Portada
mis comunidades
otras secciones
#8:
#1 Es que es un metasistema operativo, no un sistema operativo. A ver si lo explico bien (a ver si lo he entendido, vamos):
Una manera de hacer más seguro un PC es virtualizar: creas una máquina virtual (MV) y en ella instalas un sistema operativo. Es como cuando usas un emulador de una consola o de un ordenador antiguo, para jugar a abandonware, por ejemplo. El problema es que ya hay malware que permite el salto de la MV al SO "contenedor".
Qubes intenta ir un paso más allá, virtualizando y aislando todo. Para escribir desde una MV al disco duro no se hace directamente como si la MV fuese una aplicación normal, sino a través de otra MV que se encarga de dar los servicios de red, discos... De ese modo intentan aislar las MV con las aplicaciones que usamos de las MV del sistema, para que si una de ellas fuese "asaltada" por malware no pudiese ir más allá porque tendría que asaltar otras MV antes de llegar al SO "primario", y puesto que las MV no "se ven" entre sí, es muy complicado.
Una manera de hacer más seguro un PC es virtualizar: creas una máquina virtual (MV) y en ella instalas un sistema operativo. Es como cuando usas un emulador de una consola o de un ordenador antiguo, para jugar a abandonware, por ejemplo. El problema es que ya hay malware que permite el salto de la MV al SO "contenedor".
Qubes intenta ir un paso más allá, virtualizando y aislando todo. Para escribir desde una MV al disco duro no se hace directamente como si la MV fuese una aplicación normal, sino a través de otra MV que se encarga de dar los servicios de red, discos... De ese modo intentan aislar las MV con las aplicaciones que usamos de las MV del sistema, para que si una de ellas fuese "asaltada" por malware no pudiese ir más allá porque tendría que asaltar otras MV antes de llegar al SO "primario", y puesto que las MV no "se ven" entre sí, es muy complicado.
#7:
* Implementa el paradigma de seguridad por aislamiento (no por oscuridad, por supuesto).
* Hoy es para Linux, aunque en el futuro esperan soportar Windows.
* Es Free/Libre Open Source Software.
* Es un metasistema operativo construido a partir de bloques de software existente.
* Representa un nivel de abstracción más alto, uno donde los procesos ahora son máquinas virtuales y el sistema operativo es un Hipervisor.
* Si hablamos del futuro de los sistemas operativos, hay dos extremos: los que están en la nube y este,
* Hoy es para Linux, aunque en el futuro esperan soportar Windows.
* Es Free/Libre Open Source Software.
* Es un metasistema operativo construido a partir de bloques de software existente.
* Representa un nivel de abstracción más alto, uno donde los procesos ahora son máquinas virtuales y el sistema operativo es un Hipervisor.
* Si hablamos del futuro de los sistemas operativos, hay dos extremos: los que están en la nube y este,
#6:
#1 Muy resumido: Es la distro linux Fedora + la capa de Xen + las máquinas virtuales de qubes.
En los pasos de instalación queda bien explicado
http://www.qubes-os.org/trac/wiki/InstallationGuide
En los pasos de instalación queda bien explicado
http://www.qubes-os.org/trac/wiki/InstallationGuide
Comentarios
* Implementa el paradigma de seguridad por aislamiento (no por oscuridad, por supuesto).
* Hoy es para Linux, aunque en el futuro esperan soportar Windows.
* Es Free/Libre Open Source Software.
* Es un metasistema operativo construido a partir de bloques de software existente.
* Representa un nivel de abstracción más alto, uno donde los procesos ahora son máquinas virtuales y el sistema operativo es un Hipervisor.
* Si hablamos del futuro de los sistemas operativos, hay dos extremos: los que están en la nube y este,
A ver si lo pillo porque soy un usuario medio..¿es un sistema operativo tan acojonante que necesita otro sistema operativo huesped para funcionar?
#1 para hacer una analogía creo que podría compararse con un ser vivo multicelular. Es un sistema operativo compuesto de varios sistemas operativos cada uno realizando una funcion al conjunto.
#2
Gracias
#2 #8 si, si, todo eso está muy bien, pero vayamos a lo importante. Reproduce flash a pantalla completa para el p0rn y se puede jugar sin problemas?
#6 Tan resumido que no he entendido nada. #2 ha sido más gráfico.
#1 Muy resumido: Es la distro linux Fedora + la capa de Xen + las máquinas virtuales de qubes.
En los pasos de instalación queda bien explicado
http://www.qubes-os.org/trac/wiki/InstallationGuide
#1 Es que es un metasistema operativo, no un sistema operativo. A ver si lo explico bien (a ver si lo he entendido, vamos):
Una manera de hacer más seguro un PC es virtualizar: creas una máquina virtual (MV) y en ella instalas un sistema operativo. Es como cuando usas un emulador de una consola o de un ordenador antiguo, para jugar a abandonware, por ejemplo. El problema es que ya hay malware que permite el salto de la MV al SO "contenedor".
Qubes intenta ir un paso más allá, virtualizando y aislando todo. Para escribir desde una MV al disco duro no se hace directamente como si la MV fuese una aplicación normal, sino a través de otra MV que se encarga de dar los servicios de red, discos... De ese modo intentan aislar las MV con las aplicaciones que usamos de las MV del sistema, para que si una de ellas fuese "asaltada" por malware no pudiese ir más allá porque tendría que asaltar otras MV antes de llegar al SO "primario", y puesto que las MV no "se ven" entre sí, es muy complicado.
#8
Gracias a tí también...
#1 imagina si es útil, virtualizas una parte para ver porno, y con cerrar la ventana de programa adiós rastreo.
¿No es algo muy parecido en concepto al microkernel?
Si todo corre sobre Fedora + Xen, al final el conjunto sera tan seguro como sea Fedora y Xen.
Un fallo de seguridad en Xen podria abrirte la puerta, a todas las maquinas virtuales.
Eso de que la bluepill es indetectable creo que la misma Rutkowska habia aceptado que es falso.
Se ve muy interesante, tal vez mas tarde con algo de tiempo me ponga a trastear a ver si puedo instalarlo en mi gentoo.
#29 Supongo yo que el hipotetico exploit correria sobre otra maquina virtual impidiendo que el Xen "raiz" sea comprometido (esto lo digo desde mi total ignorancia).
#29 Sí y no, no es lo mismo lanzar un virus que se haga con el control del SO virtualizado, y que este intente atacar a la MV que lo contiene, que tener cada aplicación en una MV distinta, corriendo en un SO "dummy".
No está hecho para virtualizar un SO completo y que éste tenga muchas aplicaciones lanzadas -que es lo que está de moda, virtualizar sistemas para usar un servidor único-, es que tiene cada aplicación en una MV. Por tanto, si quieres hacerte con el control del SO, necesitarías que un exploit:
a)Se hiciese con el control de la aplicación (por ejemplo el navegador).
b)Se hiciese con el control de la MV de esa aplicación.
c)Infectase al SO que ejecuta esa MV.
d)Controlase la MV encargada de los recursos del sistema (discos, red...)
e)Infectase las aplicaciones que corren dentro de esa máquina.
No te venden que sea infalible, lo que te venden es que son muchos fallos en cadena para que un ataque tenga éxito.
Por decirlo así, lleva la idea de multiproceso y multitarea un paso más allá.
Lo mismo que Chrome es multiproceso en lugar de multihebra (como firefox 3.6) para evitar que si una hebra se cuelga afecte a todo el proceso (de ahí lo de sandbox, palabra tan de moda ahora), este sistema es "multiMV", para colgarlo tienes que colgar la hebra, el proceso, la aplicación, la MV que la contiene y el SO que ejecuta esa MV.
#29 No me deja editar, añado aquí de su propia documentación:
A single bug in the hypervisor can result in full system compromise. Itʼs not possible to sandbox the hypervisor and thus, special care should be paid when choosing the best hypervisor for Qubes OS.
Una idea simplemente genial.
Me parece un gran avance. No voy a repetir lo dicho antes, pero si os aseguro que es la manera más genial de separar procesos. Rápido tiene que serlo, ya que las MV's (Máquinas virtuales) están implantadas en el chip procesador.
En realidad es como tener N ordenadores distintos trabajando con mensajes de uno a otro para que les haga un 'cierto' trabajo. Si uno falla, con reiniciarlo, ya basta, pero los demás siguen como estaban. Incluso si en uno entra un virus, no se expanderá ya que la única forma de encargarse trabajos unos ordenadores a otros es mediante mensajes, no código. Y lo que no se ejecuta (código máquina), no puede producir un virus, aunque lo sea.
De todas formas pienso que es aún más genial para poder separar los procesos vitales del sistema y que unos no se puedan ver comprometidos por otros.
Me lo pienso poner este finde! jejejejeje ... cof cof
#27 El programa que lea esos mensajes siempre es susceptible de producir algun desbordamiento de buffer o de pila y ejecutar código. De hecho son los métodos que normalmente se usan para ejecutar código con más privilegios o hackear la PSP por ejemplo.
Ahora solo falta que los usuarios no apunten las contraseñas en post-it y los peguen al monitor o encima de la mesa...
Lo malo de xen es que de momento, para hacer virtualización completa necesitas soporte VT en el micro.
Además de los problemas que presenta con las tarjetas virtuales en sistemas BSD.
La idea no está nada mal, mi server de casa está asi desde hace tiempo.
El rendimiento de xen con máquinas paravirtuales es brutal.
...
Pues para implementar el drag & drop con todas y cada una de las virtualizaciones la pobre hacker se tiene que haber quedado calva...
#39 En sistemas como Windows si. En Unix que todo es modular, y todo se puede comunicar mediante red,no es demasiado dificil . Mira si no Pulseaudio .
Si logran controlar el consumo de recursos de las VM sera una alternativa a tener en cuenta. Leyendo el especificaciones de esa arquitectura parecen extremadamente seguras lo cual es algo realmente positivo.
http://qubes-os.org/files/doc/arch-spec-0.3.pdf
En mi casa tengo algo mucho mas basico montado con VM y me parece fundamental.
#17 #18 por eso como dijo #15 si logran controlar el consumo de recursos es para mirarselo
sobre todo en aplicaciones muy criticas
saludos
Es como carteristas disenando bolsillos o ladrones de banco disenando las caja fuertes.
#23 precisamente por eso, los sistemas siempre serán más seguros que los diseñados por, siguiendo con la analogía que propones, diseñadores que no han pisado la calle en su vida, u oficinistas del banco, que no tienen ni idea de seguridad.
#25 mi comentario era ironico. Quien disena SO lo haven lo mejor que pueden. Si ahora sale alguien y se llama hacker de hacker y diseño algo es el doble mejor o no son todos lo mismo? Ingenieros desarrollando SOs.
Skynet.
a ver cuanto tardan en hackearlo...
pero algo ineficiente si será
Tiene que ser seguro y lento a partes iguales, porque con tanta MV...
Las máquinas virtuales se comunicarán entre si, ergo los virus se pueden trasnferir entre las maquinas virtuales igual que ahora de trasfieren entre máquina reales
tiene muy buena pinta pero parece muy pesado
Aha, han aplicado el concepto de android a un sistema operativo de escritorio.
Yo a esto no le veo ninguna utilidad en el ambito doméstico, pero si en cambio en el empresarial aunque no veo la diferencia entre tener esto y usar Xen con Debian como te de la gana, serando servcios en SO's diferentes.
#20 Hombre eso de que en el entorno doméstico no es interesante...
Yo tengo en mi casa un servidor Ubuntu 9 que provee de servicios de compartición de ficheros, DNS+DHCP, Intranet para el control de gastos domésticos, firewall + proxy + gateway antivirus a los otros cuatro pc's que tengo repartidos por el resto de la casa
#20 Los entornos domésticos son los entornos donde es mas sencillo infectarse. No se tu, pero a mi todo lo que sean facilidades para evitar andar formateando debido a malware metido hasta las entrañas del S.O. me parece correcto.
Segun entiendo , ¿ Ésto es parecido a INFERNO OS ?
#31 efectivamente, es la vuelta de Plan9, aprovechando que la "virtualización" y la "nube" están de moda.
Sí, sí, pero... puede funcionar con linux
#22 Lo pone al final del artículo..
Concluyendo, Qubes:
-Implementa el paradigma de seguridad por aislamiento (no por oscuridad, por supuesto).
-Hoy es para Linux, aunque en el futuro esperan soportar Windows.
Hackers a la carcel ya.
#16
#34 Don't feed the troll.