будет очень не хватать процессора.

Вероятно так или иначе можно найти подходящее железо без популярных закладок (и БЕЗ совместимости с отлаженными буткитами спецслужб для amd64) для запуска OpenBSD или хотя бы NetBSD (для которой список железяк еще шире).

Скачиваешь документ браузером на одной железке в ее докер контейнере, потом через SSH перекладываешь файл на другую железку и там открываешь ее в контейнере LibreOffice, а отправляешь на третей железке. на четвертой железке, микрофон и камера подключены к ней напрямую, а на OpenBSD 386DX отображается только экран (виртуальный терминал с клавой).

Ага! Итак, если я правильно понимаю, у нас есть такой зоопарк: 0. Железка 386DX с OpenBSD, экраном и клавой.

1. Железка с браузером.
2. Железка с офисом.
3. Железка с почтовым клиентом.
4. Железка с микрофоном и камерой (правда непонятно зачем они там, ведь доступа к ней у браузера нету) (ещё потерялось, какая между ними сеть, и куда подключен звук, но да ладно) И во всей этой схеме мы не боимся затроянивания четырёх железок №1-4, но зато гарантируем, что железку №0 никто не затроянит. Всё верно?

Да в теории. Главное защитить от троянов головную управляющую железяку (и ось конечно тоже), а также затруднить распространение троянов с одного dedicated воркера на другой.

Кстати идеальным решением IMHO может быть OpenNebula:

https://opennebula.io/firecracker/

Скоро выходит новый релиз: «Red Square»:

https://opennebula.io/opennebula-6-2-beta-2-red-square-is-out/

Так, вместо четырёх, у нас затроянят максимум одну железку. Потому что других у нас нет, а эту мы и раньше не боялись затроянить. 🙂

Ты троллишь, делая вид, что у тебя нарушена логика рассуждений, кроме как цирком это даже и не назовешь, ты профессиональный клоун из спецслужб? Зачем мне нужно, чтобы троян из браузера лез в мои исходники или записные книжки с персональной инфой?

Просто хочешь трояна для всего, а я пытаюсь его выгнать на отдельные железки с регулярным откатом контейнеров в исходное состояние и чтобы даже их bare-metal хосты стартовали с readonly CDROM LiveCD.

мог бы помешать read-only контейнер, но браузер в контейнере неюзабелен

Ты опять троллишь? Ведь правда, тайный собеседник?

amd64/debian_office    bullseye            abc12c8cc33a        5 weeks ago         3.25GB
amd64/debian_lobase    bullseye            3c0d5be8c102        5 weeks ago         2.68GB
amd64/debian_vnc       bullseye            f18b0dacaf0e        5 weeks ago         2.01GB
amd64/debian_runtime   bullseye            e4d681e64c15        5 weeks ago         1.87GB
amd64/debian_mono      bullseye            f59e8c843408        5 weeks ago         1.09GB
amd64/debian_bash      bullseye            8b5db3796b39        5 weeks ago         509MB
amd64/debian           bullseye            70f2a6b47821        3 months ago        124MB

Достаточно затроянить браузер. Этого хватит чтобы перехватывать пароли, рассылать спам, или майнить биткоины в ботнете. Стараться дальше просто незачем.

Ап чем и речь, стараться изобретать всякие Касперы и т.п. Сколько я насмотрелся в своей жизни на ползающих под столом админов, исправляющих зараженные компы с корпоративным AVP for Шизндоуз, LOL

Лучше всего корпоративный online Каспер защищает своим паролем только от админов, которые пытаются удалить малварь пока комп еще не заклинило. Но малварь почему-то такой пароль не спрашивает, и пользователи нередко начинают стонать уже через неделю после переустановки вашей любимой Windows.

Нет. Он установлен мной на флешку, которую я ношу с собой.

В смысле затроянен аутентичный в репозитарии прямо заранее.

Лучше для чего и по сравнению с чем?

По сравнению с аутентичным GRUB2 ессно.

Флэшку кто грузит? Бивис? Да. А кто ещё может грузиться с диска/флешки?

И что тебе даст флэшка, если затроянить бивис, которым она грузится?

Но не защитит в твоем присутствии:
https://madaidans-insecurities.github.io/guides/linux-hardening.html

Ну так и я о том же. По ссылке написано: А я как раз предлагаю вариант, когда на диске всё зашифровано, в т.ч. и /boot.

Ты не понимаешь что-ли, что дотроянить современным буткитом во включенном состоянии замонтированные шифрованные разделы так же легко как и нешифрованные?

IMHO чем изобретать велосипед, проще и намного быстрее поставить себе на рабочую станцию OpenBSD и не мучаться Часть про «не мучаться» выполнить совсем не просто. 🙂

IMHO OpenBSD намного проще в целом, чем современный Linux, если пытаться использовать все фичи Линупса хотя бы из области безопасности.

К тому же, как это поможет шифрованию диска? OpenBSD ведь тоже грузится незашифрованным загрузчиком?

Да причем тут шифрование?

Кроме браузера есть немало и других векторов атак

Ну так назови их! Назови последовательность действий атакующего, и опиши, как OpenBSD от них защищает.

А то в предыдущем описании OpenBSD защищала потому, что на ней не было браузера. Это — не заслуга OpenBSD. Любая ОС без браузера «защитила» бы также.

Кстати, а каким образом openbsd защищает от буткитов?

Предлагаю пока хотя бы так: secure boot - ложная безопасность? (комментарий)

Чушь какая. Машина1 «защищена» от буткитов потому что грузится по сети с машины2. А машина2 защищена потому что грузится с машины1, да? Рекурсия-с!

И, опять-таки, в чём заслуга openbsd? Любая ОС будет «защищена» от буткитов, если грузить её по сети.

Наверно лучше было бы научиться прошивать загрузчик OBSD в readonly ПЗУ плат из списка Coreboot v1 ?

И как в таком случае обновлять загрузчик?

Ты троллишь, делая вид, что у тебя нарушена логика рассуждений

Не у меня, а у тебя. Я всё ещё не вижу, против какого вектора атаки в этой схеме нужна openbsd.

Перефразируя известный анекдот:

— Как обезопаситься от троянов?
— Берёшь OpenBSD, и кучу железок с линухом, все программы запускаешь на линухе, все данные пропускаешь через железки с линухом, и пусть их троянят.
— Так а OpenBSD зачем?
— А какая ж это безопасность без OpenBSD-то?

Любая ОС на её месте была бы «защищена» точно так же. Даже DOS.

Более того. У тебя BSD — это только монитор+клавиатура. Нафига? Можно тот же монитор и клавиатуру подключать к остальным железкам напрямую, и получить даже большую безопасность, верно?

Просто хочешь трояна для всего, а я пытаюсь его выгнать на отдельные железки с регулярным откатом контейнеров в исходное состояние и чтобы даже их bare-metal хосты стартовали с readonly CDROM LiveCD.

Брр... Во-первых, никакого отката не будет. Всякие кукисы, избранное, и настройки браузера надо сохранять. Браузер надо обновлять. Аддоны надо обновлять. Необновлённый браузер и необновлённая ОС — прямая угроза безопасности. А обновления есть каждый день.

Во-вторых, определись уже с вектором. Ты всё время подгоняешь условие под ответ, и каждый раз по-разному. То у тебя трояны даже из контейнера выбраться не могут, то они у тебя в бут-сектор и в биос прописываются (а тогда им пофиг на контейнеры).

Я снова повторю — опиши ХОТЬ ОДИН, но КОНКРЕТНЫЙ вектор атаки, конкретную последовательность действий. И тогда сравним, защищает ли от него твоя схема, или нет.

В смысле затроянен аутентичный в репозитарии прямо заранее.

Возможно. Ни одна из описанных в этой теме схем не исключает того, что загрузчик линуха или OpenBSD будет затроянен ещё в репозитории.

Лучше для чего и по сравнению с чем?

По сравнению с аутентичным GRUB2 ессно.

А где ответ на первую часть вопроса? Я повторю: лучше для чего И по сравнению с чем?

И что тебе даст флэшка, если затроянить бивис, которым она грузится?

Ничего. Никакая флешка, никакой контейнер и никакая OpenBSD не защитит от затрояненного бивиса.

Ты не понимаешь что-ли, что дотроянить современным буткитом во включенном состоянии замонтированные шифрованные разделы так же легко как и нешифрованные?

Не понимаю. Буткит троянит загрузчик. В описанной мной схеме его на диске нет. Нельзя затроянить то, чего нет.

Да причем тут шифрование?

Зачем шифрование нужно остальным — я не знаю.

У меня оно нужно для защиты от конкретных векторов атаки. Список векторов, от которых защищает эта схема, был перечислен с самого начала: Использование TPM в Linux и Open Source (комментарий)

Ну так назови их! Назови последовательность действий атакующего, и опиши, как OpenBSD от них защищает.

Вероятно часть из них перечислена здесь: https://www.openbsd.org/security.html

А то в предыдущем описании OpenBSD защищала потому, что на ней не было браузера. Это — не заслуга OpenBSD. Любая ОС без браузера «защитила» бы также.

Как я уже упоминал в OpenBSD по дефолту включено намного больше защит, чем в Linux, поэтому без доп. настройки она безопаснее чем Linux.

Кстати, а каким образом openbsd защищает от буткитов? Тем, что работает на древнем железе с устаревшими закладками и вероятно несовместимым с современными буткитами для amd64.

Чушь какая. Машина1 «защищена» от буткитов потому что грузится по сети с машины2. А машина2 защищена потому что грузится с машины1, да? Рекурсия-с! Машина2 грузится с readonly LiveCD

Наверно лучше было бы научиться прошивать загрузчик OBSD в readonly ПЗУ плат из списка Coreboot v1 ? И как в таком случае обновлять загрузчик?

Также как и прошивать его в первый раз.

Не у меня, а у тебя. Я всё ещё не вижу, против какого вектора атаки в этой схеме нужна openbsd.

Ты делаешь вид, что не видишь, тебе уж несколько раз повторили, что там по дефолту включены почти все вундер защиты, которые есть в этой оси.

Любая ОС на её месте была бы «защищена» точно так же. Даже DOS.

Ой, надоел уже троллить. Время только зря на тебя трачу.

Более того. У тебя BSD — это только монитор+клавиатура. Нафига? Можно тот же монитор и клавиатуру подключать к остальным железкам напрямую, и получить даже большую безопасность, верно?

НЕВЕРНО, головной хост рабочей станции позволяет удобно переключаться между воркерами и переносить данные с одного воркера на другой БЕЗ ПРЯМЫХ соединений между воркерами.

Брр… Во-первых, никакого отката не будет. Всякие кукисы, избранное, и настройки браузера надо сохранять. Браузер надо обновлять. Аддоны надо обновлять. Необновлённый браузер и необновлённая ОС — прямая угроза безопасности. А обновления есть каждый день.

Брр ваши обновления выходят уже 20 лет, а толку ? Сплошные CVE…

Проще рестартануть контейнер.

Во-вторых, определись уже с вектором. Ты всё время подгоняешь условие под ответ, и каждый раз по-разному. То у тебя трояны даже из контейнера выбраться не могут, то они у тебя в бут-сектор и в биос прописываются (а тогда им пофиг на контейнеры).

Все remote вектора, кроме физического проникновнения в помещение и воздействия различными разрушающими факторами ближнего действия.

Я снова повторю — опиши ХОТЬ ОДИН, но КОНКРЕТНЫЙ вектор атаки, конкретную последовательность действий. И тогда сравним, защищает ли от него твоя схема, или нет.

Троянят воркер с браузером, но не могут затроянить ни головной хост OBSD ни остальные воркеры.

При следующем рестарте воркера с браузером: его хост с LiveCD, а контейнер из Docker образа с чексуммами, браузер опять чистый.

Ни одна из описанных в этой теме схем не исключает того, что загрузчик линуха или OpenBSD будет затроянен ещё в репозитории.

Я упоминал, что надо брать минимальный загрузчик типа старого grub4dos.

Или попробовать syslinux или производные?

Не понимаю. Буткит троянит загрузчик. В описанной мной схеме его на диске нет. Нельзя затроянить то, чего нет.

Почему обязательно загрузчик? Можно какую-нибудь часть установленной оси.

Скриптик какой-нибудь тебе пропишут в автозагрузку и все …

Ничего. Никакая флешка, никакой контейнер и никакая OpenBSD не защитит от затрояненного бивиса.

Ой ли, и что там за шикарные трояны были в 1992 году для прошивки 386 DX? Я конечно не исключаю существование машины времени, но не уверен, что она есть у тех, кто все это троянит.

Вероятно часть из них перечислена здесь: https://www.openbsd.org/security.html

Вообще-то, там нет ни одного.

Как я уже упоминал в OpenBSD по дефолту включено намного больше защит, чем в Linux, поэтому без доп. настройки она безопаснее чем Linux.

Опять какие-то абстрактные «защиты». Создаётся впечатление, что в OpenBSD есть только какая-то «абстрактная безопасность в вакууме», но ни от чего конкретного она не защищает.

К слову, количество не означает качество. Если на моей двери висит 1 замок, а у соседа 20 замков, то это не значит, что его дом безопаснее. Ведь замки могут быть менее надёжные. Да и вообще там могут быть хреновые окна.

Также как и прошивать его в первый раз.

Программатором? Тогда мой вариант с флешкой однозначно удобнее, чем это извращение с программатором и openbsd.

Более того. У тебя BSD — это только монитор+клавиатура. Нафига? Можно тот же монитор и клавиатуру подключать к остальным железкам напрямую, и получить даже большую безопасность, верно?

НЕВЕРНО, головной хост рабочей станции позволяет удобно переключаться между воркерами

На 386DX, с тормозами и в 640x480 на 16 цветов. Удобно. 🙂

и переносить данные с одного воркера на другой БЕЗ ПРЯМЫХ соединений между воркерами.

Кстати, про соединения... Как там устроена сеть между головным хостом и воркерами?

Проще рестартануть контейнер.
При следующем рестарте воркера с браузером: его хост с LiveCD, а контейнер из Docker образа с чексуммами, браузер опять чистый.

Угу, чистый, бесполезный, но старый, не обновлённый, и со всеми уязвимостями...

Напоминаю, браузер в контейнере неюзабелен, ему нужны обновления, профиль (открытые вкладки, настройки, кукисы, избранное, дополнения...), а также доступ к файлам на загрузку и сохранение, к камере, микрофону, звуку (я всё жду рассказа о том, как звук пробрасывается в OpenBSD на 386DX)...

опиши ХОТЬ ОДИН, но КОНКРЕТНЫЙ вектор атаки, конкретную последовательность действий.

Все remote вектора, кроме физического проникновнения в помещение и воздействия различными разрушающими факторами ближнего действия.

Прямо «все»? Ну ок. Раз это «все remote вектора», то можно я выберу один? Мы ж тут говорили про страшные вирусы, которые троянят биос...

Итак, через уязвимость в браузере и ошибку в одном из драйверов ядра выполняем прямую запись на флешку биоса и прописываем туда свой троян, который подключается к ботнету, и выполняет произвольные команды, например, рассылает спам по сети.

Ещё раз, для невнимательных: трояним ту машину, на которой браузер.

Как от такого вектора защитят контейнеры и OpenBSD?

Я упоминал, что надо брать минимальный загрузчик типа старого grub4dos.
Или попробовать syslinux или производные?

Что это меняет? Любой из них может точно так же быть затроянен на том сайте, с которого мы его скачаем.

Почему обязательно загрузчик? Можно какую-нибудь часть установленной оси.
Скриптик какой-нибудь тебе пропишут в автозагрузку и все …

Тогда это не буткит.

Ой ли, и что там за шикарные трояны были в 1992 году для прошивки 386 DX? Я конечно не исключаю существование машины времени, но не уверен, что она есть у тех, кто все это троянит.

Причём тут 386DX? Она умеет грузиться с флешки?

Железная аргументация, убедил :)

Ждем роста курса валют …

Шифрую на TPM внешние диски. Сид для которых лежит на диске пошифрованном софтварно :) Для остального - хз чем он может быть полезным