News Betriebssysteme: Kaspersky OS soll nicht zu hacken sein
- Ersteller fethomm
- Erstellt am
- Zur News: Betriebssysteme: Kaspersky OS soll nicht zu hacken sein
@b4e5ff3d9e
"not even the slightest smell of Linux"
Die Diskussion was modern ist hat Apfelbaum schon vor 25 Jahren geführt.
http://www.oreilly.com/openbook/opensources/book/appa.html
Nicht auf den Linuxkernel zu setzen hat für Kaspersky wohl eher andere Gründe:
1. Wer sich so intensiv mit Schadsoftware auseinandersetzt wird zwangsläufig an den Punkt kommen, ein OS entwickeln zu wollen, das vieles ganz anders macht.
2. Ein eingeschrängter Funktionsumfang ist die beste Sicherheit. Linux hat viel zu viele Funktionen.
3. Ein Entwicklungsmodell das eng kontrolliert werden kann.
Linux hat ganz andere Absichten und Ziele.
Die Sicherheit von Linux ist eher ein Abfallprodukt aus sauberen Code, offenen Quellen, fachkundigen Usern ect. pp.
"not even the slightest smell of Linux"
Die Diskussion was modern ist hat Apfelbaum schon vor 25 Jahren geführt.
http://www.oreilly.com/openbook/opensources/book/appa.html
Nicht auf den Linuxkernel zu setzen hat für Kaspersky wohl eher andere Gründe:
1. Wer sich so intensiv mit Schadsoftware auseinandersetzt wird zwangsläufig an den Punkt kommen, ein OS entwickeln zu wollen, das vieles ganz anders macht.
2. Ein eingeschrängter Funktionsumfang ist die beste Sicherheit. Linux hat viel zu viele Funktionen.
3. Ein Entwicklungsmodell das eng kontrolliert werden kann.
Linux hat ganz andere Absichten und Ziele.
Die Sicherheit von Linux ist eher ein Abfallprodukt aus sauberen Code, offenen Quellen, fachkundigen Usern ect. pp.
Zuletzt bearbeitet:
b4e5ff3d9e
Ensign
- Registriert
- Mai 2009
- Beiträge
- 184
@tuxnix
Geht es nicht um was "modern" ist, sondern über harten Fakten. Ein monolithischer Kernel ist immer sicherheitsmäsig anfälliger, alleine wegen Shared-Memory IPC. Da hilft der sauberste Code der Welt nicht. Nicht umsonst sind ausschließlich Mikrokernel Betriebssysteme für missionskritische Einwendungen verwendet, wo es z.b. um Leben und Tod geht.
Geht es nicht um was "modern" ist, sondern über harten Fakten. Ein monolithischer Kernel ist immer sicherheitsmäsig anfälliger, alleine wegen Shared-Memory IPC. Da hilft der sauberste Code der Welt nicht. Nicht umsonst sind ausschließlich Mikrokernel Betriebssysteme für missionskritische Einwendungen verwendet, wo es z.b. um Leben und Tod geht.
Zuletzt bearbeitet:
M@tze
Vice Admiral
- Registriert
- Dez. 2008
- Beiträge
- 6.899
Seltsam, auf jedem Security Seminar, Firewall oder Intrusion Detection Kurs, den ich besucht habe, war das Erste was man vom Seminarleiter gehört hat:
Es gibt keine 100% Sicherheit. Jedes System ist hackbar, es ist nur eine Frage der Zeit und des Aufwands. Wer Ihnen etwas anderes erzählt, hat keine Ahnung oder lügt.
ZeusTheGod
Lt. Commander
- Registriert
- Aug. 2010
- Beiträge
- 1.068
Lesen die Leute hier eigentlich den Artikel bevor sie posten? Das tut teilweise ja fast physisch weh, was manche hier ablassen.
Dieses Betriebssystem ist nicht für Desktop-PCs/ Tablets/ o.ä. gedacht, sondern für's IoT und embedded Anwendungen. Es hat somit also nichts mit Linux/ Windows/ MacOS usw. zu tun.
Zum Thema 100% sicher: so wie ich den Herrn Kaspersky in seinem Blog-Eintrag verstehe, behauptet er nicht, dass Kaspersky OS 100% sicher ist. Es soll grundsätzlich/ prinzipiell unhackbar sein ("will be impossible to hack in principle"), das bedeutet nicht, dass es z.B. aufgrund von Fehlern in der Implementierung nicht doch hackbar sein kann. Allerdings ist eben die Auslegung des OS eine wesentlich mehr auf Sicherheit fokussierte, als bei vielen anderen embedded OSes. Desweiteren gibt er an, dass eine knacken der Signatur ohne Quantencomputer enorm teuer, aber nicht unmöglich, sei.
Und an die Preisnörgler: habt ihr eine Ahnung, was "anständige" Switches kosten? Einfach mal den Preis eines WS-C3750X-24T-L anschauen, um nur ein Beispiel zu nennen.
Und zum Thema "böse Kaspersky Labs/ böse Russen/ böses closed source":
Ist denn ein Switch aus irgendeinem anderen Land vertrauenswürdiger? Ist es besser fürs IoT und die Netzwerk-Infrastruktur irgendwelche embedded-Linux-(bastel)-Lösungen zu verwenden? Wie viele open-source Switche für den professionellen Bereich gibt es denn?
Dieses Betriebssystem ist nicht für Desktop-PCs/ Tablets/ o.ä. gedacht, sondern für's IoT und embedded Anwendungen. Es hat somit also nichts mit Linux/ Windows/ MacOS usw. zu tun.
Zum Thema 100% sicher: so wie ich den Herrn Kaspersky in seinem Blog-Eintrag verstehe, behauptet er nicht, dass Kaspersky OS 100% sicher ist. Es soll grundsätzlich/ prinzipiell unhackbar sein ("will be impossible to hack in principle"), das bedeutet nicht, dass es z.B. aufgrund von Fehlern in der Implementierung nicht doch hackbar sein kann. Allerdings ist eben die Auslegung des OS eine wesentlich mehr auf Sicherheit fokussierte, als bei vielen anderen embedded OSes. Desweiteren gibt er an, dass eine knacken der Signatur ohne Quantencomputer enorm teuer, aber nicht unmöglich, sei.
Und an die Preisnörgler: habt ihr eine Ahnung, was "anständige" Switches kosten? Einfach mal den Preis eines WS-C3750X-24T-L anschauen, um nur ein Beispiel zu nennen.
Und zum Thema "böse Kaspersky Labs/ böse Russen/ böses closed source":
Ist denn ein Switch aus irgendeinem anderen Land vertrauenswürdiger? Ist es besser fürs IoT und die Netzwerk-Infrastruktur irgendwelche embedded-Linux-(bastel)-Lösungen zu verwenden? Wie viele open-source Switche für den professionellen Bereich gibt es denn?
M@tze
Vice Admiral
- Registriert
- Dez. 2008
- Beiträge
- 6.899
ZeusTheGod schrieb:
Nach der Auslegung wäre prinzipiell auch Windows nicht zu hacken, höchstens aufgrund von Fehlern in der Implementierung...
Nur weil Kaspersky und seine Entwickler sich gerade keinen Weg vorstellen können, wie das OS zu hacken wäre, heißt dass ja nicht das es nicht irgendwo einen Schlaueren geben kann. Sicher wird es eine ganze Weile so bleiben, aber das ist dann einfach der geringen Verbreitung geschuldet und dem wirtschaftlichen Desinteresse der diversen Hackergruppen.
mensch183
Captain
- Registriert
- Jan. 2008
- Beiträge
- 3.666
Nein. Eine System kann man so bauen, dass es Code ausführen kann, ohne darüber angegriffen werden zu können.tuxnix schrieb:
Hier im Thread scheint die Meinung stark vertreten zu sein, dass Software per Definition scheiße ist, d.h. immer unsicher bzw. hackbar ist und somit niemals eine Lösung für ernsthafte Sachen kein. Wenn Software noch nicht gehackt wurde, liegt es in deren Augen nur daran, dass sich bisher nur Trottel als Angreifer versucht haben, die die angeblich mit Sicherheit vorhandenen Löcher nur noch nicht gefunden haben. Nur ist das nicht so.
Man kann Software so bauen und testen, dass sie haargenau nur das tut, was sie tun soll. Das Prüfen passiert nicht durch schwarze Magie (z.B. indem man supertolle Programmierer ransetzt, die "per Definition" keine Fehler machen) sondern indem man die Korrektheit der Software formal nachweist, also beweist. Das ist bei nichttrivialen Programmen zwar schwierig aber machbar. Auch wenn dies bei Feld-, Wald-, und Wiesensoftware nicht passieren wird, sollte man wenigstens den Gedanken im Hinterkopf haben, dass Software tatsächlich fehlerfrei(im Sinne der Spezifikation) sein kann. Software ist nicht grundsätzlich Müll.
Dir ist die Bedeutung von "unter Beweis stellen" offensichtlich unklar - ein sehr verbreiteter Fehler. Ein Beweis ist etwas ganz anderes als eine wage Hoffnung, dass etwas schon so sein wird, nur weil noch niemand das Gegenteil gezeigt hat.tuxnix schrieb:
Zuletzt bearbeitet:
ZeusTheGod
Lt. Commander
- Registriert
- Aug. 2010
- Beiträge
- 1.068
M@tze schrieb:Nach der Auslegung wäre prinzipiell auch Windows nicht zu hacken, höchstens aufgrund von Fehlern in der Implementierung...
...
Dem ist eben nicht so. Alleine schon die Architektur des Kernel (Microkernel vs. monolithischer Kernel), macht die unterschiedliche grundsätzliche Auslegung deutlich.
Es ist halt ein Unterschied, ob ich von vorne herein versuche, alle Konzeptionellen Lücken zu schließen (wie erfolgreich Kaspersky hierbei war, muss sich noch zeigen), oder mir darüber gar keine Gedanken mache, weil Sicherheit in der Prio-Liste gar nicht auftaucht.
M@tze
Vice Admiral
- Registriert
- Dez. 2008
- Beiträge
- 6.899
@40ZeusTheGod
Du hast es nicht so mit Sarkasmus?
@mensch183
Wie Du schon sagst, man "kann" Software so bauen, das ist aber nicht die Norm. Jeder Programmierer und Tester ist auch nur ein Mensch, macht also Fehler. Der Programmierer wird nur das entwickeln, was in der FSpec drin steht. Der Tester nur das testen, was in der TSpec drin steht. Geschrieben hat die Specs aber wieder ein Anderer, also kannst Du gar nicht mit 100%iger Sicherheit sagen, dass alle Eventualitäten abgedeckt sind.
Außerdem hat man viel zu oft Querbeziehungen von Programmteilen in der Software, an die bei der Erstellung gar nicht gedacht wurde. Da der Code von vielen Leuten geschrieben wird, können gar nicht alle den Überblick über das große Ganze haben. Code von Entwickler A funktioniert alleine wunderbar, Code von Entwickler B funktioniert alleine auch wunderbar. Mergt man beide zusammen, "kann" (!) es aber zu Problemen kommen, an welche vorher gar nicht gedacht wurde. Da nicht daran gedacht wurde, existiert fuer diesen Fall auch kein Punkt in der TSpec und schon ist das durch Dienen 100% Test durchgerutscht. Wird vielleicht nie gefunden, vielleicht findet es aber auch ein findiger Hacker oder es taucht beim Kunden durch Zufall auf...
Du hast es nicht so mit Sarkasmus?
@mensch183
Wie Du schon sagst, man "kann" Software so bauen, das ist aber nicht die Norm. Jeder Programmierer und Tester ist auch nur ein Mensch, macht also Fehler. Der Programmierer wird nur das entwickeln, was in der FSpec drin steht. Der Tester nur das testen, was in der TSpec drin steht. Geschrieben hat die Specs aber wieder ein Anderer, also kannst Du gar nicht mit 100%iger Sicherheit sagen, dass alle Eventualitäten abgedeckt sind.
Außerdem hat man viel zu oft Querbeziehungen von Programmteilen in der Software, an die bei der Erstellung gar nicht gedacht wurde. Da der Code von vielen Leuten geschrieben wird, können gar nicht alle den Überblick über das große Ganze haben. Code von Entwickler A funktioniert alleine wunderbar, Code von Entwickler B funktioniert alleine auch wunderbar. Mergt man beide zusammen, "kann" (!) es aber zu Problemen kommen, an welche vorher gar nicht gedacht wurde. Da nicht daran gedacht wurde, existiert fuer diesen Fall auch kein Punkt in der TSpec und schon ist das durch Dienen 100% Test durchgerutscht. Wird vielleicht nie gefunden, vielleicht findet es aber auch ein findiger Hacker oder es taucht beim Kunden durch Zufall auf...
Zuletzt bearbeitet:
Shoryuken94
Admiral
- Registriert
- Feb. 2012
- Beiträge
- 8.854
Es wurde doch gar nicht gesagt, dass es unhackbar sei, sondern lediglich das das konzept des betriebssystems unhackbar sei. Wenn durch Zusatzsoftware oder programmfehler jemand eindringt ändert das nicht unbedingt etwas an der Aussage.
Das ist wie die Aussage, dass eine Verschlüsselung nicht geknackt werden kann. So ziemlich jede bekannte Verschlüsselung kann einfach zurückgerechnet werden. Es ist mit geutigen Computern nur nicht möglich, eine so komplexe Formel in einer angemessenen zeit auszurechnen. Im Grunde die gleiche aussage steht ja auch im Artikel.
Das ist wie die Aussage, dass eine Verschlüsselung nicht geknackt werden kann. So ziemlich jede bekannte Verschlüsselung kann einfach zurückgerechnet werden. Es ist mit geutigen Computern nur nicht möglich, eine so komplexe Formel in einer angemessenen zeit auszurechnen. Im Grunde die gleiche aussage steht ja auch im Artikel.
M@tze
Vice Admiral
- Registriert
- Dez. 2008
- Beiträge
- 6.899
Shoryuken94 schrieb:
Die Aussage erklär mir mal bitte. Das Betriebssystem ist hackbar, aber das Konzept ist nicht hackbar?!? Es will ja auch niemand das Konzept hacken...
Wo steht diese Aussage im Artikel? Ich lese da:
Kaspersky "glaubt" also (das heißt, er hofft es, aber weiß es nicht), er hat ein Betriebssystem geschaffen, was praktisch nicht zu hacken ist.
@mensch183
Du weißt bestimmt mehr über Programmierung als ich, auch halte ich deinen Einwurf für sehr wichtig und relevant.
Ich habe leider das Wort "Beweis" benutzt und vielleicht hätte ich besser dafür "praktischen Beleg" schreiben sollen.
1. Ich gehe in meiner Argumentation davon aus, das der Quellcode von Kaspersky OS geschlossen bleibt.
Dann wäre es für Dritte nicht mehr zu überprüfen ob die Software das hält was sie verspricht.
Da niemand in eine Black Box hineinschauen kann und Vertrauen nach dem Motto Security through obscurity nicht zu haben ist, wird es nur noch praktische Möglichkeiten geben die Sicherheit zu belegen.
2. Du wirst Recht haben wenn du schreibst, dass man "die Korrektheit der Software formal nachweisen, also beweisen kann".
Software besteht aus Mathematik also sollte es auch möglich sein formal korrekte Software zu schreiben.
Du täuschst dich aber in dem was Sicherheit ist.
Sicherheit ist immer nur relativ in Bezug auf etwas anderes zu haben.
Es gibt keine absolute Sicherheit und es kann sie auch gar nicht geben.
Mathematik und Sicherheit stehen sich eher diametral entgegengesetzt gegenüber.
Die Gleichung Mathemattik=Sicherheit ist falsch!
Das Gegenteil wäre aber auch nicht passend.
Beides sind völlig verscheide abstrakte Konzepte.
Das eine möchte Gesetzmäßigkeiten erfassen, das andere den existentiellen Bestand in der realen Welt abschätzen.
(Nur mal ein Versuch es zu formulieren. Vielleicht kann das jemand auch noch besser ausdrücken)
Beides hat durchaus viele Berührungspunkte aber es ist niemals das Gleiche.
Du weißt bestimmt mehr über Programmierung als ich, auch halte ich deinen Einwurf für sehr wichtig und relevant.
Ich habe leider das Wort "Beweis" benutzt und vielleicht hätte ich besser dafür "praktischen Beleg" schreiben sollen.
1. Ich gehe in meiner Argumentation davon aus, das der Quellcode von Kaspersky OS geschlossen bleibt.
Dann wäre es für Dritte nicht mehr zu überprüfen ob die Software das hält was sie verspricht.
Da niemand in eine Black Box hineinschauen kann und Vertrauen nach dem Motto Security through obscurity nicht zu haben ist, wird es nur noch praktische Möglichkeiten geben die Sicherheit zu belegen.
2. Du wirst Recht haben wenn du schreibst, dass man "die Korrektheit der Software formal nachweisen, also beweisen kann".
Software besteht aus Mathematik also sollte es auch möglich sein formal korrekte Software zu schreiben.
Du täuschst dich aber in dem was Sicherheit ist.
Sicherheit ist immer nur relativ in Bezug auf etwas anderes zu haben.
Es gibt keine absolute Sicherheit und es kann sie auch gar nicht geben.
Mathematik und Sicherheit stehen sich eher diametral entgegengesetzt gegenüber.
Die Gleichung Mathemattik=Sicherheit ist falsch!
Das Gegenteil wäre aber auch nicht passend.
Beides sind völlig verscheide abstrakte Konzepte.
Das eine möchte Gesetzmäßigkeiten erfassen, das andere den existentiellen Bestand in der realen Welt abschätzen.
(Nur mal ein Versuch es zu formulieren. Vielleicht kann das jemand auch noch besser ausdrücken)
Beides hat durchaus viele Berührungspunkte aber es ist niemals das Gleiche.
EchoeZ schrieb:
Oh mein Bauch!
Jetzt wo Du es sagst - also wenn man Reportagen im Fernsehen sieht und die "We love Russia"-Filme auf youtube - die Klischees werden sie wirklich nie wieder los! Ich war zwar schon in Moskau, aber das war noch die Zeit des eisernen Vorhang wo - Achtung Klischee - jeder Russe monatelang vorm Lenin-Mausoleum am Boden festgefroren ist. (Da es auch keinen Alkohol und Zucker in Moskau gab, konnten sie sich auch nicht typisch russisch wärmen. *g*) Ich frag mich wie Deutschland in Russland rüberkommt, ob es auch so arge Klischees dort gibt.
(Wenn man nach den letzten Aufschrei dort geht müsste es der Kindergangbang durch Migranten sein. *g*)
Zuletzt bearbeitet:
(Fehlerberichtigung)
Ein paar Sachen waren ganz interessant hier zu lesen aber mal ehrlich: Intelligenz ist davor nicht geschützt:
Danke. Wobei hier die Hardwareseite wenig Bedeutung findet. Ich kenn mich null aus, aber gehts da nicht ums Große und Ganze?
Mal weniger Input ... dann können auch weniger Daten korrumpiert werden. Oder mal reset usw. .EchoeZ schrieb:Ach stimmt ja
Das Feindbild muss man ja aufrecht erhalten.
D708 schrieb:
Danke. Wobei hier die Hardwareseite wenig Bedeutung findet. Ich kenn mich null aus, aber gehts da nicht ums Große und Ganze?
IBISXI
Admiral
- Registriert
- Jan. 2014
- Beiträge
- 7.913
infy schrieb:
WTF
Kannst Du mir mitteilen wie du zu dieser Erkenntnis kommst?
Wer baut Backdoors in Profi IT Produkte ein? USA oder Russland?
Wer späht alle Sozialen Netzwerke aus? USA oder Russland?
Wer liefert Betriebssysteme mit Key-logger aus? USA oder Russland?
Wer bricht jeden Tag EU-Datenschutz Recht und niemand Interessiert sich dafür? USA oder Russland?
Die IT Partnerschaft mit den USA lässt sich folgendermaßen grob umschreiben:
Du Zahlst, Sie profitieren.
Cool Master
Fleet Admiral
- Registriert
- Dez. 2005
- Beiträge
- 38.615
Vor allem, wenn man es genau nimmt, ist Linux kein OS sondern nur ein Kernel auf den div. Systeme aufbauen.
Ähnliche Themen
