image

Qubes OS krijgt bescherming tegen Spectre en Meltdown

donderdag 1 februari 2018, 16:45 door Redactie, 8 reacties

Er is een nieuwe versie van het op security-gerichte besturingssysteem Qubes OS verschenen die belangrijke bescherming tegen de Spectre- en Meltdown-aanvallen bevat, hoewel Qubes-gebruikers toch al minder risico liepen. Het Qubes-besturingssysteem wordt ontwikkeld door de Poolse rootkit-expert Joanna Rutkowska, tevens oprichter van Invisible Things Lab.

Qubes implementeert een "security by isolation" aanpak, wat het doet door verschillende programma's via virtualisatie van elkaar te scheiden. Als één programma wordt aangevallen heeft dit geen gevolgen voor de integriteit van de rest van het systeem. Daardoor zou het meer bescherming bieden dan veel huidige besturingssystemen. Bij de aankondiging van de Spectre- en Meltdown-aanvallen lieten de Qubes OS-ontwikkelaars al weten dat impact op het besturingssysteem beperkt was.

Qubes OS 4.0 maakt standaard in bijna alle gevallen gebruik van volledig gevirtualiseerde virtual machines, wat bescherming tegen de Meltdown-aanval biedt, zo laat het ontwikkelteam weten. Daarnaast zorgt virtualisatie ervoor dat één van de twee Spectre-aanvallen lastig is uit te voeren. In het geval van Qubes lopen alleen actieve virtual machines risico. Gebruikers kregen dan ook het risico om belangrijke virtual machines te sluiten als er minder betrouwbare virtual machines werden gebruikt.

Verder lieten de ontwikkelaars weten dat Spectre en Meltdown alleen read-only zijn, wat inhoudt dat een aanvaller de kwetsbaarheden niet kan gebruiken om bijvoorbeeld een backdoor te installeren. Ondanks de al aanwezige maatregelen bleken de eerste drie release candidates van Qubes 4.0 in bepaalde gevallen nog gebruik te maken van para-gevirtualiseerde virtual machines. Daardoor zou een Meltdown-aanval in bepaalde gevallen mogelijk zijn. In Qubes 4.0 Release Candidate 4 is dit probleem opgelost door nu overal virtualisatie te gebruiken.

Reacties (8)
01-02-2018, 19:42 door Anoniem
Kortom: een virtuele dreiging voor een virtueel OS?

Maar wie gebruikt dit eigenlijk?
De virtuele ambtenaren van 'voor een veiliger Nederland' soms?
01-02-2018, 21:49 door Anoniem
Door Anoniem: Kortom: een virtuele dreiging voor een virtueel OS?

Maar wie gebruikt dit eigenlijk?
De virtuele ambtenaren van 'voor een veiliger Nederland' soms?
Laten we redelijk zijn, het gaat hier om versie 4.0 die daar heeft mee te maken en is maar pas in versie Rc4., dat wil zeggen dat het bruikbaar is voor het publiek, maar nog bugs en functies missen.

Maar wie het gebruikt? Niemand! hahaha! Maar vroeger was er ook firefox en die gebruikte toen ook niemand. De populariteit begon pas toen windows met een browser-keuze-venster kwam die in windows 8 begonnen was geloof ik. Dus laten we afwachten wat er van komt bij qubes, misschien kunnen we er later ook linux games van steam erop draaien.
01-02-2018, 22:29 door beatnix
oh dat is wel fijn, nu is cubes nog meer kraakbaar wat het toch al was.

Het leuke van cubes is memory management bijvoorbeeld van de NIC, die preprocessors doen dat namelijk uiteindelijk allemaal.

Dus niet kraakbaar? Hmmmmzzz, zolang je flashchips firmware niet leaked wordt het een stuk veiliger inderdaad. Moet je dus wel macaddressen veranderen bijvoorbeeld. En zelfs dan hoor, met wat geknoei, kun je via memory management die preprocessors vrij gemakkelijk zelfs op de knietjes krijgen. een ouwe techniek als arp cache poisoning is iets waar virtualisatie gevoelig voor is, op een bepaalde manier, zoals het mi mag voorkomen. En met het FREY effect kan men meer dan geluid overbrengen en standaard NIC operaties. Zoals het mij mag voorkomen, uiteraard.

Meer mag ik niet verklappen hoor, dat is over een jaar of tien misschien wel in pdf vorm ergens op het internet te lezen.
02-02-2018, 10:07 door Anoniem
Door beatnix: oh dat is wel fijn, nu is cubes nog meer kraakbaar wat het toch al was.

Het leuke van cubes is memory management bijvoorbeeld van de NIC, die preprocessors doen dat namelijk uiteindelijk allemaal.

Dus niet kraakbaar? Hmmmmzzz, zolang je flashchips firmware niet leaked wordt het een stuk veiliger inderdaad. Moet je dus wel macaddressen veranderen bijvoorbeeld. En zelfs dan hoor, met wat geknoei, kun je via memory management die preprocessors vrij gemakkelijk zelfs op de knietjes krijgen. een ouwe techniek als arp cache poisoning is iets waar virtualisatie gevoelig voor is, op een bepaalde manier, zoals het mi mag voorkomen. En met het FREY effect kan men meer dan geluid overbrengen en standaard NIC operaties. Zoals het mij mag voorkomen, uiteraard.

Meer mag ik niet verklappen hoor, dat is over een jaar of tien misschien wel in pdf vorm ergens op het internet te lezen.
Jij bent duidelijk Qubes aan het afkraken zonder Qubes eens grondig uit te testen! Als je weet dat Qubes whonix heeft en een disposable functies heeft, dan ga je zoiets over Qubes niet zeggen denk ik.

Waarom denk je dat qubes gemaakt is? Als een normale linux distributie wordt gekraakt, dan liggen al jouw persoonlijke bestanden te grabben door hackers.

Ben wel eens benieuwd welk os jij gebruikt. Waarschijnlijk Windows mét vpn.
02-02-2018, 10:15 door Anoniem
Door beatnix: oh dat is wel fijn, nu is cubes nog meer kraakbaar wat het toch al was.
Het leuke van cubes is memory management bijvoorbeeld van de NIC, die preprocessors doen dat namelijk uiteindelijk allemaal.
....
Meer mag ik niet verklappen hoor, dat is over een jaar of tien misschien wel in pdf vorm ergens op het internet te lezen.

Gast, wat zeg jou allemaal? Ik gebruik Qubes (al jaren) en zou graag zien dat je je beweringen onderbouwt met enig samenhangend verhaal.
Onkraakbaar noemen ze het zelf allemaal ook niet. 'Reasonable Secure', dat dan weer wel.
02-02-2018, 11:01 door Anoniem
Door Anoniem:
Door Anoniem: Kortom: een virtuele dreiging voor een virtueel OS?

Maar wie gebruikt dit eigenlijk?
De virtuele ambtenaren van 'voor een veiliger Nederland' soms?
Laten we redelijk zijn, het gaat hier om versie 4.0 die daar heeft mee te maken en is maar pas in versie Rc4., dat wil zeggen dat het bruikbaar is voor het publiek, maar nog bugs en functies missen.

Maar wie het gebruikt? Niemand! hahaha! Maar vroeger was er ook firefox en die gebruikte toen ook niemand. De populariteit begon pas toen windows met een browser-keuze-venster kwam die in windows 8 begonnen was geloof ik. Dus laten we afwachten wat er van komt bij qubes, misschien kunnen we er later ook linux games van steam erop draaien.

wij gebruiken qubes actief in ons bedrijf, onze complete technische afdeling is verplicht Qubes OS te draaien,
02-02-2018, 11:10 door Anoniem
Door beatnix: oh dat is wel fijn, nu is cubes nog meer kraakbaar wat het toch al was.

Het leuke van cubes is memory management bijvoorbeeld van de NIC, die preprocessors doen dat namelijk uiteindelijk allemaal.

Dus niet kraakbaar? Hmmmmzzz, zolang je flashchips firmware niet leaked wordt het een stuk veiliger inderdaad. Moet je dus wel macaddressen veranderen bijvoorbeeld. En zelfs dan hoor, met wat geknoei, kun je via memory management die preprocessors vrij gemakkelijk zelfs op de knietjes krijgen. een ouwe techniek als arp cache poisoning is iets waar virtualisatie gevoelig voor is, op een bepaalde manier, zoals het mi mag voorkomen. En met het FREY effect kan men meer dan geluid overbrengen en standaard NIC operaties. Zoals het mij mag voorkomen, uiteraard.

Meer mag ik niet verklappen hoor, dat is over een jaar of tien misschien wel in pdf vorm ergens op het internet te lezen.

Als je iets van het project af weet dan weet je ook dat nooit iemand van het Qubes team heeft gezegt dat Qubes (niet "cubes") onkraakbaar is. onkraakbaarheid is een niet haalbaar doel. wat wel haalbaar is, is de beveiliging verbeteren door meerdere lagen in te zetten, wat Qubes hier dus doet,.heck, op de site is het moto niet voor niets "a reasonably secure operating system" en niet "a secure operating system". Misschien wil je voortaan eerst eens fatsoenlijk research doen voordat je onzin uit kraait over een onderwerp waar je duidelijk niks vanaf weet.
26-06-2018, 22:48 door Anoniem
Qubes draait gewoon prima.

Met dank aan Joanna Rutkowska.

If you're serious about security, @QubesOS is the best OS available today. It's what I use, and free. Nobody does VM isolation better.

En dat van iemand die eigenlijk ook graag Tails draaide. :D
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.