#3:
Qubes OS usa como base Linux (usa RPMs así que apostaría por algún derivado de Red Hat), con Xen como hipervisor por encima.
Afirmar tajantemente que eso impide que un atacante se pueda hacer con el control del ordenador es una exageración de cuidado, Xen ha tenido, y seguro que tendrá más en el futuro, vulnerabilidades que permiten acceder al dom0 (el "root" de Xen para entendernos) y de ahí básicamente puedes acceder a todo porque es el punto con más privilegios del sistema.
#15:
Usuario varón joven heterosexual de Qubes aislado en algún lugar remoto con conexión a Internet:
¿quieres ver las fotos de la actriz famosa desnuda? Introduzca usuario y contraseña de superusuario para instalar ejecutable para descargar vídeos y fotos en full HD
y hasta allí llegó la seguridad
#2:
El sistema 100% seguro no existe porque no existe ni existirá el usuario perfecto.
#3#4 Yo tengo un equipo en el que es imposible que entre ningún hacker. Jamás he tenido ningún problema de seguridad con ese equipo en estos dos años que lleva apagado y guardado en el trastero.
Qubes OS usa como base Linux (usa RPMs así que apostaría por algún derivado de Red Hat), con Xen como hipervisor por encima.
Afirmar tajantemente que eso impide que un atacante se pueda hacer con el control del ordenador es una exageración de cuidado, Xen ha tenido, y seguro que tendrá más en el futuro, vulnerabilidades que permiten acceder al dom0 (el "root" de Xen para entendernos) y de ahí básicamente puedes acceder a todo porque es el punto con más privilegios del sistema.
#3 has leido como funciona? Cada sesion de cada aplicacionnesta en un contenedor diferente. Firefox no estaria en el mismo contnedor que una terminal.
En todo caso, cierras una ventana, abrea otra y listo.
Para petarlo, el script tendria que convencerte a tomar una serie de pasos que tendrian que ser especificos para qubes, incluyendo un c&p a un archivo en dom0, que seria detectable por el sistema como añgo no normal por falta de conrexto, y ejecutarlo.
Seguramente no se puede pasar de usuario nornal a superusuario de dom0 en la misma sesion, pero eso no lo he probado...
#28 Qubes usa Xen como tecnología de virtualizacion y Xen ha tenido bugs donde desde un guest puedes acceder al dom0, por ejemplo instrucciones no seguras o buffers overflows, incluso alguna que daba acceso al hipervisor de Xen, por mencionar los más graves, de ahí en adelante puedes hacer lo que te apetezca.
Como el atacante use el exploit ya es algo estándar, programas de procedencia dudosa, adjuntos en correos,... El usuario no tiene ni que enterarse que está ejecutando algo malicioso.
Pero el tema que estamos discutiendo no es ese, es si es imposible o no, y no lo es porque igual que ha tenido bugs en el pasado puede volverlos a tener en el futuro, con lo cual decir que es imposible de hackear es falso porque ya lo fue en el pasado y por lo tanto lo puede ser en el futuro.
Es como si te digo que en Linux es imposible que haya alguien que pueda obtener privilegios de root cosa que ha pasado con bugs del kernel en el pasado porque la versión estable de ahora ya no tiene esos bugs.
Pero ni en el kernel de Linux, ni en Xen nada te puede asegurar que no vaya a volver a aparecer un bug que permita escalar privilegios, por lo tanto decir que es imposible de hackear es tirarse a la piscina sin mirar si hay agua antes, igual si y aciertas o igual te das una buena.
#31 "Se hizo famosa en la conferencia Black Hat Briefings de 2006. Microsoft presentaba Windows Vista. Mientras Microsoft hacía una conferencia sobre la seguridad de Vista, en la sala de al lado Rutkowska demostraba como insertar malware en el núcleo de Vista utilizando un rootkit desarrollado por ella misma llamado Blue Pill"
Qubes OS lleva años en "development"... Diría que lo descubrí hace 5 años aproximadamente leyendo sobre la "blue pill" de Joanna. Como introducción... https://en.wikipedia.org/wiki/Blue_Pill_(software).
editado:
wow, en 2006? Hace ya casi 10 años? que viejo me siento
Usuario varón joven heterosexual de Qubes aislado en algún lugar remoto con conexión a Internet:
¿quieres ver las fotos de la actriz famosa desnuda? Introduzca usuario y contraseña de superusuario para instalar ejecutable para descargar vídeos y fotos en full HD
Un SO que nadie usa no tiene atacantes, pues entonces algunos suponen seguridad.
Mac pensaba lo mismi, hasta que se hizo comercial y su cuota de mercado comenzó a interesar a los hackers.
#19 sin ser imposible, contaminar dom0 en un qubes seria bastante laborioso. Si ya es tocapelotas tener selinux activo, la separación de contexto y contendor hace que sea mas improbable. Ademas que vada contenedor es específico y cumple solo con lo necesario.
Veo que Qubes OS es un sistema nativo de virtualización (no lo conocía, ya he aprendido algo hoy ). Casualmente, hay una versión de Whonix disponible para Qubes.
#35 Eso no es exactamente los usuarios de linux, son los que visitan cierta web sobre linux.
De todos modos, lo más preocupante de que la NSA dedique tiempo a vigilar a cuatro pardillos granudos es que es tiempo perdido que no han dedicado a vigilar y perseguir a peligrosos terroristas y conspiradores.
Si hay algún agente del FBI mirando esto, PONTE A TRABAJAR Y BUSCA PELIGROS REALES
En temas de dinero si lo entiendo, pero en lo demás, a mi me da igual, el pobre individuo que entre en mi sistema y vea que vivo igual que todo el mundo y soy un coñazo lo compadezco.
#21 Por ejemplo puede usar tu ordenador para enviar spam, y entonces tu proveedor de Internet te capará el puerto 25 para que no puedas enviar correo (Telefónica lo hace habitualmente).
Comentarios
Le han suprimido los servicios de red?
#4 Y el poder comunicarse con periféricos de entrada/salida
#13 safe is bubbled
#13 #4 El mayor riesgo de seguridad siempre es el dispositivo que se encuentra entre la silla y el teclado.
#4 y la diskettera, no te olvides de la diskettera
#3 #4 Yo tengo un equipo en el que es imposible que entre ningún hacker. Jamás he tenido ningún problema de seguridad con ese equipo en estos dos años que lleva apagado y guardado en el trastero.
Qubes OS usa como base Linux (usa RPMs así que apostaría por algún derivado de Red Hat), con Xen como hipervisor por encima.
Afirmar tajantemente que eso impide que un atacante se pueda hacer con el control del ordenador es una exageración de cuidado, Xen ha tenido, y seguro que tendrá más en el futuro, vulnerabilidades que permiten acceder al dom0 (el "root" de Xen para entendernos) y de ahí básicamente puedes acceder a todo porque es el punto con más privilegios del sistema.
#3 Venom
http://www.welivesecurity.com/la-es/2015/05/14/venom-nueva-amenaza-virtualizacion/
#3 has leido como funciona? Cada sesion de cada aplicacionnesta en un contenedor diferente. Firefox no estaria en el mismo contnedor que una terminal.
En todo caso, cierras una ventana, abrea otra y listo.
Para petarlo, el script tendria que convencerte a tomar una serie de pasos que tendrian que ser especificos para qubes, incluyendo un c&p a un archivo en dom0, que seria detectable por el sistema como añgo no normal por falta de conrexto, y ejecutarlo.
Seguramente no se puede pasar de usuario nornal a superusuario de dom0 en la misma sesion, pero eso no lo he probado...
#28 Qubes usa Xen como tecnología de virtualizacion y Xen ha tenido bugs donde desde un guest puedes acceder al dom0, por ejemplo instrucciones no seguras o buffers overflows, incluso alguna que daba acceso al hipervisor de Xen, por mencionar los más graves, de ahí en adelante puedes hacer lo que te apetezca.
Como el atacante use el exploit ya es algo estándar, programas de procedencia dudosa, adjuntos en correos,... El usuario no tiene ni que enterarse que está ejecutando algo malicioso.
#34 claro y esa es la version de Xen que distrubuyen, la que una vez tuvo un bug que te permitía acceder a dom0.
En todo caso fijate que eso en todo caso reducuria el ataque a un puñado de combinaciones, lo que hace mas fácil detener una intrusión.
#41 No, no distribuyen esa, espero.
Pero el tema que estamos discutiendo no es ese, es si es imposible o no, y no lo es porque igual que ha tenido bugs en el pasado puede volverlos a tener en el futuro, con lo cual decir que es imposible de hackear es falso porque ya lo fue en el pasado y por lo tanto lo puede ser en el futuro.
Es como si te digo que en Linux es imposible que haya alguien que pueda obtener privilegios de root cosa que ha pasado con bugs del kernel en el pasado porque la versión estable de ahora ya no tiene esos bugs.
Pero ni en el kernel de Linux, ni en Xen nada te puede asegurar que no vaya a volver a aparecer un bug que permita escalar privilegios, por lo tanto decir que es imposible de hackear es tirarse a la piscina sin mirar si hay agua antes, igual si y aciertas o igual te das una buena.
#42 yo no he dicho que sea impossible, solo me parece mal que we we menosprecoe y se compare con cosas que no son, como Android.
En todo caso este sistema sube bastante el nivel de dificultad, haciendo un hackeo mucho mas inprobable.
El sistema 100% seguro no existe porque no existe ni existirá el usuario perfecto.
#2 bueno, si haces un sistema extraordinariamente simple sí puede ser 100% seguro. Si quieres un sistema funcional entonces no.
#6 Si el usuario de ese sistema es como el de muchos otros, entonces nunca será 100% seguro, sea lo simple que sea.
#9 me refiero seguro frente a ataques externos. Si coges una lata de gasolina y prendes el ordenador, por ejemplo, no hay nada que hacer.
Diseñado nada menos que por Joanna Rutkowska.
#1 No está de más aclarar quién es Joanna Rutkowska
https://es.wikipedia.org/wiki/Joanna_Rutkowska
#31 "Se hizo famosa en la conferencia Black Hat Briefings de 2006. Microsoft presentaba Windows Vista. Mientras Microsoft hacía una conferencia sobre la seguridad de Vista, en la sala de al lado Rutkowska demostraba como insertar malware en el núcleo de Vista utilizando un rootkit desarrollado por ella misma llamado Blue Pill"
#37 Una crack
Qubes OS lleva años en "development"... Diría que lo descubrí hace 5 años aproximadamente leyendo sobre la "blue pill" de Joanna. Como introducción...
https://en.wikipedia.org/wiki/Blue_Pill_(software).
Usuario varón joven heterosexual de Qubes aislado en algún lugar remoto con conexión a Internet:
¿quieres ver las fotos de la actriz famosa desnuda? Introduzca usuario y contraseña de superusuario para instalar ejecutable para descargar vídeos y fotos en full HD
y hasta allí llegó la seguridad
#15 no has leido como fnciona qubes.
Imposible.
Un SO que nadie usa no tiene atacantes, pues entonces algunos suponen seguridad.
Mac pensaba lo mismi, hasta que se hizo comercial y su cuota de mercado comenzó a interesar a los hackers.
Si cierras puertas, alguien intentará abrirlas. Es el ejemplo que nos lego Alan Turing.
#19 sin ser imposible, contaminar dom0 en un qubes seria bastante laborioso. Si ya es tocapelotas tener selinux activo, la separación de contexto y contendor hace que sea mas improbable. Ademas que vada contenedor es específico y cumple solo con lo necesario.
¿Esto no es por el estilo o incluso mejor? https://www.whonix.org/
Que bien, ya podemos hacer un ERE en mi empresa y yo reconducir mi vida hacia horticultor.
Para eso ya está OpenBSD.
#35 Eso no es exactamente los usuarios de linux, son los que visitan cierta web sobre linux.
De todos modos, lo más preocupante de que la NSA dedique tiempo a vigilar a cuatro pardillos granudos es que es tiempo perdido que no han dedicado a vigilar y perseguir a peligrosos terroristas y conspiradores.
Si hay algún agente del FBI mirando esto, PONTE A TRABAJAR Y BUSCA PELIGROS REALES
Si la NSA cataloga a los usuarios de linux como extremistas, entonces los usuarios de Qubes...
#12 fuentes?
#18 http://lamiradadelreplicante.com/2014/07/03/si-visitas-webs-de-linux-eres-un-extremista-y-la-nsa-va-por-ti/
¿Por qué importa tanto ser jaqueado?
En temas de dinero si lo entiendo, pero en lo demás, a mi me da igual, el pobre individuo que entre en mi sistema y vea que vivo igual que todo el mundo y soy un coñazo lo compadezco.
#21 Por ejemplo puede usar tu ordenador para enviar spam, y entonces tu proveedor de Internet te capará el puerto 25 para que no puedas enviar correo (Telefónica lo hace habitualmente).
#21 Una palabra: DDoS.
negativo
Los sistemas operativos ofrecen protección de memoria entre procesos, permisos de acceso a archivos, puertos, y hardware. Desde hace 30 años.
Si metes los programas en cajas totalmente aisladas, no podrás ni compartir archivos entre éstos.
Y eso asumiendo que no se descubran vulnerabilidades en el hipervisor.
Hype barato. Justifique eso mi negativo a la noticia.
#27 cristiano, habla en cristiano
A la altura de Firefox.
O de Android (¿hoy sería Linux?)
Si es que no aprendemos.
#11 que quieres decir?