nomadOS

Security-all

"..próbáljuk meg kialakítani a „héj-modell”-t, a „NomadOS”-t: a számítógépünk operációs rendszere minden alkalommal tiszta lappal indul: a Tails 1.2 Debian [vagy Whonix] disztribúció segítségével, USB-ről boot-olunk vagy Live CD-t használunk, majd lefuttatunk egy frissítést. A fájlok elérése egy jól strukturált mappaszerkezeten keresztül, - külső merevlemezről vagy titkosított felhőből - szimbolikus link/parancsikon hivatkozási rendszerrel történik meg, ..digitális könyvjelzőt használjuk vagy mappából futtatjuk a Tor böngészőt az internetelérésre használt, akár elszigetelt számítógép architektúrán. Az operációs rendszer és programjai függetlenné válnak a felhasználó fájljaitól és beállításaitól, a gép és ember összekapcsolását akár biometrikus azonosítás, xml leíró vagy kulcsfájl végzi el. A felhasználói programok és beállításaik függetlenítése a számítógéptől és operációs rendszerétől korábban, Windows rendszeren a portable programok elterjedésével kezdődött. Fenti módszer [a feledékeny, kényelmi megoldásokat alkalmazó] ember és adatainak elszeparálását célozza meg a [sérülékeny] operációs rendszertől.."

inspiráció, ötlet, láma vád?

  • 4880 megtekintés

( asch v | 2014. 10. 27., h – 16:19 )

Nem ismerem ezt a NomadOS-t. Honnan van az idézet?

Azzal az alapkoncepcióval teljesen egyetértek, hogy a felhasználói programjainkat nem kellene a bizalmi körön belülre engedni, hanem mindent sandboxban kellene futtatni úgy, hogy a lehető legkevesebb erőforrást lássa (pl. fájlok, mikrofon, kamera, screenshot készítés). Igazából ezt a mai operációs rendszerek már az API szintjén sem teszik meg.

a "nomadOS" csak egy munkanév. Azért nyitottam ezt a topic-ot, hogy mennyire lát a közösség fantáziát egy ilyen Sci-fi jövőképbe, amikor is az oprendszer. fut sandbox-ban.
Az adatok és beállítások pedig autentikációval szeparálva. Úgy gondoltam, hogy egy számítógép iránt nem különösebben érdeklődő ember is megtalálja a számítását [nagymama], azaz egy valamilyen formájú bejelentkezést [biometrikus, hagyományos, több lépcsős..] követően lényegében ugyan az történik a felszínen, mint akár most: „Asztal”, ikonok, parancsikonok, fájlok, elmentett jelszavak, működő rendszer. Azonban a háttérben egyáltalán nem. Ott a jelszavas belépés legenerálja az ellenőrzött kapcsolatot és a felhasználói felületet, de az oprendszerből érkező impulzusok nem lehetnek hatással a fájlokra, beállításokra, lévén 2 külön ökoszisztéma, ideiglenes kapcsolattal.

Szerintem a felhasználó azonosítást túllihegjük: aki a gép előtt ül, az a felhasználó, és kész. Ne add oda a géped annak, aki nem a felhasználó. Legalábbis titkosított fájlrendszer nélkül nincs értelme a felhasználó azonosításának. Titkosított fájlrendszer esetén pedig egyetlen egyszer azonosítja magát a felhasználó: amikor a titkosítást feloldja.

Ellenben a másik irány nagyon is fontos lenne: a programoknak kellene azonosítani magukat, hogy a felhasználó el tudja dönteni, hogy amit lát, az valóban az a program-e, amelyikkel ő kommunikálni akar (pl banki terminál), nem pedig egy adathalász (pl banki terminálnak látszó MITM támadás). Ma ez nem megoldott még.

eddig teljesen egyetértek veled, de adódhatnak olyan élethelyzetek, amikor nem gyakorolhatsz kontrollt a számítástechnikai eszközeid felett.
Azt gondolom, hogy nem a mostanság központi téma, a lehallgatás/megfigyelés miatt érdemes ilyesmivel foglalkozni, mert, akinél ez napi veszélyforrás, az úgyis ügyel a részletekre, a hétköznapi felhasználó életében inkább az adatvesztés, lopás, illetve az egyre kifinomultabb és tömeges vakon kilőtt vírus, adathalászat miatt aktuális. Példa a bárhol feltűnő MITM, JP Morgan, a Drupal támadások..

Igen, de arra akartam kilyukadni, hogy ezen támadások ellen az, hogy az oprendszer folyton elkéri a jelszavamat, ha rendszegazdai tevékenységet akarok végezni - nem véd. Sőt még talán árt is. Véleményem szerint a teljes sudo-zásnak csak placebó hatása van a biztonság növelése szempontjából. Kérje el a gép a jelszavamat egyszer, amikor elindítom. Viszont addig, amíg nem zárom le a munkafolyamatot, addig higgye már el, hogy én ülök ott.