Kylin: FreeBSD-alapú OS-ben látja a biztonságot a kínai kormány és hadsereg

FreeBSD

A H Security a Washingon Post egyik cikkére hivatkozva arról számol be, hogy a Kína az összes kormányzati és katonai PC-jére egy Kylin névre hallgató operációs rendszert telepít, hogy ezzel megnehezítse az idegen hírszerzési hivatalok behatolási kísérleteit. A kiemelkedően biztonságos operációs rendszer részletei áprilisban kerültek napvilágra. Az OS mellett állítólag speciális mikroprocesszort is tartalmaznak a számítógépek a támadások megelőzése érdekében.

Egy, az amerikai kormánynak dolgozó biztonsági tanácsadó szerint rendkívül nehezen tudnának az amerikaiak sikeres támadást indítani kínai rendszerek ellen, mert jelenleg a cyber támadásokra specializálódott amerikai egységek számára fenntartott összes kiképzés és eszköz UNIX, Linux és Windows rendszerek elleni támadásra van tervezve.

A Kylin névre hallgató operációs rendszert a kínai University of Science and Technology for National Defence fejlesztette ki. Noha állítólag az operációs rendszer proprietary, egy forráskód-elemzés arra jutott, hogy valójában egy biztonságilag megerősített FreeBSD 5.3 kernel teljesíthet szolgálatot a rendszerben.

Az amerikai tanácsadó megjegyezte, hogy mivel ők gyakorlatilag közönséges, "boltban kapható" amerikai operációs rendszereket (pl. Microsoft termékeket), nyílt forrású rendszereket és idegen alkalmazásokat használnak, kevésbé biztonságosak és a backdoor-okkal szemben sokkal sebezhetőbbek lennének "háború idején".

A részletek itt olvashatók.

( Hunger | 2009. 05. 17., v – 12:37 )

Nem kell ehhez forráskód-elemzés, messziről látszik, hogy egy Linux-nak álcázott FreeBSD, már csak azt kellene tudni, hogy mitől hiszik szuperbiztonságosnak... :)

Nem tudom, hogy erre gondoltak-e, mert elvileg nekik teljesítmény igényes feladatokra is kellene a proci (a Kylin tartalmaz egy Oracle nevű kernel-t, gondolom nem véletlenül), másrészről azt írják, hogy security szempontból is van (vagy csak lesz?) a CPU-ban valamiféle támogatás, amit az OS-ből kilehet használni. A Loongson-ban nem tudom van-e ilyen.

Egyébként a saját proci ötlet az teljesen jogos részükről és érthető is, mert a legnagyobb backdoor a rendszereikben nyilván az amerikai CPU-k jelenleg, csak azt nem látom, hogy mikorra sikerül nekik teljesítmény és gyártókapacitás szintjén elérni az Intel-t vagy az AMD-et.

elvileg nekik teljesítmény igényes feladatokra is kellene a proci

A Loongson család elvileg skálázható, sőt á la Inktomi NOW/COW/PC cluster, a mai trendnek megfelelően a legnagyobb feladatokat le lehet vele darálni. Lásd linkelt HEP/HPC bemutató.

Egyébként az Intel is méregeti az Atom-ot mint HPC-t, mert a "nagy durranás" meg a "jövő" ugye a sok-sok (p5) core, lásd pseudo-GPU CPU Larrabee. Egyébként ez a gép inkább hasonlít a Cell-re, annyiban, hogy a magok inkább programozható D[Signal|Stream]P-k mint P5-ösök.

(A gyártástechnológiában az STMicroelectronics macskafaló maffiával kooperálnak, ami még messze van az Intel/IBM technológiától. De ha belegondolsz, ez az egész egy pár éves projekt az 50 éves Intel-el szemben. Ahhoz képest nem rosszul jönnek fel, főleg, ha a hendikepes EU-val hasonlítod össze.)

Na igen, de ezek velünk nem számoltak, mert majd mikor lerohanjuk Kínát, akkor lesznek
bajban. Mert mi értünk a *BSD-hez.

--
"Megtanultam a zenét, de nem csináltam, s azóta tudással, de irigység nélkül hallgatom.
Megtanultam egy sereg tudományt, mesterséget és művészetet, értek hozzájuk, de nem csinálom, s így érdektelenül tudom azokat élvezni. "
Hamvas Béla

Eléggé konzervatívok, úgyhogy biztos nem lenne könnyű, de nem tudom volt-e rá egyáltalán kísérlet. Engem az se zavarna, ha nem kerülne be, de lenne egy jól működő különálló patch rá. Pár évvel ezelőtt néhány srác el is kezdte csinálgatni, de aztán eltűntek, mint szürke szamár a ködben... :)

Ami fontosabb lenne első körben az a megfelelő W^X implementáció, mert eléggé gáz 2009-ben, hogy simán lehet kódot futtatni a stacken és heapen.

Egyébként ASLR se 100% még, bár OpenBSD már egész jól áll, csak valamiért a legutóbbi kiadásnál sem állították be defaultra, hogy PIE binárisok legyenek, így a main továbbra is fix helyre kerül.

Nincs, csak beszéltünk róla.

Szerk.: Na nézd csak, keresgélve a kacatjaim között azért találtam pár régi patchet. Egy kéznél lévő teszt PC-BSD gépen gyorsan meg is patcheltem a kernelt és ennyit sikerült elérni. Igazából azonban az OpenBSD-féle stackgap megoldást használja, ami nagyon gány, úgyhogy jobb lenne inkább normálisan megírni... Summer of Code? ;)

( wladek1 | 2009. 05. 17., v – 12:53 )

"megnehezítse az idegen hírszerzési hivatalok behatolási kísérleteit."

VS.

"A kiemelkedően biztonságos operációs rendszer részletei áprilisban kerültek napvilágra"

Ez most hogy értelmezendő?
A plusz mikroproci specifikációit is közzé teszik majd?
Mire jó az, ami titkos, de mindenki tud róla?

szürkehrteg
azenoldalamponthu

( mzn v | 2009. 05. 17., v – 13:00 )

Úgy emlékszem, a grúzokat ddos-szal támadták. Az ellen ez se véd.

( tomsolo | 2009. 05. 17., v – 13:55 )

"Az amerikai tanácsadó megjegyezte, hogy mivel ők gyakorlatilag közönséges, "boltban kapható" amerikai operációs rendszereket (pl. Microsoft termékeket), nyílt forrású rendszereket és idegen alkalmazásokat használnak, kevésbé biztonságosak és a backdoor-okkal szemben sokkal sebezhetőbbek lennének "háború idején"."

Igen, azt már a Függetlenség napjából tudjuk hogy a földönkívűli operációs rendszer sem véd az ügyes macbook ellen.

No rainbow, no sugar

( problemdog | 2009. 05. 17., v – 13:58 )

:D A forráskódelemzős link mögött az áll, hogy "Bandwidth Limit Exceeded
The server is temporarily unable to service your request due to the site owner reaching his/her bandwidth limit. Please try again later".

Segít a DVD játékos:

RIP Inktomi

"I am one of the people who can say, that I have lost a billion dollars. Fortunately I never really had it in my hands, so it doesn't quite hurt so bad. But I would tell you, that the difference between a billionaire and an ex-billionaire, is that an ex-billionaire appreciates it a whole lot more." -- Eric Brewer.

De. Hátha outsourceolnak valami Kylin call supportot.

Kínai befektetőkkel több jelentős magyarországi ügyletről folynak előrehaladott tárgyalások - mondta a Napinak Rétfalvi György, a Magyar Befektetési és Kereskedelemfejlesztési (ITD) Zrt. vezérigazgatója a mai kétoldalú high-tech együttműködési konferencia előestéjén.
[...]
A kínaiak megítélése szerint a magyar infrastruktúra és a logisztikai szolgáltatások fejlettek, és hazánkban a kínai cégek képzett és relatíve olcsó munkaerővel dolgozhatnak.

napirajz

( dikki | 2009. 05. 17., v – 22:01 )

én azt olvastam a windows xp telepítése közben, hogy az az eddigi legbiztonságosabb operációs rendszer

( blalo | 2009. 05. 18., h – 11:31 )

A kínai kormánynak két célja lehet:
- Kínán kívülről senki ne tudjon hozzáférni a gépeikhez.
- De ők az állampolgáraikéhoz igen.