Qubes Os en kan in de toekomst ook worden vervangen door de Opensource ontwikkelde Clip Os van de franse overheid om de

Ook heeft professor tanenbaum een geheime operating system gecreerd (hij heeft Minix gecreerd) waarmee kritische infrastructuur wordt beschermd, maar hij deze gewoon gelekt heeft aan de Amerikanen (hij is zelf een Amerikaan).
Dit minix wordt nu ook door intel gebruikt om processoren te beschermen (samen met technologie van Mcaffee) en iets wat met Europese geld is gefinancieerd is weer in de handen van de Amerikanen komen te vallen.

Dit biedt dezelfde maar betere functionaliteiten dan Qubes Os, de communicatie model van processen(IPC) van Minix is veel veiliger en geissoleerder dan die van Linux.

Qubes Os had gebouwd moeten worden gebouwd bovenop Minix ipv Linux en we waren echt stukken veiliger.

Daverend applaus van mij.
Erg goed bezig deze vrouw.

Een opvallend privacy issue van Clip OS dat is dat de devs niet anoniem zijn, omdat het van een overheid komt. Ze kunnen dus gedwongen worden om eender welke aanpassing aan te richten waardoor de privacy ineens niet meer ten goede komt.

Het qubes project is een leuk idee maar helaas zit het op een dood spoor.
De prestatie en stabiliteit van het systeem is dusdanig slecht dat het leuk is
voor hobby gebruik maar voor professioneel gebruik zie ik er geen toekomst in.
Het legt een dusdanige zware belasting op een systeem dat je echt een flinke
zware machine moet hebben om er iets mee te kunnen.

Daarnaast is het de vraag in hoeverre wij kunnen vertrouwen dat het model van Qubes daadwerkelijk werkt. Het is bekend dat hackers beschikken over tooling om te evalueren of je in een virtuele box zit en om daaruit te ontsnappen. Het zou malware die je krijgt via de mail of link dat je opent stoppen, maar een staatshacker zou het niet tegenhouden.

Je spreekt alsof er nog geen computer systemen bestaan voor qubes. Mijn desktop is bijna 6 jaar oud en qubes werkt gewoon soepel, maar het is natuurlijk wel zo dat het enkele seconden extra duurt wanneer een vm is opgestart, maar veel gebruikte vm's kan je gewoon laten mee opstarten met de pc waardoor je snel kan beginnen. Of misschien gebruik jij verkeerde hardware waardoor qubes niet goed werkt? Ik begrijp jouw reactie allersinds niet goed, ik heb nu 12 vm's open staan en nog steeds geen enkele vertraging.

Gelul! De kans dat je uit een VM weet te ontsnappen is vrijwel nul. Als er al uitwegen zijn dan worden die snel gefixt. Ook een 'staatshacker' wordt dus sterk beperkt in zijn attack vectors.

Ik ga niet met jou in discussie maar goede hackers kunnen evalueren of ze in een virtuele box danwel container zitten en weten of ze in een isolement zitten.
Ik zou zeggen bekijk deze discussie eerst:
https://security.stackexchange.com/questions/3056/how-secure-are-virtual-machines-really-false-sense-of-security
We hebben het dan wel over hackers die echt goed zijn... Dus de kans is klein maar volledig op virtualisatie vertrouwen is naief

Kan niet eens want je begrijpt niet wat ik schrijf en zo te zien niet eens wat je zelf schrijft... Detecteren dat je in een VM zit is heel wat anders dan de vaststelling dat je er moeilijk tot niet uit kan komen en dat dit je als hacker behoorlijk beperkt. Maar goed, dat snap je dus niet.

Ik snap wel dat virtualisatie je beperkt en isoleert en daar ben ik het wel mee eens.

Beveiliging is net zo sterk als de laatst toegepaste pleister en/of update.
Via het kleinste gaatje in een VM is namelijk al een gevaarlijke exploit binnen te loodsen.

Natuurlijk is werken binnen een zandbak of een virtuele omgeving stukken en stukken veiliger.
Dat staat buiten kijf. Daarom is Windows Defender nu de eerste av oplossing, die in een sandbox kan draaien.

Dus eenvoudige maatregelen zetten ook zoden aan de dijk.
Daarom draai ik nooit verhoogde rechten als dit niet strikt nodig is.
Geen admin rechten als er niet expliciet om verzocht wordt,
maar rechten als gewoon gebruiker. Wel zo veilig.

Dan is er voor mij ook nog VoodooShield, dat naar believen kan blokkeren
of op verzoek toestaan/whitelisten (nadat gecheckt wat er kan gaan draaien
en men weet wat men doet in zo'n geval).

Voor het "skimmen" van redirect scripts gebruik ik Malzilla, een browser,
die volledig in een zandbak draait.

Maar het beste blijft natuurlijk cold reconnaissance 3rd party analyse,
dan hoef je de verdachte of kwaadaardige sites nooit te bezoeken zelfs
en evalueer je alleen de 3rd party scan resultaten via een fileviewer bij voorbeeld.

De scannende partij is in dat geval ook verantwoordelijk voor de scan resultaten,
die jij echter nooit tegen een site mag gebruiken.
Bij bijvoorbeeld een Dazzlepod IP scan staat dat zelfs expliciet in de scan-voorwaarden.

Ken dus je grenzen, al zijn ze soms dun en grijs, maar meestal voel je dat wel aan,
waar je een grens zou over kunnen gaan met een "shodannetje" bijvoorbeeld
en je je nieuwsgierheid beter een beetje kan intomen.

Jammer dat op het ogenblik de publieke dom xss scanner over zijn quota gedraaid is,
altijd leuke scans voor het zoeken naar XSS-DOM sources en sinks.
Eigenaar Google, vooruit, geef 'm maar weer een poosje vrij a.u.b.
Waarom drogen die handige links toch steeds op. (Security through obscurity?).

Voor de echte liefhebber/security analist en wellicht komt Pani Joanna Rutkowska
uit Warschau hier misschien ook wel eens langs:
https://app.any.run/submissions

In haar landstaal zou ze kunnen zeggen: "Rewelacja!".
Echt een hele mooi submit-site met laatste bedreigingen.

Scan ze, luitjes.

luntrus

Funny. ;-)
Van zodra je assembly code kan uitvoeren in een VM (en admins van het virtuele OS kunnen dat) kan je escapen.
Voor een aantal attack vectors is er geen oplossing aangezien het een achitecturaal issue/feature is, bv NUMA bij multiprocessor systemen.

Als je kredietkaartgegevens beheert, dan dien je PCI-DSS compliant te zijn.
Er is een reden waarom deze requirements zeggen dat als je dit in een VM doet, alle andere VM's en de hypervisor ook PCI-DSS compliant moeten zijn...

Virtualisatie is absoluut geen security control.

Dan heb je of niet goed gelezen of je hebt niet begrepen wat ik bedoel: Natuurlijk kun je een machine bouwen die qubes os
kan draaien dat is niet zo moeilijk maar dat doe je alleen als je een freak bent een gemiddelde thuisgebruiker gaat echt niet
voor honderden euro's extra hardware kopen alleen om een enkel rottig os'je een beetje fatsoenlijk te kunnen draaien omdat
er een paar zogenaamde kenners roepen dat het veiliger zou zijn (wat nog maar te bezien valt aangezien er tegenwoordig
idd detectie van een vm mogelijk is en nog veel meer rottigheid daarom trent).