Nowa wersja możliwie bezpiecznego systemu z Polski może podbić biznes

Nowa wersja możliwie bezpiecznego systemu z Polski może podbić biznes29.03.2018 12:46

Joanna Rutkowska i jej towarzysze z Invisible Things Lab ogłaszajądostępność Qubes OS 4.0 – stabilnego wydania nowej wersjimożliwie bezpiecznego systemu operacyjnego o polskich korzeniach. Werze wielkiego zwrotu ku bezpieczeństwu IT, gdy wreszcieuświadamiamy sobie na jak słabych fundamentach budowano współczesnerozwiązania informatyczne, Qubes OS ze swoją niespotykaną nigdzieindziej architekturą faktycznie obiecuje możliwie wysoki poziombezpieczeństwa. Poziom na tyle wysoki, że jego poprzednia wersja3.2 została uznana za najlepszy dostępny dziś na rynku systemoperacyjny przez samego EdwardaSnowdena. A czego możemy spodziewać po wersji 4.0? Jedno jużjest pewne – to system, który staje się gotowy do zastosowańbiznesowych i właśnie tam będzie mógł pokazać swój potencjał.

Jak wiadomo, Qubes OS ma rewolucyjną, niespotykaną nigdzieindziej architekturę: poszczególne komponenty systemu działają wizolowanych od siebie maszynach wirtualnych, pod kontroląhiperwizora. Komunikację między tymi izolowanymi komponentami, atakże maszynami wirtualnymi z systemami-gośćmi (np. Fedorą czyWindowsem 7) zapewniają autorskie mechanizmy Qubes OS-a.

Przepisanie rdzenia systemu

Przez pierwsze lata budowania systemu, ze względu na niewielkiezasoby zespołu, stawiano przede wszystkim na dodawanie nowychfunkcji i rozbudowę funcjonalności, często kosztem dokumentacjiczy przejrzystości kodu. Wersja 4.0 przynosi daleko posuniętąrefaktoryzację kodu, przepisano praktycznie cały rdzeń systemu zmyślą o większej modularności i rozszerzalności.

Komponenty Cubes OS-a
Komponenty Cubes OS-a

Dlatego też nowy Cubes Core Stack, „klej” który łączypozostałe komponenty systemu, zapewnia teraz sporo wcześniejniemożliwych czy nieplanowanych możliwości – m.in. wsparcie dlawielu tymczasowych maszyn wirtualnych (które można szybko wywołaći szybko zniszczyć), mechanizm natychmiastowego klonowania maszynwirtualnych, nowy interfejs programowania dla pamięci masowych iulepszony interfejs zapory sieciowej, który poprawnie współpracujez innymi narzędziami do filtrowania ruchu.

Wreszcie też Cubes OS ma porządną dokumentacjęAPI.

Domyślnie sprzętowa para-wirtualizacja

Druga kluczowa zmiana to przejście od parawirtualizacji (PV) dosprzętowych maszyn wirtualnych (HVM). Jako że Qubes OS bazuje nahiperwizorze Xen, zapewnia trzy tryby wirtualizacji:

  • Domyślne do tej pory PV wymaga w maszynach-gościach zgodnego zXenem kernela. Jest to wydajne rozwiązanie, zapewniające lepszydostęp do zasobów sprzętowych, ale uniemożliwiające uruchamianiesystemów niezgodnych z Xenem, jest też mniej bezpieczne.
  • HVM wykorzystuje sprzętowe mechanizmy wirtualizacji procesora,więc nie wymaga specjalnego wsparcia dla Xena, pozwalając uruchomićdowolny system w maszynie wirtualnej. Jest też znaczniebezpieczniejsze, dzięki sprzętowej izolacji między maszynami.
  • PVH to specjalny tryb parawirtualizacji, w którym korzysta się zzalet wirtualizacji sprzętowej przy jednoczesnym wykorzystaniukerneli zgodnych z Xenem.

Do tej pory w Qubes OS-ie wszystkie maszyny startowały w trybiePV, teraz jednak niemal wszystkie będą startowały jako PVH. TrybHVM zarezerwowano dla maszyn, które muszą mieć dostęp do urządzeńna magistrali PCIe. Takie podejście zabezpiecza kluczowe maszynyprzed atakami Meltdown i Spectre, a także zmniejsza powierzchnięataku na sam hiperwizor.

Ulepszony interfejs zarządzania

Sama Joanna Rutkowska wielokrotnie przyznawała, że jedną znajgorszych cech Qubes OS-a jest menedżer maszyn wirtualnych, którydo tej pory był używany dla dwóch zupełnie różnych typówinterakcji: tworzenia lub modyfikowania stałych konfiguracji systemu(np. tworzenia czy usuwania nowej aplikacyjnej maszyny wirtualnej)oraz obserwowania lub modyfikowania przejściowego stanu systemu –np. zatrzymywania maszyn, sprawdzania które działają). Problempogarszało to, że aplikacje uruchamiało się przez menu Start,które nie jest częścią menedżera. Ludzie więc często próbowalistworzyć nową maszynę wirtualną z menu Start, i uruchomićaplikację przez menedżera Qubesa.

Teraz wygląda na to, że te wszystkie funkcje mają zostaćrozdzielone na niezależne narzędzia. Zanim to nastąpi, korzystaćmamy z Qube Managera, który prezentuje listę działających maszynwirtualnych, umożliwia zarządzanie nimi i z poziomu panelupodłączanie do nich urządzeń sprzętowych (np. mikrofonu czypendrive’a).

Te niezależne narzędzia będą działały w oparciu o nowyinterfejs administracyjny (Admin API), pozwalający nawet nabezpieczne zarządzanie spoza głównej maszyny wirtualnej (dom0).Pozwoli to wyciągnąć kod interfejsu graficznego do mniej zaufanejmaszyny, zdalne zarządzanie z innych komputerów, otwiera drogę dowirtualizacji grafiki 3D, a nawet uruchomienie w chmurze usługiQubes-as-a-Service.

Szyfrowane kopie zapasowe

Przez kilka wersji rozwojowych Qubes OS-a wspomniany Qube Managernie pozwalał na obsługę zadań kopii zapasowych, trzeba byłowszystko to robić z konsoli. W wersji stabilnej można robić toznowu z interfejsu graficznego, tak jak Qubes OS-ie 3.2. Różnicajest taka, że teraz wszystkie kopie zapasowe są domyślnieszyfrowane.

Przywrócono też możliwość odtwarzania maszyn wirtualnych zwersji 3.2 systemu. Jest to zresztą jedyny pewny sposób byzaktualizować Qubes OS-a, ze względu na głębokie różnice warchitekturze trzeba go postawić na nowo, a potem ręcznieprzywrócić używane maszyny z kopii zapasowych.

Wybredny instalator

Nie widać jakichś specjalnych nowości w instalatorze systemupoza jedną: jeśli spróbujemy uruchomić go na komputerze niewspierającym mechanizmów wirtualizacji IOMMU/VT-d oraz SLAT,zostaniemy ostrzeżeni, a później uruchamianie maszyn wirtualnychbędzie wiązało się z licznymi problemami. Można to obejść, alenie jest to zalecane: złośliwe urządzenia z dostępem do DMAmogłyby uzyskać nieuprawniony dostęp do pamięci operacyjnej.

Co dalej, Qubes OS-ie?

Jedno jest pewne – ambitny projekt realizowany siłaminiewielkiej grupki ochotników potrzebuje pieniędzy. Granty z OpenTechnology Fund nie wystarczą. Zmiany wprowadzone w Qubes OS-ie 4.0otwierają jednak drogę do zupełnie nowego rynku, obfitującego wpieniądze – wielkiego biznesu. Ze względu na rosnące obawy przedwyciekiem informacji, nowe regulacje dotyczące bezpieczeństwaprzetwarzania danych, system zespołu Joanny Rutkowskiej mógłbyznakomicie sprawdzić się w tych organizacjach, które mają dużodo ukrycia, jednak jego „hobbystyczna” natura utrudniaławdrożenia Enterprise.

Wraz z solidną dokumentacją, przejrzystymi interfejsamiprogramowania i sprzętową izolacją maszyn wirtualnych, Qubes OS4.0 może być gotowy by zabezpieczyć informacje wszędzie tam,gdzie ryzyko włamania jest zbyt duże, a Windows nie wydaje sięwystarczająco bezpiecznym systemem.

Zainteresowani przetestowaniem tego systemu mogą pobrać obrazy ISO bezpośrednio z serwerów projektu, lub przez BitTorrenta – linki znajdziecie na stronach pobierania. Oczywiście maszyna wirtualna z Windowsem nie jest domyślną częścią Qubes OS-a, aby z niej korzystać, należy posiadać licencję. Jeśli jesteście zainteresowani praktycznym przewodnikiem po Qubes OS-ie na łamach dobrychprogramów – dajcie znać w komentarzach.

Przydatne linki

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na