r   e   k   l   a   m   a
r   e   k   l   a   m   a

Mamy polską receptę na szpiegów NSA: Qubes OS 3.0 to systemowe podejście do kwestii zaufania

Strona główna AktualnościOPROGRAMOWANIE

Qubes OS, prawdopodobnie najbezpieczniejszy system operacyjny na świecie, doczekał się swojej trzeciej wersji. Joanna Rutkowska z Invisible Things Lab przedstawiła wydanie kandydackie, zarazem ujawniając harmonogram prac na ten rok. Wprowadzone zmiany mogą nie wydawać się tak znaczące jak w wersji drugiej (która umożliwiła uruchamianie oprogramowania dla Windows), ale dotyczą dwóch fundamentalnych spraw: sposobu wykorzystania hiperwizora oraz budowania pakietów.

Jak pewnie pamiętacie, fundamentem Qubes OS-a nie było jądro Linuksa, lecz hiperwizor Xen, uruchamiający linuksowe maszyny wirtualne, z których każda zajmuje się czymś innym. W ten sposób mamy podzielone na domeny funkcjonalne maszyny wirtualne interfejsu graficznego, sieci, czy pamięci zewnętrznej, mamy też domeny do konkretnych zastosowań, którym przypisane są różne poziomy zaufania. Każda domena ma dzięki temu dostęp tylko do tego, czego faktycznie potrzebuje, co zmniejsza powierzchnię ataku do minimum. Minusem takiego rozwiązania były oczywiście problemy z kompatybilnością sprzętową, czy też niemożność wykorzystania sprzętowej akceleracji grafiki 3D.

Qubes OS 3.0 wprowadza nową architekturę HAL, która zapewnia niezależność systemu od zastosowanego hiperwizora. Rozwiązanie wirtualizacyjne staje się tu po prostu wykonawcą kluczowych dla Qubesa usług: tworzenia izolowanych bezpiecznych domen funkcjonalnych, bezpiecznej wirtualizacji interfejsu użytkownika, bezpiecznej komunikacji między domenami i uruchamiania rozmaitych specjalistycznych maszyn wirtualnych (np. Tora czy GPG). W przyszłości nie będzie musiał nim być już Xen, równie dobrze można zastosować hiperwizor od Microsoftu (Hyper-V), desktopowego VirtualBoksa, a nawet (w teorii) wbudowany w „okienka” mechanizm Windows Native Isolation. Cel ten udało się to zrealizować dzięki bibliotece libvirt. Zamiast bezpośredniego wywoływania poleceń stosu zarządzającego Xena, wykorzystuje się libvirt, która dopiero tłumaczy je na polecenia wybranego hiperwizora. O możliwościach, jakie przynosi taka elastyczność architektury możecie poczytać na blogu Invisible Things.

Na wprowadzeniu HAL się nie skończyło, w tej wersji systemu pojawił się protokół komunikacji międzyprocesowej qrexec, hiperwizor Xen w wersji 4.4, oraz wiele szablonów maszyn wirtualnych, w pełni zintegrowanych z Qubesem. Są wśród nich m.in. Debian 7 i 8, ArchLinux oraz Whonix. Przemyślano też na nowo kwestię zaufania, kluczową przecież dla przyszłości tego budzącego coraz większe zainteresowanie projektu. Korzysta on przecież z gotowych binarnych pakietów, przygotowywanych przez deweloperów Fedory i Debiana. Czy można być pewnym, że nikt przy nich nie „majstrował”? Jak zabezpieczyć się przed napastnikami, którzy pozyskali klucze wykorzystywane do podpisywania pakietów? Wreszcie zaś, na jakiej podstawie ufać Rutkowskiej i jej kolegom, że nie mają złośliwych zamiarów?

r   e   k   l   a   m   a

Jak opisuje Rutkowska, póki co udało się uczynić proces kompilacji oprogramowania na Qubesie odporniejszym na ataki, dzięki możliwości budowania szablonów Qubesa w czystych, jednorazowych maszynach wirtualnych. W ten sposób można utrzymywać oddzielne repozytoria dla różnych szablonów, za które odpowiedzialni są różni ludzie, którym wcale nie trzeba ufać, można dokładnie sprawdzić, co mają w ręku.

Udało się też utrudnić namierzenie procesu budowania, tj. wprowadzenie nawet podpisanych poprawnym kluczem pakietów Fedory czy Debiana z furtką, poprzez wykorzystanie maszyny wirtualnej z Torem jako domyślnej maszyny sieciowej do zbudowania aktualnego obrazu ISO systemu. Poczyniono też pewne kroki w celu utwardzenia mechanizmów rozpowszechniania i instalacji szablonów, tak by użytkownikowi, który zainstaluje sobie ze społecznościowych repozytoriów złośliwy szablon, wciąż nic nie groziło. Póki co można sprawdzić skrypty instalacyjne i metadane szablonu przed jego instalacją, w przyszłości cały ten proces ma zostać zautomatyzowany.

Wciąż pozostaje kwestia tego, czy można wierzyć ludziom z Invisible Things Lab. Deweloperzy Qubesa chcą zagwarantować, że w binarkach Qubes OS-a nie ma żadnych furtek za pomocą „fundamentu zaufania”, w którym przed pobraniem obrazu ISO czy pakietu sprawdzane będzie, czy jest on podpisany przez określoną liczbę niezależnych, zaufanych stron. To wymaga jednak deterministycznych kompilacji (czyli uzyskiwania z tego samego kodu źródłowego takich samych binarek). Prace nad takim mechanizmem prowadzą programiści Debiana, na jego zastosowanie w Qubes OS-ie przyjdzie jeszcze poczekać.

Qubes doczekał się także oficjalnego harmonogramu prac nad kolejnymi wersjami. I tak jeszcze latem mamy zobaczyć wersję 3.1, która przyniesie m.in. uruchamianie na maszynach z UEFI, bezpieczne instalowanie szablonów oraz mechanizm zarządzania i prekonfiguracji, dzięki któremu możliwe będzie zdalne zarządzanie systemem. Na zimę pojawi się Qubes OS 3.2, przynoszący ulepszony interfejs użytkownika i skonfigurowanego już na starcie Tora oraz Thunderbirda z obsługą kluczy GPG. Jednocześnie zimą pojawić się ma wersja 4.0, przynosząca kolejne daleko posunięte zmiany w architekturze, w tym core3 – nowy stos zarządzający Qubesa, którego autorami są Wojtek Porczyk i Marek Marczykowski-Górecki, obecnie główny deweloper systemu. Warto wspomnieć, że wydanie 3.0 Qubes OS-a jest pierwszym, którego ISO zostało podpisane już nie przez Joannę Rutkowską, ale właśnie przez Marka Marczykowskiego-Góreckiego.

W dyskusjach w Sieci nie raz pojawiały się opinie, że proponowane przez Invisible Things Lab rozwiązania to przesada, a Qubes OS to tylko ciekawostka, która nigdy nie znajdzie praktycznego zastosowania. My obserwując rozwój tego systemu niemal od jego początku, jesteśmy przeciwnego zdania – to najbardziej obiecujące podejście do kwestii bezpieczeństwa, które mogłoby stawić czoła nawet narzędziom szpiegowskim wykorzystywanym przez amerykańskie NSA. Jeśli zaś chodzi o wygodę pracy, to naprawdę niewiele można Qubesowi dziś już zarzucić. Przekonać się o tym możecie sami, pobierając wydanie kandydackie Qubes OS 3.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.