#Progetto Deflector# Sicurezza e sistema opertivo, quale?

IOWA

Utente Attivo
216
17
Hardware Utente
CPU
4770k @4.4ghz
Scheda Madre
Asus MAximus VI Impact
Hard Disk
Samsung 840pro 256Gb
RAM
8gb1866 Dominator + dissipatore Corsair
Scheda Video
Gtx 780 Lightning
Monitor
Crossover 27'' 2560x1440 S-IPS
Alimentatore
Corsair AX750
Case
Bitfenix Prodigy
Sistema Operativo
Win7 x64
#1
Buona sera a tutti, volevo lanciare quello che chiamo il "Progetto Deflector" ovvero la realizzazione di un computer BLINDATO, nel senso di sicurezza sia dei dati che dell'anonimato.

Il progetto tiene conto che QUALSIASI dato presente sul PC sia di massima importanza, ogni letterina potrebbe salvare la terra, incriminare Obama, rivelare la ricetta segreta della CocaCola.

Il progetto tiene conto che QUALSIASI dato inviato dal pc alla rete deve essere criptato e impossibile da decriptare\difficile da intercettare\difficile da rintracciare la provenienza.

La domanda riguarda la scelta del sistema operativo: molti sostengono che open BSD sia la scelta giusta per avere un interfaccia grafica e la sicurezza necessaria, altri dicono di blindare altri sistemi UNIX, ma le soluzioni sono solo queste sempre mantenendo un interfaccia grafica o c'è altro?
Che piattaforma hardware bisogna scegliere per avere la massima compatibilità dal punto di vista hardware con il sistema operativo?
 
#2
Beh, una domandina facile facile.
Il consiglio di usare OpenBSD è interessante, ma credo che (lato software) anche un sistema Gnu/Linux 100% GPL compliant possa andare bene, e ti evita molti sbattimenti con la compatibilità hardware.
Lato hardware è più complicata, serve trovare hardware che sicuramente non nasconda sorprese.
Mi affiderei a chi si occupa di queste cose da anni, cioè della Free Software Foundation, che ha trovato in questo portatile il primo hardware che rispetti appieno le sue direttive. Resta - forse - un po' di microcodice proprietario sulle schede madri per far funzionare i processori Intel.
Prova a dare un'occhiata qui e qui.

Poi andrà configurato il sistema operativo (magari impacchettando una distro ex-novo) affinché non faccia uscire un solo byte non criptato dal pc, non credo che sia una cosa impossibile
 

IOWA

Utente Attivo
216
17
Hardware Utente
CPU
4770k @4.4ghz
Scheda Madre
Asus MAximus VI Impact
Hard Disk
Samsung 840pro 256Gb
RAM
8gb1866 Dominator + dissipatore Corsair
Scheda Video
Gtx 780 Lightning
Monitor
Crossover 27'' 2560x1440 S-IPS
Alimentatore
Corsair AX750
Case
Bitfenix Prodigy
Sistema Operativo
Win7 x64
#3
Interessante l'intervento.
Il problema BIOS lo avevo sottovalutato da end user perchè generalemte i malaware hanno dei target specifici generalmente server.
Nessuno garantisce sui propri bios, e i bios open sono per sistemi vecchi (pentium 3 sui desk).
Ritengo i bios di schede madri a basso costo(non uefi) blindati una volta che si usa un OS "giusto".
Utilizzare un RTOS come base dell'UNIX aiuterebbe?
 
#4
Utilizzare un RTOS come base dell'UNIX aiuterebbe?
Ah boh. Aspettiamo che passi di qui qualcuno con competenze teoriche maggiori delle mie (tra gli utenti abituali di questa sezione ce ne sono).
Non volevo soffermarmi sul malware vero e proprio per considerare un sistema "sicuro", ma su eventuali backdoor che potrebbero essere presenti in software/firmware proprietari. A pensar male si fa peccato, ma spesso ci si indovina, soprattutto dopo le rivelazioni degli ultimi mesi sulle attività di spionaggio dell'NSA
 

Banzai_xD

Utente Attivo
937
395
Hardware Utente
CPU
Intel i5 4690K @ 4.5Ghz
Dissipatore
Noctua NH-D15
Scheda Madre
MSI MPower Z97
Hard Disk
Samsung EVO 850 250 GB + WD Blue 1TB
RAM
Crucial Ballistix 8GB 1866mhz CL8
Scheda Video
Vapor X 290 TRI-X OC 1120@1500
Scheda Audio
Realtek HD Audio
Monitor
AOC I2369Vm 23"
Alimentatore
Antec TruePower Classic 650W
Case
Corsair Carbide 500R
Sistema Operativo
Windows 10 Pro
#5
Io non sono un esperto di sicurezza, e non voglio smontare la tua iniziativa, ma mi sembra un progetto troppo ardito. Puoi avere l'OS più sicuro e blindato del mondo, ma se poi ci sono delle backdoor a livello hardware (è da un po' che si suppone che le funzioni di generazione di numeri casuali delle cpu Intel, VIA e AMD contengano backdoor “We cannot trust†Intel and Via’s chip-based crypto, FreeBSD developers say | Ars Technica RdRand - Wikipedia, the free encyclopedia) è tutto inutile. Non a caso FreeBSD ha rimosso l'utilizzo della funzione RdRand dal suo kernel per la generazione di numeri casuali (FreeBSD abandoning hardware randomness) ma non giurerei che non ci siano altre "porte sul retro". In sostanza, o ti produci l'hardware privatamente, o non sarai mai sicuro di essere blindato al 100%.
 
Ultima modifica:

pabloski

Utente Attivo
1,894
338
Hardware Utente
#6
Il progetto è in effetti molto ardito. Il grosso problema è che ( a livello di cybercrime ) ci siamo abituati alle incursioni di software malevolo, ma ( a livello di cyberspionaggio ) il gioco è molto diverso e comprende l'uso/abuso di tecnologie hardware per infilare backdoor ovunque.

Comunque sia, un piano per lo sviluppo di un sistema robusto deve prendere in considerazione:

1. hardware che sia al 100% programmabile ( es: niente sistemi operativi closed source come avviene nei processori baseband degli smartphone ) e al 100% documentato in ogni sua funzionalità ( c'è il progetto Novena basato su i.MX6 di Freescale che è basato su hardware non open ma almeno documentato completamente Novena Main Page - Studio Kousagi Wiki )

2. dev'essere possibile customizzare ogni parte del software che ci girerà sopra ( firmware, so, applicazioni, bootrom )

Un RTOS non servirebbe, in quanto il suo scopo è quello di fornire i mezzi per l'esecuzione realtime, non di certo di proteggere la privacy.

La parte sull'impossibilità di tracciare la provenienza dei dati non è fattibile. A meno di creare una rete simil-Tor ( e avendo la garanzia che nessuna NSA ficchi i propri nodi all'interno della tua rete di anonimizzazione ), non vedo proprio come si possa fare. Si può certamente renderà la vita difficile a questi signori, ma per quello c'è già Tor.
 

IOWA

Utente Attivo
216
17
Hardware Utente
CPU
4770k @4.4ghz
Scheda Madre
Asus MAximus VI Impact
Hard Disk
Samsung 840pro 256Gb
RAM
8gb1866 Dominator + dissipatore Corsair
Scheda Video
Gtx 780 Lightning
Monitor
Crossover 27'' 2560x1440 S-IPS
Alimentatore
Corsair AX750
Case
Bitfenix Prodigy
Sistema Operativo
Win7 x64
#7
Come diceva il nostro Mod Ico B. usando software free scritto ad hoc e controllato da occhio umano riga per riga si dovrebbe in qualche modo arginare questo tipo di attacchi ma se la "deficienza" è insita nella struttura hardware allora è un altra cosa. Sarà per quello che le macchine "sicure" arrivano fino al pentium III e poi più nulla. Facile e poco costoso reperire qualche vecchia macchina e con un sistema unix non diventerebbero nemmeno troppo lente, magari cambiando hard disk!

Comunque "...While the technique requires physical access to the hardware or remote root on the system, once the attack is complete, the compromise is both stealthy and difficult, if not impossible, to remove..." ovvero le backdoor hardware sono da mettere fisicamente nel pc e poi impossibili da togliere.

In un altro articolo ho letto che le backdoor hardware (dal microcodice, ai firmware ai random generators) esistono solo per prodotti post 2011 dove si è riusciti a dimostrare l'esistenza di questo nonchè è difficile se non impossibile in via remota sfruttarne le caratteristiche per prelevare dati sensibili. I backdoor hardware sono stati introdotti in alcuni chip di per certo per lo spionaggio internazionale e negarlo sarebbe una sciocchezza o meglio: voi non lo avreste fatto al loro posto? Ma di questo ci sono pochissime prove, anzi molti dicono siano solo speculazioni o fantasie; del resto se ci fossero i cinesi non userebbero hardware americano, no?

Ritornando a noi: utilizzare come cpu una RISC tipo power PC? Ho visto che hanno portato bsd per i powerpc.
Poi ci sono 1000 soluzioni ma devono essere abbastanza performanti da permettere un browsing il piu fluido possibile e di vedere un film con l'audio sincronizzato! :-)
 

pabloski

Utente Attivo
1,894
338
Hardware Utente
#8
magari cambiando hard disk!
il che ti porterebbe a vanificare ( o quasi ) i risultati ottenuti Sprites mods - Hard disk hacking - Hooking up JTAG

un hard disk con ben 3 microprocessori...a cosa gli serviranno mai!?! :lol:

ovvero le backdoor hardware sono da mettere fisicamente nel pc e poi impossibili da togliere.


e il problema è che possono essere messe direttamente sulla linea di produzione


nonchè è difficile se non impossibile in via remota sfruttarne le caratteristiche per prelevare dati sensibili.


non condivido
http://www.tomshw.it/cont/news/backdoor-nei-samsung-galaxy-usata-per-spiare-gli-utenti/54262/1.html

sempre più dispositivi hanno una qualche forma di connettività, sia essa wired o wireless...questo rende possibile sfruttare backdoor da remoto ( per remoto intendo pure il caso in cui un furgone nero parcheggia sotto casa tua e comincia a giocare con i tuoi gadget )

attualmente è possibile embeddare una microantenna e il relativo circuito per le comunicazioni in un qualsiasi chip


I backdoor hardware sono stati introdotti in alcuni chip di per certo per lo spionaggio internazionale e negarlo sarebbe una sciocchezza o meglio: voi non lo avreste fatto al loro posto? Ma di questo ci sono pochissime prove, anzi molti dicono siano solo speculazioni o fantasie; del resto se ci fossero i cinesi non userebbero hardware americano, no?


Speculazioni non direi
http://www.webnews.it/2013/12/30/la-nsa-installa-backdoor-nei-computer/

E comunque esiste hardware americano? I cinesi producono la stragrande maggioranza dei dispositivi che usiamo e usano roba di loro produzione. Nei sistemi militari usano solo roba progettata e costruita da loro. Si sono addirittura creati un sistema operativo basato su freebsd.


Ritornando a noi: utilizzare come cpu una RISC tipo power PC? Ho visto che hanno portato bsd per i powerpc.
Poi ci sono 1000 soluzioni ma devono essere abbastanza performanti da permettere un browsing il piu fluido possibile e di vedere un film con l'audio sincronizzato! :-)
Perchè i power? I power sono una strana soluzione commerciale, con IBM che non ha una roadmap ben definita ( apple passò dai power agli x86 nel 2006, proprio per questo motivo ).

Se proprio vuoi una cpu ragionevolmente schifezza-free, considera un i.MX6 di Freescale ( o una qualsiasi cpu che sia ampiamente documentata dal costruttore, fin nei minimi dettagli ). Non avrai una certezza assoluta, ma almeno accettabile.
 

Discussioni Simili


Entra