Thema: NSA und die Sicherheit von Betriebssystemen

[OdinX]

Hallo

Verbreitete Betriebssysteme (Windows, MacOS, Linux) stammen ja grösstenteils aus den USA.
Nun, da Snowden das Wahre Gesicht der USA präsentiert hat, stelle ich mir die Frage, ob es nicht ein neues USA-freies offenes Betriebssystem braucht.

Was meint ihr dazu?
Könnte man dadurch mehr Sicherheit erreichen?
Wie liesse sich soetwas realisieren?

Kompatibilität zu POSIX könnte man dabei ja leicht erreichen, und damit hätte man schon viel Software zur Verfügung.
Ich war ehrlich gesagt, etwas erstaunt, dass es noch keinen NSA-Thread hier gibt, da das Thema gerade für Betriebssysteme sehr wichtig zu sein scheint.

Ich kann mir persönlich durchaus vorstellen, dass man mit einem neuen Betriebssystem erfolgreich sein könnte, wenn es nicht aus den USA kommt und wenn es zusätzlich einige einzigartige Features mitliefert. Ich habe mir da schon einiges überlegt, aber ich werde es nicht ausführen.

[Jidder]

Wie liesse sich soetwas realisieren?

Also ich würde sagen als Open Source Projekt. Einem Closed Source OS könnte man nicht trauen, weil man den Beteuerungen des Herstellers nicht mit der NSA zu kooperieren bzw. von der NSA unterwandert zu sein nicht glauben kann, ohne den Code einsehen und selbst kompilieren zu können.

Genau so macht das Linux. Es ist kein "OS aus den USA", sondern ein Open Source Projekt, an dem sich Leute aus aller Welt beteiligen. Worauf wir vertrauen müssen, ist dass es genug Beteiligte gibt, die neuen Code prüfen, sodass die NSA da nicht unbemerkt Backdoors einbauen kann. Oder natürlich man beteiligt sich selbst.

Kompatibilität zu POSIX könnte man dabei ja leicht erreichen, und damit hätte man schon viel Software zur Verfügung.

Da ist Sicherheit genauso ein Problem: Nicht nur der Kernel ist sicherheitsrelevant, sondern die Software auch, insbesondere alles was mit Kryptographie/Authentifizierung zu tun hat. Entweder man vertraut der Software ("weil Open Source") oder man schreibts neu. Aber auch das bringt nur begrenzt etwas, weil Verschlüsselungsverfahren standardisiert sind. Wenn der Standard bereits unterwandert ist, bringt da re-implementieren auch nichts. Andere klassische Angriffspunkte ist Software, die mit dem Internet in Kontakt ist (Server, Browser, ...). Ein eigener "sicherer" POSIX-kompatibler Kernel bringt also nur etwas, wenn man auch da der existierenden Open Source Infrastruktur traut.

Also Schlussfolgerung:

Könnte man dadurch mehr Sicherheit erreichen?

Nicht mehr als dein bevorzugtes Open Source OS.

Das ganze basiert natürlich auf der Prämisse, dass Open Source sicherer ist als Closed Source. Ich sehe dazu aber keine Alternative für Paranoide.

[Svenska]

Könnte man dadurch mehr Sicherheit erreichen?

Theoretisch ja, praktisch eher nein. Wenn du selbst ein Betriebssystem baust, dann wirst du da erstmal Unmengen an Bugs haben, die woanders schon vor langer Zeit entfernt wurden. Außerdem wirst du an einigen Stellen ziemlich sicher nicht alles komplett durchdacht haben, wodurch sich Hintertüren ergeben, an die du nicht denkst. Sollte dein Betriebssystem das alles nicht haben und zusätzlich noch verbreitet genug sein, dann können Geheimdienste da trotzdem subtile Bugs einfügen.

Alternativ suchen sie einen anderen Angriffsvektor. Jedes Betriebssystem wird auf einer Hardware ausgeführt, die fast vollständig aus (nicht ersetzbarer und geschlossener) Software besteht; für (DMA-fähige!) Peripherie gilt das ebenfalls. Linux kommt nicht aus den USA, dein BIOS schon. Wenn nicht die Chinesen unterwegs ihre eigenen Türen eingebaut haben.

Kompatibilität zu POSIX könnte man dabei ja leicht erreichen, und damit hätte man schon viel Software zur Verfügung.

Mit POSIX allein hast du ein System der 80er, aber noch lange keinen modernen 3D-fähigen Desktop mit Webbrowser und Videobeschleunigung.

Ich war ehrlich gesagt, etwas erstaunt, dass es noch keinen NSA-Thread hier gibt, da das Thema gerade für Betriebssysteme sehr wichtig zu sein scheint.

Ich vermute, dass den meisten hier entweder klar ist, dass es keinen vollständigen Schutz vor Geheimdiensten gibt, oder dass es für ein selbst entwickeltes Betriebssystem sowieso egal ist.

Man kann die Kosten für einen gezielten Angriff erhöhen. Snowden hat aber gezeigt, dass die Kosten keine Rolle spielen. Es gibt schlicht zu viele Angriffsvektoren, die man nicht unter Kontrolle hat.

Gruß,
Svenska

[OdinX]

Ich dachte eigentlich eher, dass man durch einen kleinen Mikrokernel mehr Sicherheit auf Betriebssystem-Ebene erreichen könnte, da die Komplexität so viel einfacher zu handhaben wäre. Vielleicht könnte man sogar für Teile des Kernels beweisen, dass sie korrekt sind und bestimmte Sicherheitslücken nicht enthalten. Das geht mit Windows und Linux ja ziemlich sicher nicht, da zu viel Code.

[Dimension]

Vorschlag: schreib dir einen x86 emu, der A: deinen Browser ausführt, B: die Betriebssystem API inkl. Treibern und C: Graphik, Eingabegeräte und Netzwerkkarten emuliert. Der D: mittels Debugsymbolen Speichergrenzen überwacht und E: alle API Aufrufe loggt und bei Anomalien warnt.

Schreib den Emu in einer verwalteten Sprache.

Im Hostsystem dann den Zugriff auf alle Graphik- und Fontrenderingbibliotheken sperren, die Treiber für die Netzwerkkarte entfernen und diese per PCI durchschleifen.

Wünsche viel Spaß xD

[kevin]

Nur blöd, den ganzen Aufwand zu treiben, wenn am Ende die CPU kompromittiert ist.

[Lichie]

Also ich fühle mich jetzt nicht unsicherer wie im letzten Jahr. Klar ist krass, was die NSA so treibt, aber im Grunde wusste man immer das ncihts im Internet wirklich sicher ist. Ein Freund von mir studiert sicherheits IT und der hat immer schon gesagt, dass der normale verbraucher gar nciht ahnt was alles möglich ist und er ohne Probleme eine modernes Auto klauen könnte.

[Rookie]

Also ich würde sagen als Open Source Projekt. Einem Closed Source OS könnte man nicht trauen

Stimm ich zu.

Genau so macht das Linux. Es ist kein "OS aus den USA", sondern ein Open Source Projekt, an dem sich Leute aus aller Welt beteiligen.

Das seh ich auch so.

Das Zeug mit NSA usw. war schon von Anfang an klar, genauso wie Überwachung von Smartphones, Handies usw. Nur jetzt ist es raus und alle Welt kriegt irgendwie Panik. Wie es immer schon war. Derjenige, der den größeren Hammer hat hat das sagen.

Klar ist krass, was die NSA so treibt, aber im Grunde wusste man immer das ncihts im Internet wirklich sicher ist.

So ist es und EMail sowie WhatsApp war auch noch nie verschlüsselt, das war von Anfang an klar.

Und wenn du so ein sicheres OS hättest und viele Leute es zudem noch verwenden würden, dann würde irgendein Hacker eine Sicherheitslücke finden und der Hacker würde von Microsoft engagiert werden  . Da müsstest eine Anti-Überwachungs-Kampagne starten und selbst dann würd die NSA da ihre Leute reinbringen und der ganze Mist würde wieder von vorn beginnen. Das siehst am Beispiel von TOR. Auch wenn TOR kein OS ist, so dachte man doch, dass man damit (einigermaßen) anonym im Internet surfen könnte. Jetzt wird es langsam abgeschaltet.

[Svenska]

Sicher, dass Tor nicht von Anfang an eine Sache des US-Militärs war?

"Hindsight is 20/20."
Mich hat man ja grundsätzlich als Spinner abgetan, wenn ich dazu mal was gesagt habe (natürlich nicht überall), aber jetzt kommen alle aus ihren Löchern mit "aber das wusste doch jeder schon immer!!".

[Martin Erhardt]

Ich möchte übrigens in diesem zusammenhang mal auf cjdns und das hyperboria Network hinweisen( https://github.com/cjdelisle/cjdns http://hyperboria.net/ ) Ich hab darin schon mit Leuten über IRC gechattet, nachdem wir gemerkt haben dass die Behörden Geheimdienste oder sonstwer bei Tor die Exit-nodes besitzen könnten(), aber die Configuration von cjdns war nicht ganz einfach und der Nutzen von solchen Netzwerken hängt ganz davon ab wie viele das sind und das sind momentan wenige die cjdns benutzen, weil Bequemlichkeit den meisten Nutzern dann doch wichtiger als Privatsphäre ist.

Ich kann mir persönlich durchaus vorstellen, dass man mit einem neuen Betriebssystem erfolgreich sein könnte, wenn es nicht aus den USA kommt und wenn es zusätzlich einige einzigartige Features mitliefert. Ich habe mir da schon einiges überlegt, aber ich werde es nicht ausführen.

Das soll jetzt wirklich keine Unterstellung sein, mit deinem Profilnamen sieht es bloß ziemlich schlecht aus einen so plumpen Antiamerikanismus vor sich herzutragen. Obwohl Ich Linux insgesamt doch als internationales Projekt bewerten würde, das übrigens ganz ursprünglich aus Finnland kommt, stimmt es zwar, dass Linux insofern US-amerikanisch ist, da die US-amerikanische Nationalität unter Kernel-Entwicklern am häufigsten ist, bloß werden die allermeisten von ihnen, wie auch die allermeisten anderen Amerikaner nie etwas mit der NSA zu tun gehabt haben. Nach deiner Logik wäre übrigens ein doitsches Betriebssystem kein bisschen glaubwürdiger als ein amerikanisches, weil dann ja der BND seine Finger im Spiel gehabt haben wird.

[Svenska]

Der Beitrag, den du zitierst, war über ein halbes Jahr alt.

Ich unterstelle allen Geheimdiensten, für alle einigermaßen verbreiteten Betriebssysteme genug Sicherheitslücken vorbereitet zu haben, um damit ihre Aktionen machen zu können, unabhängig vom der Offenheit des Quellcodes. Allerdings bin auch ich der Meinung, dass US-Software anfälliger für Angriffe per Gesetzestext ist, und Linux ist nicht per se amerikanisch (allerdings auch nicht finnisch).

Hyperboria klingt interessant. Tor klang auch mal interessant. Mal schauen, ob sich das verbreitet (und ob es trotz Verbreitung in der Lage ist, Angriffen von innen und von außen zu widerstehen). Ich fürchte, dass die im Augenblick sicherste Variante darin besteht, das Internet als Ganzes zu umgehen. Vorteilhafterweise gibt es Alternativen, nachteilhafterweise sind diese meist reguliert und daher nicht anonym. Dafür sind sie resistenter gegen Abhören und unendlich langsam.

[Lichie]

Ohh ich seh's erst jetzt, wollte kein so altes Thema wieder aus der Versenkung herausholen. Andererseits ist es ja schon immer noch relevant.

[gale]

Jedes ein neues USA-freies offenes Betriebssystem ist iwann wieder völlig transparent....

[dstyl]

Ich kann mir persönlich durchaus vorstellen, dass man mit einem neuen Betriebssystem erfolgreich sein könnte, wenn es nicht aus den USA kommt und wenn es zusätzlich einige einzigartige Features mitliefert. Ich habe mir da schon einiges überlegt, aber ich werde es nicht ausführen.

Das Problem ist das hardware oft nicht gegen angriffe auf dieser ebene geschütz ist. Ein gutes Beispiel war die XBOX 360 seinerzeit

Dieser 1. Bootloader ist mit dem 1BL Key verschlüsselt, welcher bei allen Konsolen identisch und bekannt ist. Der 1BL läd dann den CB (2. Bootloader), welcher sich im NANDspeicher befindet sowie RSA signiert und RC4 verschlüsselt ist, und startet ihn. Der CB ist unser Knackpunkt, denn er initialisiert das Sicherheitssystem der CPU (Echtzeitverschlüsselung und Hash-Checks des RAMs) und genau dort hat der alte JTAG Hack angesetzt, welcher jedoch durch ein Update des CB verhindert wurde.
Als Sicherheitsmethoden wird eine 128 Bit AES Verschlüsselung sowie vermutlich das Toeplitz Hashverfahren angewendet. Die Verschlüsselung variiert bei jedem Start der Konsole, da sie bzw der Schlüssel sich aus folgenden Teilen zusammensetzt:
-Eine Hashsumme des kompletten fusesets (die z.B. auch den CPU Key enthalten, JTAG Usern bekannt sein sollten)
-Ein zeitbasierter Zähler
-Eine (im Gegensatz zur PS3) wirklich zufällige Zufallszahl, welche dem Zufallszahlengenerator der CPU entspringt. Es gibt zwar bei den FAT Konsolen einen Weg, diesen Generator elektrisch zu deaktivieren, jedoch prüft der CB, ob die Zahl auch wirklich zufällig und eben nicht statisch ist.
Danach führt der 2. Bootloader eine bytecodebasierte, schlichte Softwareengine aus, die z.B. den RAM initialisiert und letztendlich den CD (3. Bootloader) aus nem NAND läd, entschlüsselt und ausführt.
Der CD beinhaltet und startet den Kernel und somit auch den Hypervisor, welcher im Originalzustand der Software eine Virtuelle Hardwareumgebung zur Verfügung stellt (ähnlich wie bei einer Virtuellen Maschine am PC) und somit sämtliche Datenströme kontrollieren und gegen Hacks absichern kann. Nur dieser Hypervisor hat genug Rechte um unsignierten Code auszuführen

Software mäsig war da nichts zu machen aber es war bereits 2 jahre nach der einführung als man einen Hardwarefehler in der CPU ausnutzen konnte

Die Hacker haben herausgefunden, dass durch das Senden eines winzigen Reset Impulses an die CPU, während deren Taktrate extrem reduziert ist, diese nicht resettet wird, sondern sich die Art der Befehlsausführung ändert. Dieser Vorgang ist eine sehr effiziente Methode die Funktion "memcmp" (memory compare => Vergleich von 2 Speicherbereichen) zu veranlassen, keine Unterschiede in den verglichenen Speicherbereichen zu erkennen, selbst wenn diese Existieren. Memcmp wird oft verwendet um einen SHA Hashwert des nächsten zu ladenden Bootloaders mit einem gespeicherten Wert zu vergleichen und diesen auszuführen, falls die verglichenen Werte identisch sind. Somit ist es möglich, einen Bootloader, welcher den Hash Check nicht besteht, trotzdem zu laden und zwar in dem der vorherige Bootloader "geglitcht" wird und somit den darauffolgenden ausführt, selbst wenn dieser den Hash Check nicht besteht (z.B. läd dann der geglitchte CB anstandslos den CD).

Vllt hilft dir das ja für deine Ansätze, aber ich denke über den Hypervisor zu gehen ist ein guter ansatz und am besten das mit ein paar hardware maßnahmen kombinieren dürfte das maximum der umsetzbarkeit sein.
Kannst ja mal Gli Gli fragen was der dir empfiehlt der ist normal immer sehr gesprächsbereit. http://gligli360.blogspot.de/