Qubes OS

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
Qubes OS
Qubes OS-Logo
Screenshot
Qubes-OS-Desktop.png
Basisdaten
Entwickler Invisible Things Lab
Aktuelle Version 3.2
Abstammung GNU/Linux
↳ Fedora
↳ Qubes OS
Kernel Linux (Kernel)
Architekturen x64
Lizenz(en) GNU/GPL
Website qubes-os.org
qubesos4rrrrz6n4.onion – Tor Hidden Service, nur über das Tor-Netzwerk erreichbar.[1]

Qubes OS ist ein auf IT-Sicherheit fokussiertes Computer-Betriebssystem, welches dies durch Isolation gewährleistet. Die dafür benötigte Virtualisierung wird durch Xen ermöglicht. Die Benutzerumgebung kann basierend auf Fedora, Debian, Whonix, Microsoft Windows und weiteren anderen sein.[2][3]

Am 16. Februar 2015 wurde Qubes als Finalist für den Access Innovation Price 2014 für Endpoint Security Solution ausgewählt.[4]

Sicherheitsziele[Bearbeiten | Quelltext bearbeiten]

Sicherheitsdomäne Schema

Qubes gewährt Sicherheit durch Isolation.[5] Die Annahme ist, dass es keine perfekte fehlerfreie Desktop-Benutzerumgebung gibt. So eine Umgebung besteht aus Hunderten von Millionen an Zeilen an Code (Lines of Code) und mehreren Billionen von Software- und Hardware-Interaktionen. Ein kritischer Fehler in einer dieser Interaktionen kann dazu führen, dass bösartige Software (Malicious Code) die Kontrolle über den PC übernehmen kann.[6][7]

Um den Desktop abzusichern, sollte ein Qubes-Benutzer gewisse Teile der Benutzerumgebung von anderen Teilen isolieren. Für den Fall, dass einer der Teile kompromittiert wird, kann die bösartige Software nur auf Daten, die sich auch in demselben isolierten Bereich befinden, zugreifen. Dadurch kann kein weiterer Schaden angerichtet werden.

In Qubes wird die Isolation durch zwei Dimensionen bereitgestellt: Hardware Controller können in unterschiedliche funktionale Domänen eingeteilt werden (zum Beispiel: Netzwerkdomänen, USB-Controller-Domänen), wohin gehend sich das digitale Leben des Benutzers in einer anderen Vertrauensstufe befindet. Zum Beispiel: Arbeitsdomäne (Höchste Vertraulichkeit), Einkaufsdomäne, Zufallsdomäne (Geringste Vertraulichkeit).[8] Jeder dieser Domänen läuft in einer eigenen virtuellen Maschine (kurz VM).

Qubes ist kein Mehrbenutzersystem.[9]

Systemarchitektur Übersicht[Bearbeiten | Quelltext bearbeiten]

Xen hypervisor und Administrative Domäne (Dom0)[Bearbeiten | Quelltext bearbeiten]

Der Hypervisor ermöglicht eine Isolation der Daten in unterschiedliche virtuellen Maschinen. Die administrative Domäne, auch genannt Dom0 (ein Ausdruck abgeleitet von Xen), hat von Default aus direkten Zugriff auf die gesamte Hardware. Dom0 stellt die GUI-Domäne bereit und kontrolliert die grafischen Geräte sowie Eingabegeräte unter anderem auch Maus und Tastatur. In der GUI-Domäne läuft der X Server, welcher für die Anzeige des Desktops zuständig ist. Auch der Window Manager, welcher für das Starten und Stoppen von Applikationen, sowie manipulieren derer Fenster ist, befindet sich in dieser Domäne.

Die Darstellung der unterschiedlichen virtuellen Maschinen in einer Benutzeroberfläche wird durch den Application Viewer ermöglicht. Dieser erzeugt eine Illusion für den Benutzer als würden die Applikationen nativ auf dem Desktop ausgeführt werden, während sie aber isoliert in unterschiedlichen Virtuellen Maschinen arbeiten. Qubes integriert all diese Virtuellen Maschinen in eine gewöhnliche Desktop-Umgebung.

Weil Dom0 besonders sicherheitsrelevant ist, ist sie vom Netzwerk isoliert. Sie besitzt so wenige Interfaces und Verbindungen zu anderen Domänen wie möglich, um die Möglichkeit eines Angriffes ausgehend von einer anderen infizierten virtuellen Maschine so gering wie möglich zu halte.[10][11]

Die Dom0-Domäne verwaltet die virtuellen Disks von den anderen virtuellen Maschinen, welche sich als Dateien auf dem Dom0-Dateisystem befinden. Der Festplattenspeicher wird von unterschiedlichen virtuellen Maschinen verwaltet, welche das gleiche Root-Filesystem in einem read-only-Modus zur Verfügung haben. Ein separater Speicherplatz wird nur für die Benutzerdaten und für die einzelnen VM-Einstellungen verwendet. Dadurch wird ermöglicht, dass Softwareinstallationen und Updates zusammengefasst werden können. Software kann auch auf eine ausgewählten virtuellen Maschine installiert werden. Dies ist nur möglich wenn die Software als non-root-Benutzer oder in der non-standard Qubes speziellen /rw Struktur installiert wird.

Netzwerkdomäne[Bearbeiten | Quelltext bearbeiten]

Der Netzwerkmechanismus ist Angriffen am meisten ausgesetzt. Deshalb ist er isoliert in einer separaten, unprivilegierten virtuellen Maschine, welche Netzwerkdomäne genannt wird.

Eine zusätzliche VM wird verwendet um die Linux-Kernel basierende Firewall abzuschotten. Der Vorteil ist, dass selbst wenn die Netzwerkdomäne wegen eines Bugs gefährdet ist, die Firewall weiterhin isoliert und geschützt bleibt (so als würde sie in einem separaten Linux-Kernel in einer anderen virtuelle Maschine laufen).[12]

Virtuelle Maschine für Applikationen (AppVM)[Bearbeiten | Quelltext bearbeiten]

AppVMs sind die virtuellen Maschinen die verwendet werden um Benutzer-Anwendungen wie, Webbrowser, E-Mail-Client oder einen Texteditor zu starten. Aus Sicherheitsgründen können diese Programme in unterschiedliche Domänen gruppiert werden. Zum Beispiel in „Persönliches“, „Einkauf“, „Bank“ oder andere. Diese Sicherheitsdomänen werden als separate virtuelle Maschinen implementiert. Dadurch ist es so, als würden diese auf unterschiedlichen Maschinen laufen.

Einige Dokumente oder Applikationen können über den File-Manager in einer Art „Wegwerf“-VM gestartet werden. Hier macht man sich den Mechanismus von Sandboxing zu nutze. Nachdem das Dokument oder das Programm geschlossen wurde wird auch die virtuelle Maschine zerstört.[13]

Jede dieser Sicherheitsdomänen ist mit einer Farbe versehen. Jedes der Programmfenster hat genau die Farbe zu dessen Domäne es gehört. Dadurch ist immer klar ersichtlich zu welcher Domäne das folgende Fenster gehört.

Falls der Benutzer ein Programm einer gewissen Domäne geöffnet hat, kann diese Programm auch nur mit den Daten dieser Domäne interagieren. Zum Beispiel ein Textbearbeitungsprogramm welches in der „Arbeit“ Domäne läuft, sieht beim Öffnen von Dokumenten, keine Dateien aus anderen Domänen wie „Privat“ sondern nur die der eigenen Domäne.

Das Verschieben und Kopieren von Daten zwischen den Domänen kann nur mittels spezieller Befehle geschehen. Diese Vorgänge erfordern jedoch eine Autorisierung durch den Benutzer und können nicht automatisch erfolgen. Dasselbe gilt auch für das Clipboard. Daten die in einer Domäne kopiert werden, können nicht in einer anderen Domäne eingefügt werden.[14] Um dies jedoch trotzdem zu ermöglichen, gibt es in Qubes auch wieder eine spezielle Funktion.[15]

Weblinks[Bearbeiten | Quelltext bearbeiten]

 Commons: Qubes OS – Sammlung von Bildern, Videos und Audiodateien

Einzelnachweise[Bearbeiten | Quelltext bearbeiten]

  1. Qubes OS: A reasonably secure operating system. In: qubes-os.org. 28. November 2017, abgerufen am 2. Dezember 2017.
  2. Qubes OS Templates.
  3. Installing and using Windows-based AppVMs.
  4. Endpoint Security Prize Finalists Announced!. Michael Carbone. 13. Februar 2014.
  5. The three approaches to computer security. Joanna Rutkowska. 2. September 2008.
  6. Qubes OS: An Operating System Designed For Security. Tom's hardware. 30. August 2011.
  7. A digital fortress?. The Economist. 28. März 2014.
  8. Partitioning my digital life into security domains. Joanna Rutkowska. 13. März 2011.
  9. Joanna Rutkowska: Google Groups - Qubes as a multi-user system. 3. Mai 2010.
  10. (Un)Trusting your GUI Subsystem. Joanna Rutkowska. 9. September 2010.
  11. The Linux Security Circus: On GUI isolation. Joanna Rutkowska. 23. April 2011.
  12. Playing with Qubes Networking for Fun and Profit. Joanna Rutkowska. 28. September 2011.
  13. Qubes To Implement Disposable Virtual Machines. OSnews. 3. Juni 2010.
  14. Qubes OS: Moving Data. official Qubes OS. 8. Mai 2017.
  15. Qubes OS: Copy and Paste. official Qubes OS. 8. Mai 2017.