Login
Login-Name Passwort


 
Newsletter
Werbung

Di, 4. September 2012, 15:41

Software::Desktop

Qubes-OS 1.0: Das »wirklich« sichere Desktop-Betriebssystem

Invisible Things Lab, die Firma der Rootkit-Expertin Joanna Rutkowska, hat mit Qubes-OS ein im Vergleich mit herkömmlichen Linux-Distributionen auch den Maßstäben von Sicherheitsexperten standhaltendes Desktop-Betriebssystem geschaffen, dessen erste Version 1.0 jetzt zum Herunterladen zur Verfügung steht.

Qubes-OS:  Architektur

qubes-os.org

Qubes-OS: Architektur

Weitere Informationen zu Qubes-OS 1.0 sind über die Projektseite zugänglich. Der Quelltext von Qubes-OS steht via Git zum Herunterladen zur Verfügung. Ferner gibt es Qubes-OS auch als installierbares 64-Bit-ISO-Image, das sich alternativ auch auf einem USB-Stick installieren und booten lässt. Allerdings raten die Entwickler vom Installieren in einer virtuellen Maschine ab.

Linux gilt zwar gemeinhin als sicheres Betriebssystem, im Umfeld von Sicherheitsexperten sind solche Klassifizierungen aber nahezu wertlos. Aussagen wie »sicher« oder gar »unbreakable« seien im Kontext der Bezeichnung Sicherheit im Sinne von »Verteidigung« laut Ansicht der Qubes-Entwicklerin und Rootkit-Expertin Joanna Rutkowska mit Vorsicht zu genießen, weil der Nachweis einer hundertprozentigen Sicherheit faktisch unmöglich sei. Rutkowska bezeichnet ihr Qubes-OS daher auch lediglich als ein »halbwegs sicheres« System. Die Invisible Things Lab-Gründerin ergeht sich im die Veröffentlichung von Qubes-OS 1.0 begleitenden Blog-Beitrag recht ausführlich über Fragen der formalen Nachweisbarkeit der Sicherheit von Desktop-Betriebssystemen. Nicht weniger abstrakt sind ihre Ausführungen über die theoretische Überprüfbarkeit der Sicherheit wichtiger Architektur-Komponenten, wie dem Kernel, und wie diese die Gesamtsicherheit beeinflussen. Zwar gäbe es durchaus einige als sicher einzustufende Micro-Kernel, doch was nütze ein formal überprüfter Micro-Kernel, wenn als GUI ein aufgeblähter und mit Fehlern behafteter X-Server zum Einsatz komme. In gleicher Weise lasse sich laut Rutkowska über Energieverwaltung oder Dateisystem-Server argumentieren. Jedenfalls sei auch Qubes-OS im Sinne von »ungefährlich« noch kein sicheres System, weil die Benutzung derzeit noch zu viel Wissen voraussetze. Rutkowska warnt zudem davor, Qubes-OS als fehlerfrei anzusehen. Man habe in den vergangenen drei Jahren Entwicklungszeit bereits drei ernsthafte Sicherheitslücken entdeckt. Da bei Qubes-OS die einzelnen Anwendungen in virtuellen Maschinen laufen, lässt sich eine Sicherheitslücke im Browser zwar nach wie vor von Angreifern ausnutzen, Qubes-OS sorge aber dafür, dass die Auswirkungen eines derartigen Angriffs begrenzt bleiben. So könnte ein Anwender etwa für Online-Banking eine andere Browser-Sandbox nutzen, als beim normalen Surfen.

Qubes-OS: Der Netzwerk-Layer läuft ausschließlich in einer unpriviligierten NetDomain

http://qubes-os.org

Qubes-OS: Der Netzwerk-Layer läuft ausschließlich in einer unpriviligierten NetDomain

Qubes-OS folgt einem eher pragmatischen Ansatz und versucht laut Rutkowska vorrangig, die kritischen Teile des Systems »halbwegs sicher« zu machen. Die Architektur von Qubes-OS sieht vor, die einzelnen Anwendungen wie bei iOS in einzelne Sandboxes zu sperren, die bei Qubes-OS virtuelle Xen-Maschinen sind. Allerdings seien die Sandboxes bei iOS nicht ausreichend voneinander isoliert, weil das verfügbaren APIs zu viel Interaktion zwischen den Sanboxes zulasse. Bei Qubes hingegen sei der Anwender für alle die Sicherheit betreffende Entscheidungen selbst verantwortlich und habe die Möglichkeit, sein »digitales Leben« in Sicherheitsbereiche aufzuteilen, welche einen unterschiedlichen Grad von Zugriff auf das Netzwerk oder ausgewählte Daten aufweisen, was eine größtmögliche Flexibilität ermögliche.

Qubes-OS: Voneinander isolierte in AppVMs laufende Anwendungen und farblich gekennzeichneten Labeln (rot / grün)

http://qubes-os.org

Qubes-OS: Voneinander isolierte in AppVMs laufende Anwendungen und farblich gekennzeichneten Labeln (rot / grün)

Qubes-OS selbst ist eine auf Xen beruhrende Distribution, bei der sämtliche Programme sicher in strikt voneinander getrennten virtuellen Maschinen laufen, so dass aus diesen kein Schadcode auf das System gelangen kann. Sogenannte Sicherheitsstufen regeln die Zugriffe der virtuellen Maschinen untereinander. Die Xen Dom0 ist sehr kompakt und führt lediglich 2500 Zeilen C-Code aus, so dass hier wenig Raum für Fehler bleibt. Die GUI-Implementierung ist dank Xen Shared-Memory trotzdem sehr effizient und Applikationen sollen kaum langsamer laufen als normal installierte Anwendungen. Das Qubes-OS-GUI zeigt sämtliche in den virtuellen Maschinen laufende Apps so an, als liefen sie ganz normal, allerdings steht in den AppVMs kein OpenGL zur Verfügung. Die AppVMs selbst werden bei Bedarf jeweils aus Template-VMs erzeugt, welche sich mit allen AppVMs das Root-Dateisystem teilen, das aus Sicht der Template-VM lediglich zum Lesen eingehängt ist. Der Ansatz spart Plattenplatz, weil die AppVMs lediglich private Daten speichern, und ermöglicht es außerdem, sämtliche auf der gleichen Template-VM basieren AppVMs gleichzeitig zu aktualisieren, sofern diese vorher gestoppt wurden.

Der Netzwerk-Code des Systems läuft in einer unprivilegierten virtuellen Maschine, damit in der Dom0 kein Netzwerk-Code existiert, der angegriffen werden könnte. Das gleiche gilt für Speichergerätetreiber. In Zukunft soll auch der Bootvorgang über Intels Trusted Execution Technology (TXT) abgesichert werden.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung