Son kullanma tarihi geçmiş, bayatlamış bir tarayıcı kullanıyorsanız, Mercedes kullanmak yerine tosbağaya binmek gibi... Web sitelerini düzgün görüntüleyemiyorsanız eh, bi' zahmet tarayıcınızı güncelleyiniz. Modern Web standartlarını karşılayan bir tarayıcı alternatifine göz atın.
Linux'da güvende olduğunuzdan nasıl emin olabiliyorsunuz?
Bu sorunun çözümü için yapılması önerilen en büyük işlem Rust'a çevirilmesi, zaman ve yeterli kadroyla elbette yapılabilir fakat bu devasa bir değişim olacaktır. Sadece Linux ekosistemini değil, tüm yazılım dünyasını etkileyecektir. Tüm kernelin Rust ile tekrardan yazılması, geliştiricilerin bir çoğunun C dillerini terk etmesiyle sonuçlanır.
Tek seçenek o değil, pratik olmadığı için gerçekten öneren birini de duymadım. Kreato'nun dediği gibi yıllar sürer. Farklı stratejiler kullanılıyor, Windows üzerindeki VBS örneğin. Çekirdek kendine ait sanal alanda çalışıyor. Monolitik olmadığı için kendi içerisinde izolasyonu sağlaması da daha kolay deniyor.
OSS üzerine çalışan birçok firma bu adımları attı ve atıyor, Mozilla bunun en büyük örneği. Firefox'un CSS motoru Quantum CSS (Stylo) Rust kullanılarak yazıldı. Halen kodlarının büyük bir bölümünü Rust'a çevirmeye çalışıyorlar.
Adım atılması güzel tabii ama yeterli düzeyde olmadığı için güvensiz deniyor zaten. Chromium ve Firefox, her ikisi de açık kaynak projeler, her ikisi de adım atmaya çalışıyor fakat kısa bir zaman önceye kadar Firefox'un güvenlik bakımından ciddi eksiklikleri bulunuyordu. Fission'a geçmesi, site içeriğini işleyen kodun X11'den izole edilmesi daha yeni yapılan şeyler. Geliştirme stratejisinin güvenliğe doğrudan bir etkisi olmadığının bir örneği.
RESOLVED (gpascutto) in Core - Security: Process Sandboxing. Last updated 2025-03-02.
bugzilla.mozilla.org
Linux da keza adım atmaya çalışıyor, yeni geliştirmeler ekleniyor fakat örnek olarak aşağıdaki haberde bahsedilen geliştirme, Windows'ta 5 yıldan beri mevcutmuş.
Linux is set for a big release this Sunday August 29, setting the stage for enterprise and cloud applications for months to come. The 5.14 kernel update
Bununla ilgili konuşmaları ve mail arşivlerini Telegram veya Matrix üzerinden Spite grubuna katılıp kendin sorabilirsin. Yalan veya karalama çabası değil.
FOSDEM'deki herkes NT'nin ne kadar zayıf olduğunu biliyor, konferanstaki amaç bir karşılaştırma yapmak değil sorunları ve çözümlerini sunmaktı. Windows örneği ironik bile kaçıyor, 3 yaşındaki çocuğun kendinden 20 yaş büyük abisini dövdüğünü söylemeye benzettim. Aynı kulvarda dahi değiller.
That's objectively not true. Windows 10 offers one of the safest out-of-the-box security baselines of any general purpose PC OS. I'd rank Chrome OS above it, but I would pick Windows 10 over macOS or any popular Linux distro in pretty much every general purpose PC use-case.
In the past I think you mentioned Windows 10 is secure or more secure than a typical Linux Distro because of Windows 10's implementation of sandboxing?
Microsoft tries to improve upstream Linux security, upstream kernel dev tells them they're "smoking crack": openwall.com/lists/kernel-ha… And people wonder why Linux has a security problem
Slo-Tech: Who is Linux Kernel developer you really respect? Also, don't you think that Linux needs some serious reogranisation in handling security incidents and security development in general (see many regressions in the code). Something like Microsoft's SDL maybe... What do you think about SDL anyway.
Brad Spengler: I have a lot of respect for Microsoft's attention to security, given how large of a company they are and how many people their software affects. It's a whole different security ball-game when you have the huge binary software eco-system of Windows, implementing security features while maintaining application compatibility. It's easy to gloss over how difficult of a job that is.
So, I'm reinforced in my belief that *security* of mainstream platforms (from Apple, Google, MS) will continue to improve, likely exceeding the "open source" offerings. But, the open source will still have an edge in: 1) trustworthiness/auditability 2) customization freedom
On desktop, use a recent Windows Secured-Core PC, MacBook or Chromebook. These all have numerous security advantages, including proper verified boot, a strict IOMMU, etc.
The desktop security model is very broken. It was not designed with security in mind — security was only a poorly implemented afterthought. However, there are some operating systems that are less bad in this regard. If you can, stay away from desktop and stick to mobile devices.
Use Windows 11 (preferably in S mode and on a Secured-Core PC), macOS, ChromeOS or QubesOS. Generally, these operating systems have made substantial progress on adopting modern exploit mitigations, verified boot, sandboxing, memory safe languages and so on.
Tabii, Linux ekosisteminde en çok kullanılan yazılımlardan örnek verdim sadece. Çekirdeğin kendisinde de 10-15 yıllık açıklar çıkabiliyor. Nitekim bunların bir önemi yok dediğim gibi, güvenlik bireysel örnekler üzerinden giderek ölçüp biçilen bir şey değil.
Three security vulnerabilities found in the iSCSI subsystem of the Linux kernel could allow local attackers with basic user privileges to gain root privileges on unpatched Linux systems.
Farklı stratejiler kullanılıyor, Windows üzerindeki VBS örneğin. Çekirdek kendine ait sanal alanda çalışıyor. Monolitik olmadığı için kendi içerisinde izolasyonu sağlaması da daha kolay deniyor.
Microsoft'tan önce de antivirüs firmaları yıllardır donanım sanallaştırması kullanıyordu. Verimli ve mantıklı bir yöntem (fazlasıyla geç de kalındı) fakat bellek kullanımı performansı negatif yönde etkiliyor.
Adım atılması güzel tabii ama yeterli düzeyde olmadığı için güvensiz deniyor zaten. Chromium ve Firefox, her ikisi de açık kaynak projeler, her ikisi de adım atmaya çalışıyor fakat kısa bir zaman önceye kadar Firefox'un güvenlik bakımından ciddi eksiklikleri bulunuyordu. Fission'a geçmesi, site içeriğini işleyen kodun X11'den izole edilmesi daha yeni yapılan şeyler. Geliştirme stratejisinin güvenliğe doğrudan bir etkisi olmadığının bir örneği.
Firefox son 6 yıldır büyük ilerleme kat etti zaten. Çapraz site çerezleri ve izleyiciler üzerine yapılan birçok çalışma (örn. containers) da bu döneme ait. Aynı zamanda Mozilla; Google, Apple ve Microsoft başta olmak üzere birçok şirketle tarayıcı entegrasyonu üzerine çalışmalar yürütüyor. Amaçları daha güvenli, gizli ve optimize bir tarayıcıyı ortaya koymak.
Linux da keza adım atmaya çalışıyor, yeni geliştirmeler ekleniyor fakat örnek olarak aşağıdaki haberde bahsedilen geliştirme, Windows'ta 5 yıldan beri mevcutmuş.
Aynı stratejileri kullanmıyorlar ve buna ihtiyaç da duymuyorlar. Microsoft'un Windows 11'de tanıttığı gelişmelerin birçoğu Linux'ta yıllardır bulunuyordu. Windows'un Linux'a kıyasla sağlaması gereken güvenlik şu anki performansının çok altında.
Sure, like anything else. The Linux kernel is a security disaster, but so are the kernels in macOS / iOS and Windows, although they are moving towards changing. For example, iOS moved a lot of the network stack to userspace, among other things.
Daniel Micay'ın amacı Android tabanını baz alarak kendi kernelini geliştirmek. Windows ve MacOS hakkında da aynılarını düşünüyor.
Microsoft tries to improve upstream Linux security, upstream kernel dev tells them they're "smoking crack": openwall.com/lists/kernel-ha… And people wonder why Linux has a security problem
Slo-Tech: Who is Linux Kernel developer you really respect? Also, don't you think that Linux needs some serious reogranisation in handling security incidents and security development in general (see many regressions in the code). Something like Microsoft's SDL maybe... What do you think about SDL anyway.
Brad Spengler: I have a lot of respect for Microsoft's attention to security, given how large of a company they are and how many people their software affects. It's a whole different security ball-game when you have the huge binary software eco-system of Windows, implementing security features while maintaining application compatibility. It's easy to gloss over how difficult of a job that is.
I can't pick one feature in particular that contributes the most to Linux security, as the combination of them together provides additive effects. Also, I think the stuff to come next from the PaX team will be the most revolutionary.
Slo-Tech: It's well known that you use Windows Vista as your primary OS. That's pretty strange for a top Linux security researcher. Why this decision and did you find any bugs in Windows yet
Brad Spengler: I use Windows 7 actually -- the Cheddar Bay video was on the RC I think. I use it because the only fiddling around I want to do with Linux is testing and improving grsecurity. I used to use Linux as my primary desktop back in high school and in college, but nowadays I just want to get stuff done -- so Linux stays in VMs. Linux was much simpler back then too, in both the kernel and userland. You had known config files, if you edited them some 'intelligent' process wouldn't go and change it behind your back, you wouldn't have to modify SELinux policy because you wanted to host something from a location different from the system default. There was more of a feeling of freedom on it then -- something I think it's losing the more it becomes commercialized. Also: games; I play them. New ones. And if Pidgin notifies me that a new release is available, I just download a Pidgin executable; I'm not forced to update 100+ packages at the same time, always risking that something will go wrong.
SELinux tartışmaları. Koskoca 12 yıl olmuş, sence de son kullanma tarihi geçmemiş mi?
So, I'm reinforced in my belief that *security* of mainstream platforms (from Apple, Google, MS) will continue to improve, likely exceeding the "open source" offerings. But, the open source will still have an edge in: 1) trustworthiness/auditability 2) customization freedom
Joanna Rutkowska'nın çok güzel bir sözü. Haklı da, halen güvenilirlik/denetlenebilirlik ve özelleştirme imkanları bakımından OSS yerini koruyor. MS ve Apple ne kadar güvenlik stratejileri üzerine kafa yorsalar da bu iki nedenle her zaman geride kalacak ve skandallarla öne çıkacaklar.
On desktop, use a recent Windows Secured-Core PC, MacBook or Chromebook. These all have numerous security advantages, including proper verified boot, a strict IOMMU, etc.
The desktop security model is very broken. It was not designed with security in mind — security was only a poorly implemented afterthought. However, there are some operating systems that are less bad in this regard. If you can, stay away from desktop and stick to mobile devices.
Use Windows 11 (preferably in S mode and on a Secured-Core PC), macOS, ChromeOS or QubesOS. Generally, these operating systems have made substantial progress on adopting modern exploit mitigations, verified boot, sandboxing, memory safe languages and so on.
Madaidan burada Linux kerneline hiçbir eleştiride bulunmamış, bu da gönderdiğin diğer kaynaklar gibi son kullanıcıya yönelik distroları eleştiriyor. Bizim yaptığımız tartışma en başından beri NT vs Linux tartışmasıydı, eğer Windows vs bir Linux distro'sunu tartışacaksak ortaya güvenlik öncelikli, performansı berbat bir distro atarım ve hiçbir Windows sürümünün daha güvenli olduğunu iddia edemezsin.
Alıntıda desktop security model eleştirilmiş; buna tüm Windows sürümleri, UNIX ve BSD tabanlı sistemler dahil. QubesOS da önerilenler arasında gösterilmiş.
Çekirdeğin kendisinde de 10-15 yıllık açıklar çıkabiliyor. Nitekim bunların bir önemi yok dediğim gibi, güvenlik bireysel örnekler üzerinden giderek ölçüp biçilen bir şey değil.
Three security vulnerabilities found in the iSCSI subsystem of the Linux kernel could allow local attackers with basic user privileges to gain root privileges on unpatched Linux systems.
According to GRIMM security researcher Adam Nichols, the flaws affect all Linux distributions, but luckily, the vulnerable scsi_transport_iscsi kernel module is not loaded by default.
Bunu reddetmedik zaten, bahsettiklerimizin çoğu C ile veya algoritmik yapıyla uzaktan yakından alakası olmayan ve sadece kullanıcı deneyimini etkileyen küçük buglar.
Microsoft'tan önce de antivirüs firmaları yıllardır donanım sanallaştırması kullanıyordu. Verimli ve mantıklı bir yöntem (fazlasıyla geç de kalındı) fakat bellek kullanımı performansı negatif yönde etkiliyor.
Sanallaştırmadan yararlanmaları dışında AV ve VBS'in yaptığının birbiriyle hiçbir alakası yok. VBS sanallaştırmayı koruma önlemi olarak, AV tarama motoru için araç olarak kullanıyor.
Firefox son 6 yıldır büyük ilerleme kat etti zaten. Çapraz site çerezleri ve izleyiciler üzerine yapılan birçok çalışma (örn. containers) da bu döneme ait. Aynı zamanda Mozilla; Google, Apple ve Microsoft başta olmak üzere birçok şirketle tarayıcı entegrasyonu üzerine çalışmalar yürütüyor. Amaçları daha güvenli, gizli ve optimize bir tarayıcıyı ortaya koymak.
Aynı stratejileri kullanmıyorlar ve buna ihtiyaç da duymuyorlar. Microsoft'un Windows 11'de tanıttığı gelişmelerin birçoğu Linux'ta yıllardır bulunuyordu.
Microsoft ve Apple'in sorunun farkında olduğunu ve düzeltmek için daha büyük çaba gösterip çok daha fazla gelişim katettiklerini söylüyor. Aynısı değil tam olarak.
Other kernels, such as the Windows and macOS kernels, are somewhat similar too, in that they are also large and bloated monolithic kernels with huge attack surface, but they at least realise that these issues exist and take further steps to mitigate them.
The desktop security model is very broken. It was not designed with security in mind — security was only a poorly implemented afterthought. However, there are some operating systems that are less bad in this regard.
Joanna Rutkowska'nın çok güzel bir sözü. Haklı da, halen güvenilirlik/denetlenebilirlik ve özelleştirme imkanları bakımından OSS yerini koruyor. MS ve Apple ne kadar güvenlik stratejileri üzerine kafa yorsalar da bu iki nedenle her zaman geride kalacak ve skandallarla öne çıkacaklar.
Kernelden bahsederken bir anda userland'a kaydım bu arada kabul ediyorum. Linux kernelini kullanarak güvenli işletim sistemleri oluşturmak mümkün, bu aksi iddia edilen bir şey değil. Ama bilgi birikimi, zaman ve uyumsuzluk problemleriyle başa çıkmayı gerektiriyor eğer var olan ekosistem üzerinde denenmeye çalışılırsa.
Sanallaştırmadan yararlanmaları dışında AV ve VBS'in yaptığının birbiriyle hiçbir alakası yok. VBS sanallaştırmayı koruma önlemi olarak, AV tarama motoru için araç olarak kullanıyor.
The New Microsoft Store is your Single trusted location for apps and content to Watch, create, play, work and learn. It's been rebuilt for Speed and with an all-New design that is beautiful and simple to use. Not only will we bring you more apps than ever before, we're also making all content – apps, Games, shows, movies – easier to Search for and discover with curated stories and collections. We're excited to soon be welcoming leading first and Third-party apps like Microsoft Teams, Visual Studio, Disney+, Adobe Creative Cloud, Zoom and Canva to the Microsoft Store – all offering incredible experiences to entertain, inspire and connect you. When you download an App from the Store you have the peace of mind of knowing it's been tested for Security and family safety.
At a time when the PC is playing a more central role in our lives, Windows 11 is designed to bring you closer to what you love.
blogs.windows.com
Windows 11 tanıtım yazısından bir alıntı. Microsoft Store'un düzenli olarak denetlenen kapsamlı bir uygulama deposu olacağı tanıtılmış ve en çok da güvenli olması üzerinde durulmuş. Bu kernelle ilgili bir konu değil, Linux distrolarının tamamı düzenli olarak güncellenen ve denetlenen yazılım repolarına sahip.
Windows 11 is also secure by design, with New built-in Security technologies that will add protection from the chip to the Cloud, while enabling productivity and New experiences. Windows 11 provides a Zero Trust-ready operating System to protect data and Access across devices. We have worked closely with our OEM and silicon partners to raise Security baselines to meet the needs of the evolving threat landscape and the New hybrid work world.
Burada bahsedilen tüm Secure Boot ve TPM destekli teknolojileri Windows'un bir başarısı olarak görmüyorum. Donanım desteğine bağımlı olarak yapılan güvenlik geliştirmeleri kullanışlı değil.
Microsoft ve Apple'in sorunun farkında olduğunu ve düzeltmek için daha büyük çaba gösterip çok daha fazla gelişim katettiklerini söylüyor. Aynısı değil tam olarak.
Kernelden bahsederken bir anda Userland'a kaydım bu arada kabul ediyorum. Linux Kernel'ini kullanarak güvenli işletim sistemleri oluşturmak mümkün, bu aksi iddia edilen bir şey değil.
Joanna Rutkowska'nın çok güzel bir sözü. Haklı da, halen güvenilirlik/denetlenebilirlik ve özelleştirme imkanları bakımından OSS yerini koruyor. MS ve Apple ne kadar güvenlik stratejileri üzerine kafa yorsalar da bu iki nedenle her zaman geride kalacak ve skandallarla öne çıkacaklar.
AV'ler sanallaştırmayı şu ana kadar duyduğum iki ana görev için kullanıyor: kodun runtime'da analiz edilmesini kolaylaştırmak ve güvenli tarayıcı özelliği. Kernel bütünlüğünü korumak gibi bir görevleri yok. Bu iki özellikten ikincisinin muadili Microsoft Defender Application Guard diye Windows'ta bulunuyor.
Windows 11 tanıtım yazısından bir alıntı. Microsoft Store'un düzenli olarak denetlenen kapsamlı bir uygulama deposu olacağı tanıtılmış ve en çok da güvenli olması üzerinde durulmuş. Bu kernelle ilgili bir konu değil, Linux distrolarının tamamı düzenli olarak güncellenen ve denetlenen yazılım repolarına sahip.
Microsoft Store Windows 8'den beri var. Depodaki uygulamaların zararsız oluşu ile dış dünyadan exploit edilebilmesi farklı şeylerdir. Güvenli oluşunu denetlenen bir merkezi depo olmasından ziyade yüklenen uygulamaların sandbox altında çalıştırılıp (yakında) donanım destekli güvenlik özelliklerinden faydalanmasına borçlu olacak.
Linux'taki muadili Flatpak fakat hem yaygınlaşmış değil hem de varsayılan izinler yeteri kadar kısıtlayıcı değil. Kendiniz özel poliçe yazarsanız başka tabii.
Burada bahsedilen tüm Secure Boot ve TPM destekli teknolojileri Windows'un bir başarısı olarak görmüyorum. Donanım desteğine bağımlı olarak yapılan güvenlik geliştirmeleri kullanışlı değil.
Fiziksel izolasyon yoluyla güvenliği arttırıyor, donanıma haliyle bağımlı olmak zorunda. Bunu kendi yazılımlarına implemente etmek neden Windows'un başarısı olmasın?
AV'ler sanallaştırmayı şu ana kadar duyduğum iki ana görev için kullanıyor: Kodun Runtime'da analiz edilmesini kolaylaştırmak ve güvenli tarayıcı özelliği. Kernel bütünlüğünü korumak gibi bir görevleri yok. Bu iki özellikten ikincisinin muadili Microsoft Defender Application Guard diye Windows'ta bulunuyor.
Provides guidance on what an OEM should do to enable VBS
docs.microsoft.com
Virtualization-based Security, or VBS, uses hardware virtualization features to create and isolate a secure region of Memory from the normal operating System. Windows can use this "Virtual secure mode" to host a number of Security solutions, providing them with greatly increased protection from vulnerabilities in the operating System, and preventing the use of malicious exploits which attempt to defeat protections.
Buradaki temel mantık Microsoft'un aynı stratejiyi daha geniş bir kapsamda kullanması. VBS + HVCI desteğiyle daha gelişmiş bir rootkit koruması sağlamak olarak da indirgenebilir.
Kaldı ki, bunu da ellerine bulaştırdılar:
According to a report from 3DMark creator UL Benchmarks, Microsoft's VBS feature can incur a noticeable performance hit on Windows 11 PCs. Testing shows varying results between Beta and Dev builds.
Microsoft Store Windows 8'den beri var. Depodaki uygulamaların zararsız oluşu ile dış dünyadan exploit edilebilmesi farklı şeylerdir. Güvenli oluşunu denetlenen bir merkezi depo olmasından ziyade yüklenen uygulamaların sandbox altında çalıştırılıp (yakında) donanım destekli güvenlik özelliklerinden faydalanmasına borçlu olacak.
Windows 8'den beri var olmasına rağmen kapsamı çok düşük, kullanışsız ve berbat bir uygulama reposuna sahip. İlk atılımı W11'le beraber yapmayı planladılar, maalesef bunda da gözümüz yollarda kaldı.
Linux'taki muadili Flatpak fakat hem yaygınlaşmış değil hem de varsayılan izinler yeteri kadar kısıtlayıcı değil. Kendiniz özel poliçe yazarsanız başka tabii.
Linux'taki muadili ve rakibi resmi repolardır, Snapd ve Flatpak benzeri yöntemler değil. Flatpak'e gelecek olursak; tamamen FOSS, minimal ve güncel bir kullanıcı deneyimi sunuyor. Şu anki haliyle dahi MS Store'dan üstün. Sanallaştırma ve izin kusurlarının nedeni bünyesindeki yazılımların varsayılan olarak Linux destekli olmaması, bu nedenle sorun çıkmaması için daha geniş izinler tanıyor. MS Store'daki yazılımlarsa varsayılan olarak NT destekli olmalarına rağmen bu haldeler.
Fiziksel izolasyon yoluyla güvenliği arttırıyor, donanıma haliyle bağımlı olmak zorunda. Bunu kendi yazılımlarına implemente etmek neden Windows'un başarısı olmasın?
Bir firmanın fiziksel izolasyona başvurması piyasaya sunulan yazılımın donanıma bağımlı olması anlamına gelir. Yazılımsal olarak gerekli izolasyonu sağlayabilecekken kendilerince kolay yolu seçtikleri ve kullanıcıyı kısıtladıkları da göz önünde bulundurulursa, bir firmanın bu yola başvurmasını ancak yazılımsal izolasyondaki yetersizliğine ve mecburiyetine bağlarım.
Gerekli ilerlemeyi kat etmediklerini ve boş durduklarını söylüyorlar. Buradaki amaçları elbette ki düşüncelerini ve gördükleri eksikleri belirterek düzeltilmesine katkıda bulunmak.
Buradaki temel mantık Microsoft'un aynı stratejiyi daha geniş bir kapsamda kullanması. VBS + HVCI desteğiyle daha gelişmiş bir rootkit koruması sağlamak olarak da indirgenebilir.
Evet uygulama sandbox'u için kullanıyor ama bu yine VBS/HVCI'nin yaptığı şey değil. VBS'de kernelin kendisi sanal ortamda çalışıyor. Kernel saldırı yüzeyini küçültmenin yolu ya bu, ya da kernel dışında kalan bütün uygulamaları sanal ortamda çalıştırmak ki ikisi aynı şey zaten
Windows 8'den beri var olmasına rağmen kapsamı çok düşük, kullanışsız ve berbat bir uygulama reposuna sahip. İlk atılımı W11'le beraber yapmayı planladılar, maalesef bunda da gözümüz yollarda kaldı.
Resmi repolar uygulama için özel hazırlanmış sandbox poliçelerini beraberinde yükleyip her açılışında uygulmayı izole bir ortamda çalıştırmıyor, Flatpak ve Microsoft Store'un aksine. Farklılıkları var ama bu yönden Flatpak'e yakın.
Sanallaştırma ve izin kusurlarının nedeni bünyesindeki yazılımların varsayılan olarak Linux destekli olmaması, bu nedenle sorun çıkmaması için daha geniş izinler tanıyor.
Yazılımsal olarak gerekli izolasyonu sağlayabilecekken kendilerince kolay yolu seçtikleri ve kullanıcıyı kısıtladıkları da göz önünde bulundurulursa, bir firmanın bu yola başvurmasını ancak yazılımsal izolasyondaki yetersizliğine ve mecburiyetine bağlarım.
Yazılımsal izolasyondaki yetersizliklerinden dolayı yapıyorlar zaten. Fakat bu Microsoft'un beceriksizliği veya tembelliği değil, fiziksel izolasyon yazılımsal olarak sağlayamayacağınız güvenliği sağlıyor. Bluetooth'u ayarlardan kapatmak ile hardware kill switch kullanarak gücünü kesmek gibi düşünün.
Evet uygulama Sandbox'u için kullanıyor ama bu yine VBS/HVCI'nin yaptığı şey değil. VBS'de kernelin kendisi sanal ortamda çalışıyor. Kernel saldırı yüzeyini küçültmenin yolu ya bu, ya da kernel dışında kalan bütün uygulamaları sanal ortamda çalıştırmak ki ikisi aynı şey zaten
Evet, aralarındaki fark AV yazılımları gerçek zamanlı koruma dahilinde sanallaştırma teknolojilerini yürütülen kodu ve yazılımı arka planda tarama veya karantinada analiz etme (sonrasında gerekli durumlarda bir kopyasını araştırma ekibine gönderme) amaçlarıyla kullanıyorlar. Rootkit korumalarının temelini zaten sanallaştırma oluşturur, özelleştirilmiş sistem taramalarında ve ilk başlatma öncesi ön taramalarda da bu teknoloji kullanılır.
VBS'in yaptığıysa kerneli sanal ortamda çalıştırarak yazılımsal bir izolasyon sağlamak, en azından teoride Microsoft'un beklentisi bu. Yüksek oyun performansı vaadiyle yayınladıkları sistemde performans çöp olunca kullanıcı fikirleri ve genel izlenimleri değişti tabii.
Dual boot sistemde 2021 Kasım'ından beri deneyimliyorum, aynısının laciverdi. Halen optimizasyon kaynaklı problemler bulunuyor. Arayüz önceki versiyonlara kıyasla daha hoş olmuş tabii.
Yazılımsal izolasyondaki yetersizliklerinden dolayı yapıyorlar zaten. Fakat bu Microsoft'un beceriksizliği veya tembelliği değil, fiziksel izolasyon yazılımsal olarak sağlayamayacağınız güvenliği sağlıyor. Bluetooth'u ayarlardan kapatmak ile hardware kill Switch kullanarak gücünü kesmek gibi düşünün.
Sorun fiziksel izolasyon kullanarak ilerlemeye çalışmaları değil, yazılımsal izolasyondaki problemlerinin üzerini kapamak için piyasaya farklı bir yöntem sürmeleri. Fiziksel izolasyonun server tarafında kullanılması taraftarıyım fakat desktop sistemlerinde tam bir saçmalık. Kullanıcı kitlesinin büyük bir bölümünün sahip olmadığı bir teknoloji üzerinden aynı kitlenin sorunlarını çözemezsiniz.
Kullandığı eski bir modemin firmware açıkları nedeniyle kolayca ağına sızılan ve ağ üzerinde bulaşan zararlılardan bir türlü kurtulamayan bir kullanıcı düşünün, sizin yapmanız gereken bu açıkları tespit edip patchlemeniz ve daha sıkı önlemler alarak yeni bir sürüm yayınlamanız. Sizse yeni bir model piyasaya sürüyorsunuz, bir süre sonra da eski modelin desteğini keserek kullanıcıları kendileriyle baş başa bırakacaksınız. Bu sayede kendinizi kolayca aklayabilirsiniz, güncel modeli kullanmıyorlar ne de olsa.
bugzilla.mozilla.org
techcrunch.com
