News Qubes OS 4.0.2: Mit besten Empfehlungen von Edward Snowden

[RalphS]

Habe Mut, Dich Deiner Lesefähigkeit zu bedienen! Wußte schon Kant... so in etwa.

Diesmal ist alles recht konstruktiv geblieben. Die meiste Kritik am Format (berechtigt oder nicht) ist ja über die vergangenen Tage und Wochen bereits angebracht worden und jedesmal dasselbe zu meckern ist mühsam und undankbar.

Zugegeben, CB ist kein Linuxmagazin, da muß man schon ein bißchen gucken, daß man "windows-fremde" Angelegenheiten ins bestehende Format integriert bekommt oder dieses so erweitert, daß es paßt. Tests aller Art haben wir ja schon als Aushängeschild, da könnte man also weitere Referenzinstallationen einrichten auf Linuxbasis... aber hat sofort das "Distroproblem" und steht am Ende mit einer Windowsmaschine und > 200 Linuxmaschinen da, weil jede Distro berücksichtigt werden will. Das geht also ganz offensichtlich nicht so einfach, wie man sich das vielleicht auf den ersten Blick gedacht haben mag. Ich zB würde am liebsten haben, daß die Trennung nach OS gänzlich wegfallen würde und nur noch auf Besonderheiten eingegangen wird, wo es erforderlich ist, weil es unter OE "A" anders funktioniert als unter OE "B". Aber das funktioniert praktisch schon deswegen nicht, weil Betriebsumgebungen zur Religion geworden sind und keiner in denselben Topf mit anderen OE-Nutzern geworfen werden will.

Ob jetzt dieser erste Ansatz von @SV3N "der richtige" ist... weiß keiner, aber das wird ggfs angepaßt werden können und soviel steht mal fest, der einzige "falsche" Ansatz ist der, erst gar keinen zu haben. Grade in Zeiten von "Web 2.0" bleibt ja auch gar nichts anderes übrig, als die Lage erstmal zu sondieren, wenn man den "Coca Cola Effekt" vermeiden möchte.

Also ja, ich werd natürlich hier und dort rummeckern und den Sinn des einen oder anderen Artikel in Frage stellen, aber immer mit dem Bewußtsein, Feedback zu geben -- das paßt nicht immer gut, das mag ggfs im Aquarium enden, das mag mit Pech auch in einer Verwarnung oder sowas resultieren, aber eben so, wie weiter oben erwähnt, ist an der Stelle der einzige Fehler derjenige, die Klappe zu halten und das Gesagte einfach hinzunehmen.

Sonst wäre die Erde nämlich immer noch eine Scheibe. "Demokratisch" sind wir jedenfalls nicht zum Ergebnis gekommen, daß das anders sein könnte, und durch unreflektiertes Hinnehmen bekannten "Wissens" auch nicht.

 

[Cheatconsole]

klingt ja alles sehr vertraulich

 

[Piktogramm]

Interessantes Konzept, aber wie sicher ist der Hypervisior? Wenn ich diesen kompromittiert habe sind die VMs doch auch nicht mehr sicher und damit fällt das Sicherheitskonzept doch, oder?

Die großen Hypervisors sind mittlerweile recht reif was die Absicherung angeht. Bei halbwegs aktuellem Softwarestand müssten Angreifer 0- oder 1-day Exploits verheizen (und da meist mehrere) bevor man aus der VM raus ist. Da muss man für Kriminelle oder staatliche Akteure schon ein sehr exponiertes Ziel sein, bevor das relevant wird.

Ich wollte eigentlich darauf hinaus das man durch die Verwendung eines Hypervisiors die Aufmerksamkeit verstärkt auf diesen lenkt. Ist wie mit einer starken Haustüre (VMs), die Einbrecher (Hacker) nehmen dann halt das Fenster (Hypervisor) um ins Haus (System) zu kommen weil die Türe zu stark ist. Oder gehen gleich durch den Kellner (EFI).

Normalerweise sind die Endanwenderprogramme und die Configs der User schlecht und Hypervisors hingegen recht stabil. Vor allem ist der Hypervisor in der Regel nicht nach Außen exponiert. Angriffe von Außen müssen daher immer irgendwie Software exploiten, die nach außen exponiert sind (Browser, Webserver, ....) um aus deren Sicherhungsschichten ausbrechen und dann noch weiter am Hypervisor arbeiten um danach gezielt Daten aus den anderen VMs abzugreifen und auszuleiten.
Die Exploitkette wäre ein gewaltiges Kunstwerk!

Wenn du EFI und die Hardware nicht vertrauen kannst, hast du ansonsten sowieso ein Problem. Passend dazu media.ccc.de and chill:
https://media.ccc.de/v/36c3-10690-open_source_is_insufficient_to_solve_trust_problems_in_hardware

es kommen dann jedoch nur, nach aktuellem Stand, völlig gepatchte und "sichere" Hardware in frage. Die meisten der Intel-Sicherheitslücken ermöglichen ja gerade, Laienhaft ausgedrückt, Angriffe und Ausbrüche aus der VM. Also wenn ein Angreifer eine VM kompromittiert und die Hardware noch anfällig ist, könnte darüber der Hypervisor und/oder andere VMs angegriffen werden.

Die entsprechenden Angriffe sind selbst mit ungepatchtem µCode aber auch alles Andere als simpel.

 

[acab2]

Zwei Anmerkungen zum Text:

1. Edward Snowden war damals Administrator. Das ist sowas wie ein IT-Hausmeister. Sehr hohe Zugriffsstufe aber nicht unbedingt der, der über Programme oder Sicherheitslevels entscheidet. Vielleicht der Falsche, um Empfehlungen hierzu zu geben?
2. Die Idee auf x86 Sicherheit durch VMs zu erzeugen ist eine Fata Morgana. Warum? Weil die Architektur auf Geschwindigkeit und nicht auf Sicherheit optimiert ist. Wer die letzten Jahre Nachrichten verfolgt hat, könnte dies mitbekommen haben. Siehe zum Beispiel dieses Video:
   

   YouTube

   An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

   YouTube-Embeds laden

   Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.
   YouTube-Embeds laden

   Datenschutzerklärung
   (von Etienne Martineau, verrückt was er da mit CPUs bzw. Caches macht)

@SV3N: Vielleicht sollte man eine kleine Warnung zur Nachricht hinzufügen? "Wie (ältere aber weiterhin aktuelle) wissenschaftliche Untersuchungen zeigen, erlaubt dass Cache-Design, welches von allen aktuellen AMD- und Intel-CPUs verwendet wird (Intel scalable Xeon 9200 u.ä. mal ausgenommen), keine Isolation von virtuellen Maschinen. Schadsoftware auf einem Gastsystem kann andere Gastsysteme und das Hostsystem potentiell überwachen und mit Software auf diesen Systemen interagieren, auch über Einschränkungen des Hostsystems hinweg."

P.S. AMDs Secure Encrypted Virtualization ändert nichts an den genannten Punkten.

 

[16-Bit]

Ich finds schade dass AMD Threadripper nicht unterstützt wird.. zumindest war’s bisher so

 

[peru3232]

Eigentlich der Hammer....

Ein CIA Agent (ex) wirbt für ein sicheres Betriebssystem, was aus einer polnischen Software-Schmiede kommt und mit absolut nichts (Geldwertes) abgesichert ist.

Alles unter Leitung einer ehemaligen Hackerin und extrem wenig Angestellten.

Richtig guter Plan.

mfg

Dann bist Du ja bei Microsoft bestens aufgehoben!
o) kommt aus den USA - das sicherste und freieste Land
o) ist mit extrem viel Geldwert abgesichert
o) die Leitung hat eine absolut weisse Weste und es gibt extremst viel Angestellte

ich würde darum sagen: du hast mit Win10 absolut alles richtig gemacht - Gratuliere!!

 

[Snowi]

Zwei Anmerkungen zum Text:

1. Edward Snowden war damals Administrator. Das ist sowas wie ein IT-Hausmeister. Sehr hohe Zugriffsstufe aber nicht unbedingt der, der über Programme oder Sicherheitslevels entscheidet. Vielleicht der Falsche, um Empfehlungen hierzu zu geben?
2. Die Idee auf x86 Sicherheit durch VMs zu erzeugen ist eine Fata Morgana. Warum? Weil die Architektur auf Geschwindigkeit und nicht auf Sicherheit optimiert ist. Wer die letzten Jahre Nachrichten verfolgt hat, könnte dies mitbekommen haben. Siehe zum Beispiel dieses Video:
   

   YouTube

   An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

   YouTube-Embeds laden

   Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.
   YouTube-Embeds laden

   Datenschutzerklärung
   (von Etienne Martineau, verrückt was er da mit CPUs bzw. Caches macht)

Zu 1: Dennoch kannte er zu der Zeit wo er dort gearbeitet hat die ganzen Tricks die die NSA usw. verwenden. Er hatte Zugriff auf die ganzen Vertraulichen Daten, Studien usw. - welche er auch später veröffentlicht hat.
Er muss die Entscheidungen selbst nicht treffen - er muss nur davon wissen. Und er wusste davon, und hat besagte Infos über lange Zeit hinweg gesichert und nachher veröffentlicht.

2: Die reine Virtualisierung ist nur eine weitere Schicht der Sicherheit. Alle Entwickler usw. sagen dauerhaft, dass man in den VMs trotzdem alle Vorkehrungen treffen sollte, die man auch so nutzt. Qubes ist der Fallback, wenn du einen Fehler in der VM gemacht hast.
Wenn du sagst, dass du diesen Fallback nicht brauchst, und dein OS so sicher ist, dass da niemals irgendwas passieren kann - Ok. Es macht Qubes aber nicht weniger gut.

 

[acab2]

Dennoch kannte er zu der Zeit wo er dort gearbeitet hat die ganzen Tricks die die NSA usw. verwenden. Er hatte Zugriff auf die ganzen Vertraulichen Daten, Studien usw. - welche er auch später veröffentlicht hat.

Ja als admin. In Deutschland ein IHK-geprüfter Beruf. Was die Leute da immer reingeheimnissen.

Die reine Virtualisierung ist nur eine weitere Schicht der Sicherheit.

Nicht bzgl. cache side channel attacks. Siehe auch diesen Vortrag von Daniel Gruss:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

Es macht Qubes aber nicht weniger gut.

Virtualisierung kostet Ressourcen. Man sollte sich überlegen ob diese an dieser Stelle wirklich sinnvoll angelegt sind. Du hast einen Ryzen 3950X? Da würde ich das jetzt vielleicht auch nicht als erstes Kriterium anführen. Es gibt auch andere Nutzer.

Wenn du sagst, dass du diesen Fallback nicht brauchst, und dein OS so sicher ist, dass da niemals irgendwas passieren kann - Ok.

Wo habe ich das gesagt?

 

[Zornica]

Ich nehme an, dass man das ganze adabsurdum führen würde wenn man nebenbei noch irgendein Windows als Zweitsystem installiert hätte?

 

[RalphS]

Als Vm, nein. Parallel direkt auf dem Blech... 🤔

 

[Snowi]

Ich nehme an, dass man das ganze adabsurdum führen würde wenn man nebenbei noch irgendein Windows als Zweitsystem installiert hätte?

Wenn du nicht zocken willst, kannst du dir Windows als VM installieren, sollte für Nicht-CAD usw reichen
Ansonsten direkt auf Platte, aber auf eine Separate, und Qubes auf einer Externen oder in einem Wechselrahmen mit Schalter. Letzteres hab ich, sodass nur das UEFI als Risiko bleibt, was ich aber bereit bin einzugehen.

 

[Laskaris]

Ohne ins VT abdriften zu wollen, aber man kann -ohne Weiteres- auch einem "Insider Hacker" ein paar Exploits zuschieben, dadurch die Kredibilitaet und Bekanntheit des Hackers erreichen und "next thing you know" kommt der Hacker mit einem "Supersicheren" OS daher.

Wie gesagt- ist jetzt nur laut nachgedacht, aber sowas waere grundsaetzlich ohne Weiteres machbar, mit nicht mal viel Aufwand. Deshalb- etwas healthy skepticism ist nie verkehrt.

Deine These läuft also auf folgendes hinaus: Die US-Regierung veröffentlicht freiwillig rund 9000 Top-Secret-Dokumente der NSA, macht die Existenz von einem Dutzend bis dato geheimer Überwachungsprogramme und -systeme publik (PRISM, Boundless Informant, Tempora, XKeyscore, Mail Isolation Control and Tracking, FAIRVIEW, Stellarwind, Genie, Bullrun, CO-TRAVELER Analytics), handelt sich damit jede Menge innen- und außenpolitischen Ärger ein - und all das nur, um Werbung für eine kleine, unbekannte Linux-Distribution namens Qubes zu machen, die weltweit ein paar Tausend Leute nutzen.

Das ist aus meiner Sicht, gelinde gesagt, nicht sehr plausibel.

Wer wirklich "gesunden Skeptizismus" praktizieren (und nicht nur wirre Verschwörungstheorien spinnen) möchte, kann sich umfassend zum Fall Snowden informieren. Edward Snowden hat sich ausführlich zu seinen Beweggründen geäußert, die ihn dazu veranlasst haben, als Whistleblower an die Öffentlichkeit zu gehen. Zahlreiche Journalisten - Vollprofis mit jahrzehntelanger Berufserfahrung, die nicht so einfach einem Geheimdienst-Plan auf den Leim gehen - haben Snowden interviewt und die von ihm geleakten Dokumente untersucht. Er hat 2019 eine Autobiografie veröffentlicht ("Permanent Record", auch als deutsche Übersezung erhältlich), zudem wurden mehrere gut recherchierte Bücher und Hunderte von Artikeln zu Snowden und den von ihm enthüllten Massenüberwachungs-Praktiken geschrieben. Viele der geleakten Dokumente sind mittlerweile für die Öffentlichkeit online einsehbar. Gerichte in den USA und in anderen Staaten, darunter der Europäische Gerichtshof für Menschenrechte, haben sich mit den Vorgängen beschäftigt, und bislang hat kein Jurist Zweifel daran angemeldet, dass es sich bei Snowden um einen echten Whistleblower handelt.

Zum Thema: Distributionen mit Schwerpunkt auf Anonymität und Privatsphäre sind sehr sinnvoll und z. B. für Journalisten, politische Aktivisten usw. interessant. Oder auch für Power-User, denen das Thema Datenschutz am Herzen liegt. Für normale User dürften diese Systeme im Umgang dann aber doch etwas zu komplex sein. Und sollte eine dieser Distributionen tatsächlich massentauglich werden, würde sie dadurch vermutlich erst recht in den Fokus der Geheimdienste geraten.

 

[Sennox]

Holy Shit!
Das ist mal interessant und sticht definitiv aus dem Distro-Dschungel hervor

 

[Mihawk90]

Ich finds schade dass AMD Threadripper nicht unterstützt wird.. zumindest war’s bisher so

Wie kommst du zu dem Schluss? Virtualisierung läuft auf Threadripper ohne Probleme. Nur weil es nicht auf der Liste steht heißt es nicht dass es nicht geht. Wenn es nach der Liste ginge würde nur eine Handvoll CPUs unterstützt werden.

 

[16-Bit]

Wie kommst du zu dem Schluss?

Ich hab versucht, es auf meinem Threadripper 2950 zum laufen zu bekommen. Die Installation startet reproduzierbar nicht:
https://github.com/QubesOS/qubes-issues/issues/5002

Kann natürlich sein, dass sich was von 4.0.1 nach 4.0.2 geändert hat.

 

[Mihawk90]

OK das Problem kannte ich noch nicht.
Ich weiß dass es mit neueren Kernels und Ryzen 3xxx teilweise Probleme gibt was man umgehen kann, scheint aber hier nicht der Fall zu sein.

 

[Snowi]

Kann nur bestätigen dass mein 3950X nicht läuft. Weiß aber auch nicht ob die GPU oder CPU/Chipsatz schuld sind.
Siehe auch https://groups.google.com/forum/m/#!topic/qubes-users/ON5DjPCJyaM

 

[P220]

Mit den sogenannten „App-VMs“ werden zudem Anwendungen wie der Webbrowser, E-Mail-Client oder der Texteditor virtualisiert und voneinander isoliert ausgeführt.

https://addons.mozilla.org/de/firefox/addon/multi-account-containers/
Wie ist das eigentlich mit Addons, übergreifen diese nicht die Container?

 

[Mihawk90]

Das Addon hat aber nichts mit den Containern in Qubes zu tun, da geht es nur darum die Nutzeraccounts in Firefox voneinander zu isolieren, aber nicht den Prozess an sich.
Und nein, die Addons übergreifen die Qubes container nicht. Jeder Cubes Container startet seinen eigenen Firefox Prozess und Addons haben keine Inter-Prozess-Kommunikation.

 

[P220]

Meine Frage war ja bezogen auf obiges Container Addon, ob andere Addons da zwischen funken. Denn ansonsten würde mir solches schon ausreichen. Ich will nicht wissen wieviel Speicher das ganze Frisst, endlose Tabs in verschiedenen "eigenen" Firefox-Prozessen zu halten via Qubes.

Mein Zielszenario wäre, jeder Tab hat seine komplett eigene Identität, samt IP, UG, Ref und Fingerprints, etc. Natürlich begrenzt und vorgeinstellt, nicht für jeden einzelnen Müll, aber da käme trotzdem ordentlich was zusammen, allein die ganzen Messenger Accounts und derlei.