Nowa wersja możliwie bezpiecznego systemu z Polski może podbić biznes
Joanna Rutkowska i jej towarzysze z Invisible Things Lab ogłaszajądostępność Qubes OS 4.0 – stabilnego wydania nowej wersjimożliwie bezpiecznego systemu operacyjnego o polskich korzeniach. Werze wielkiego zwrotu ku bezpieczeństwu IT, gdy wreszcieuświadamiamy sobie na jak słabych fundamentach budowano współczesnerozwiązania informatyczne, Qubes OS ze swoją niespotykaną nigdzieindziej architekturą faktycznie obiecuje możliwie wysoki poziombezpieczeństwa. Poziom na tyle wysoki, że jego poprzednia wersja3.2 została uznana za najlepszy dostępny dziś na rynku systemoperacyjny przez samego EdwardaSnowdena. A czego możemy spodziewać po wersji 4.0? Jedno jużjest pewne – to system, który staje się gotowy do zastosowańbiznesowych i właśnie tam będzie mógł pokazać swój potencjał.
29.03.2018 12:46
Jak wiadomo, Qubes OS ma rewolucyjną, niespotykaną nigdzieindziej architekturę: poszczególne komponenty systemu działają wizolowanych od siebie maszynach wirtualnych, pod kontroląhiperwizora. Komunikację między tymi izolowanymi komponentami, atakże maszynami wirtualnymi z systemami-gośćmi (np. Fedorą czyWindowsem 7) zapewniają autorskie mechanizmy Qubes OS-a.
Przepisanie rdzenia systemu
Przez pierwsze lata budowania systemu, ze względu na niewielkiezasoby zespołu, stawiano przede wszystkim na dodawanie nowychfunkcji i rozbudowę funcjonalności, często kosztem dokumentacjiczy przejrzystości kodu. Wersja 4.0 przynosi daleko posuniętąrefaktoryzację kodu, przepisano praktycznie cały rdzeń systemu zmyślą o większej modularności i rozszerzalności.
Dlatego też nowy Cubes Core Stack, „klej” który łączypozostałe komponenty systemu, zapewnia teraz sporo wcześniejniemożliwych czy nieplanowanych możliwości – m.in. wsparcie dlawielu tymczasowych maszyn wirtualnych (które można szybko wywołaći szybko zniszczyć), mechanizm natychmiastowego klonowania maszynwirtualnych, nowy interfejs programowania dla pamięci masowych iulepszony interfejs zapory sieciowej, który poprawnie współpracujez innymi narzędziami do filtrowania ruchu.
Wreszcie też Cubes OS ma porządną dokumentacjęAPI.
Domyślnie sprzętowa para-wirtualizacja
Druga kluczowa zmiana to przejście od parawirtualizacji (PV) dosprzętowych maszyn wirtualnych (HVM). Jako że Qubes OS bazuje nahiperwizorze Xen, zapewnia trzy tryby wirtualizacji:
- Domyślne do tej pory PV wymaga w maszynach-gościach zgodnego zXenem kernela. Jest to wydajne rozwiązanie, zapewniające lepszydostęp do zasobów sprzętowych, ale uniemożliwiające uruchamianiesystemów niezgodnych z Xenem, jest też mniej bezpieczne.
- HVM wykorzystuje sprzętowe mechanizmy wirtualizacji procesora,więc nie wymaga specjalnego wsparcia dla Xena, pozwalając uruchomićdowolny system w maszynie wirtualnej. Jest też znaczniebezpieczniejsze, dzięki sprzętowej izolacji między maszynami.
- PVH to specjalny tryb parawirtualizacji, w którym korzysta się zzalet wirtualizacji sprzętowej przy jednoczesnym wykorzystaniukerneli zgodnych z Xenem.
Do tej pory w Qubes OS-ie wszystkie maszyny startowały w trybiePV, teraz jednak niemal wszystkie będą startowały jako PVH. TrybHVM zarezerwowano dla maszyn, które muszą mieć dostęp do urządzeńna magistrali PCIe. Takie podejście zabezpiecza kluczowe maszynyprzed atakami Meltdown i Spectre, a także zmniejsza powierzchnięataku na sam hiperwizor.
Ulepszony interfejs zarządzania
Sama Joanna Rutkowska wielokrotnie przyznawała, że jedną znajgorszych cech Qubes OS-a jest menedżer maszyn wirtualnych, którydo tej pory był używany dla dwóch zupełnie różnych typówinterakcji: tworzenia lub modyfikowania stałych konfiguracji systemu(np. tworzenia czy usuwania nowej aplikacyjnej maszyny wirtualnej)oraz obserwowania lub modyfikowania przejściowego stanu systemu –np. zatrzymywania maszyn, sprawdzania które działają). Problempogarszało to, że aplikacje uruchamiało się przez menu Start,które nie jest częścią menedżera. Ludzie więc często próbowalistworzyć nową maszynę wirtualną z menu Start, i uruchomićaplikację przez menedżera Qubesa.
Teraz wygląda na to, że te wszystkie funkcje mają zostaćrozdzielone na niezależne narzędzia. Zanim to nastąpi, korzystaćmamy z Qube Managera, który prezentuje listę działających maszynwirtualnych, umożliwia zarządzanie nimi i z poziomu panelupodłączanie do nich urządzeń sprzętowych (np. mikrofonu czypendrive’a).
Te niezależne narzędzia będą działały w oparciu o nowyinterfejs administracyjny (Admin API), pozwalający nawet nabezpieczne zarządzanie spoza głównej maszyny wirtualnej (dom0).Pozwoli to wyciągnąć kod interfejsu graficznego do mniej zaufanejmaszyny, zdalne zarządzanie z innych komputerów, otwiera drogę dowirtualizacji grafiki 3D, a nawet uruchomienie w chmurze usługiQubes-as-a-Service.
Szyfrowane kopie zapasowe
Przez kilka wersji rozwojowych Qubes OS-a wspomniany Qube Managernie pozwalał na obsługę zadań kopii zapasowych, trzeba byłowszystko to robić z konsoli. W wersji stabilnej można robić toznowu z interfejsu graficznego, tak jak Qubes OS-ie 3.2. Różnicajest taka, że teraz wszystkie kopie zapasowe są domyślnieszyfrowane.
Przywrócono też możliwość odtwarzania maszyn wirtualnych zwersji 3.2 systemu. Jest to zresztą jedyny pewny sposób byzaktualizować Qubes OS-a, ze względu na głębokie różnice warchitekturze trzeba go postawić na nowo, a potem ręcznieprzywrócić używane maszyny z kopii zapasowych.
Wybredny instalator
Nie widać jakichś specjalnych nowości w instalatorze systemupoza jedną: jeśli spróbujemy uruchomić go na komputerze niewspierającym mechanizmów wirtualizacji IOMMU/VT-d oraz SLAT,zostaniemy ostrzeżeni, a później uruchamianie maszyn wirtualnychbędzie wiązało się z licznymi problemami. Można to obejść, alenie jest to zalecane: złośliwe urządzenia z dostępem do DMAmogłyby uzyskać nieuprawniony dostęp do pamięci operacyjnej.
Co dalej, Qubes OS-ie?
Jedno jest pewne – ambitny projekt realizowany siłaminiewielkiej grupki ochotników potrzebuje pieniędzy. Granty z OpenTechnology Fund nie wystarczą. Zmiany wprowadzone w Qubes OS-ie 4.0otwierają jednak drogę do zupełnie nowego rynku, obfitującego wpieniądze – wielkiego biznesu. Ze względu na rosnące obawy przedwyciekiem informacji, nowe regulacje dotyczące bezpieczeństwaprzetwarzania danych, system zespołu Joanny Rutkowskiej mógłbyznakomicie sprawdzić się w tych organizacjach, które mają dużodo ukrycia, jednak jego „hobbystyczna” natura utrudniaławdrożenia Enterprise.
Wraz z solidną dokumentacją, przejrzystymi interfejsamiprogramowania i sprzętową izolacją maszyn wirtualnych, Qubes OS4.0 może być gotowy by zabezpieczyć informacje wszędzie tam,gdzie ryzyko włamania jest zbyt duże, a Windows nie wydaje sięwystarczająco bezpiecznym systemem.
Zainteresowani przetestowaniem tego systemu mogą pobrać obrazy ISO bezpośrednio z serwerów projektu, lub przez BitTorrenta – linki znajdziecie na stronach pobierania. Oczywiście maszyna wirtualna z Windowsem nie jest domyślną częścią Qubes OS-a, aby z niej korzystać, należy posiadać licencję. Jeśli jesteście zainteresowani praktycznym przewodnikiem po Qubes OS-ie na łamach dobrychprogramów – dajcie znać w komentarzach.
Przydatne linki
- Strona projektu Qubes OS(https://www.qubes-os.org/)
- Obraz ISO do pobrania(https://www.qubes-os.org/downloads/)
- Lista kompatybilnego sprzętu(https://www.qubes-os.org/hcl/)
- Przewodnik po instalacji(https://www.qubes-os.org/hcl/)