quarta-feira, 15 de fevereiro de 2017

Subgraph OS



Subgraph OS

    Subgraph OS foi projetado desde o início para reduzir os riscos em sistemas de ponto de extremidade para que os indivíduos e organizações em todo o mundo possam se comunicar, compartilhar e colaborar sem medo de vigilância ou de interferência por adversários sofisticados através de ataques provenientes da rede.
    Subgraph OS é concebido para ser difícil de atacar. Isto é conseguido através de endurecimento do sistema e, um foco contínuo proativa na segurança e ataque de resistência. Subgraph OS também coloca ênfase na integridade dos pacotes de software instaláveis.

    Subgraph OS vem com a proposta de que a segurança e usabilidade não são mutuamente exclusivas. Um dos objetivos é a facilidade de utilização, especialmente para ferramentas de privacidade, sem comprometer a eficácia. Subgraph Mail é o cliente de e-mail, e foi escrito a partir do zero, parcialmente por causa de preocupações de usabilidade expressas em torno de ferramentas de privacidade.

    Então vamos ver algumas características:

Plataforma de computação endurecida



     A forma mais eficaz de tornar cara uma invasão é fazer o invasor gastar muito de si mesmo (tempo, equipamento, energia, conexão, etc) e fazê-lo desistir diante de várias derrotas. Então as atenuações são eficazes para torná-la mais cara em explorar de forma confiável muitas classes de vulnerabilidades.


    Um dos principais objetivos da Subgraph OS é aumentar o custo de ataques bem-sucedidos contra os usuários através de uma estratégia de defesa em profundidade. Portanto Subgraph OS inclui recursos de mitigação para ajudar a alcançar este objetivo. Alguns deles vou tentar descrever a seguir.

     Kernel endurecido com Grsecurity / pax Subgraph OS com um kernel temperado com Grsecurity, o melhor conjunto de melhorias de segurança do kernel do Linux disponível. Grsecurity inclui pax, um conjunto de patches para fazer tanto o espaço de aplicações e o kernel mais resistentes à exploração de vulnerabilidades de corrupção de memória.


    Outras melhorias do Grsecurity está em reforçar o controle de acesso local e proporcionar um ambiente mais seguro para contenção aplicação. Isolamento de Recipiente de mecanismo de contenção das aplicações do Subgraph OS cria caixas de areia em torno de aplicações de risco, como o navegador, cliente de e-mail, visualizador de PDF, e cliente de mensagens instantâneas. O objetivo disto é para amortecer o impacto de um ataque com êxito contra estas aplicações, impedindo compromisso de todo o sistema.

    Cada aplicação dentro de um recipiente tem uma visão limitada do sistema host e um conjunto limitado de recursos, como o de limitar o acesso ao sistema de arquivos ou a rede; este reforço do nível de isolamento que
Subgraph OS pode fornecer será uma área contínua de foco de pesquisa; política de aplicação de rede Subgraph OS inclui recursos tais como Subgraph Metaproxy e o firewall de aplicação.

    O Metaproxy está configurado para redirecionar as conexões de saída para a rede Tor com base em uma lista branca de aplicações aprovadas. Cada pedido é automaticamente retransmitido através de um proxy que irá utilizar um circuito Tor diferente. Isso ajudará a garantir que, por exemplo, o navegador cliente de mensagens instantâneas e web não estão passando sobre o mesmo circuito Tor, o que poderia prejudicar o anonimato fornecido pela Tor.


    O firewall de aplicativo irá restringir quais aplicativos podem se conectar à rede com base no nome do aplicativo ou o destino. Os usuários serão solicitados para definir políticas temporárias ou permanentes, como as conexões de saída são feitas. Isso pode ajudar a impedir que o código malicioso de fazer conexões de saída não autorizadas de telefone de casa.  essas solicitações são mandatórias aos usuários do Sistema de Arquivos do Subgraph OS que instalam o sistema operacional e que deve ter que criptografar os sistemas de arquivos. Não é opcional no Subgraph OS.


  • Sistemas de Arquivos Criptografados

    Ajudam a prevenir certos tipos de ataques por um adversário com acesso físico ao computador. Acredita-se que os tempos de execução gerenciados e linguagens de memória de segurança devem ser usados sempre que possível. Por esta razão, Subgraph Mail, o Metaproxy e outros componentes do Subgraph OS são escritos em linguagens de alto nível que são a memória de segurança ou que executem em tempos de execução gerenciados, tornando-os menos suscetíveis a vulnerabilidades de execução estilo de corrupção de memória. Isto é feito com a intenção de reduzir ampla margem de ataques contra estas aplicações.
  • Pacotes de Segurança

    No
Subgraph OS  estes navegam com um conjunto reduzido de pacotes para minimizar a superfície de ataque total. Subgraph OS identifica as principais aplicações que são especialmente de alto risco e adiciona controles adicionais, tais como contenção. Além disso, alguns aplicativos, como o cliente de e-mail, foram reescrito do zero por Subgraph OS.
  • Integridade Binária

    Reduzindo o risco de instalação de pacotes maliciosos ou vulneráveis ​​é uma prioridade de longo prazo para
Subgraph OS. Subgraph OS está desenvolvendo um processo de construção determinista para verificar a integridade dos pacotes binários distribuídos. Isso permitirá que os usuários para verificar se os pacotes binários de nossos repositórios não foram adulterados como o usuário pode reconstruí-los a partir da fonte em seu computador e comparar os resultados dos construtores.


  • Conclusão

Tem mais coisas sobre o Subgraph OS mas já fica um papo muito técnico o que foge a minha proposta de citar alguma coisa à respeito de qualquer distro. Contudo o pessoal do Subgraph OS o coloca com mais segurança do que o próprio Tails. É experimentar para conferir...

Nenhum comentário:

Postar um comentário

Ajude este blog a ser mais útil. Não deixe de fazer algum comentário ou crítica.