Qubes OS R2: bezpieczny system operacyjny zaciera granice między Linuksem a Windows
Czy możliwy jest naprawdę bezpieczny desktop? Zabezpieczenieserwerów, działających w znacznie bardziej kontrolowanych warunkach,jest znacznie łatwiejsze, niż zabezpieczenie komputerów, na którychdziałają rzeczy czasem przedziwne, a użytkownicy i tak robią wszystkopo swojemu (a nie według zbioru dobrych praktyk). Nawet jeśli tosyzyfowe zadanie, to i tak są tacy, którzy próbują. Jednym z takichprojektów jest Qubes OS – osobliwy, hybrydowy systemoperacyjny, którego pierwszą wersję pokazało światu ponad rok temuInvisible Things Lab, firma znanej ekspertki od bezpieczeństwa IT,Joanny Rutkowskiej. Dziś stoimy w przededniu wydania drugiej wersjiQubes OS-a, przynoszącej długą listę naprawdę ciekawych nowości.Qubes OS nie jest kolejną dystrybucją GNU/Linuksa, choć bezLinuksa nigdy by nie zaistniał. Jego architektura nie ma precedensu,bazuje na daleko posuniętej nieufności, pesymistycznym założeniu, żebezpieczny desktop jest niemożliwy. Setki, tysiące komponentówsoftware'owych, których kod liczy miliony linii, wchodzących ze sobąw miliardy interakcji, muszą zawierać w sobie błędy, które pozwoląnapastnikowi na przejęcie kontroli nad maszyną. Skoro więc nie możnapozbyć się podatnych na exploity błędów, to można spróbowaćograniczyć konsekwencje ich wyexploitowania. Rutkowska i jej zespółstawiają więc na radykalną izolację wszystkich elementów systemu, także jeśli nawet jeden z nich zostanie przejęty, to napastnik niewielebędzie w stanie z tym zrobić.Nie jądro Linuksa jest więc tu podstawą, ale hiperwizor Xen.Izoluje on zarówno kontrolery sprzętowe, podzielone w jednym wymiarzena funkcjonalne domeny interfejsu użytkownika, stosu sieciowego ipamięci masowych, w drugim zaś na domeny zastosowań o różnym poziomiezaufania – np. odrębnej domeny dla przeglądania przypadkowychstron w Internecie, odrębnej dla pracy. Każda z domen działa woddzielnej maszynie wirtualnej, zawierającej minimalistyczną wersjęFedory.Każda z domen funkcjonalnych ma dostęp tylko do tego, czegonaprawdę potrzebuje. Przykładowo, domena administracyjna, mającabezpośredni dostęp do sprzętu (hostuje domenę interfejsu użytkownika,kontrolując sterowniki karty graficznej, obsługując klawiaturę czymysz), jest całkowicie izolowana od sieci. Domena sieciowa, jakonajbardziej narażona na ataki, znajduje się w oddzielnej maszyniewirtualnej, o najniższych możliwych uprawnieniach. Aby jednak niezużywać niepotrzebnie miejsca na dysku na te wszystkie repliki maszynwirtualnych i nie komplikować kwestii aktualizacji, dzielą one zesobą ten sam system plików, zamontowany w trybie tylko do odczytu.Tak samo każda z aplikacji – np. przeglądarka czy edytor tekstu– też uruchamiana jest w oddzielnej maszynie wirtualnej. [img=r2b2-kde-three-domains-at-work]Z perspektywy użytkownika nie jest to jednak żadnym problemem.Application Viewer (menedżer widoku maszyn wirtualnych) dajeużytkownikowi złudzenie jednolitego pulpitu: aplikacje wyglądająnormalnie, jak na każdym innym desktopie KDE, ich okna zostająjedynie oznaczone kolorowymi belkami, tak by użytkownik wiedział, doktórej domeny zastosowań dana aplikacja należy.Podstawowym ograniczeniem Qubes OS-a było ograniczenie dolinuksowych aplikacji. Wersja Qubes R2 Beta 3, do której pobrania istosowania Rutkowska zachęca, mimo że wciąż nosi etykietkę „beta”,otwiera system ten na aplikacje działające na Windows 7. Wprowadzonedo systemu Windows Support Tools umożliwiają natywne ich uruchamianiew maszynach wirtualnych kontrolowanych przez Xena, tak samo, jakuruchamiane są aplikacje linuksowe. Application Viewer wyświetla je wkontekście pulpitu KDE, w „pokolorowanych” okienkach.Jedyne ograniczenia tego rozwiązania są natury kosmetycznej –widżety okien są zduplikowane (wewnętrzne Windows 7, zewnętrzne KDE),zaś przesuwanie okienek aplikacji Windows względem siebie nie jestrysowane dynamicznie. Poza tym maszyny wirtualne Windows działają ztaką samą wydajnością, jak maszyny z Linuksem, tak samo też obsługująintegrację ze schowkiem systemowym czy przeciąganiem plików. Tak samoteż nie duplikują one niepotrzebnie Windows – szablon systemujest współdzielony między nimi w trybie tylko do odczytu.[img=windows-seamless]Jak widać, Windows jest traktowany przez Qubes OS-a dośćbezceremonialnie. Jeśli zajmujący się licencjonowaniem pracownicyMicrosoftu przeczytaliby dokumentację Qubes OS-a, pewnie zrobiłobysię im w pierwszej chwili słabo. Joanna Rutkowska jednakniespecjalnie się tym przejmuje, zauważa jedynie, że w gestiiużytkownika jest sprawdzenie, czy jego licencja na Windows pozwala natego typu operacje. Podkreśla, że z technicznego punktu widzeniaWindows uruchomione jest tylko raz, w maszynie-szablonie.Zainstalowane tam pliki nie są kopiowane do innych maszyn, leczjedynie współdzielone z uruchomionymi instancjami aplikacji dlaWindows. Jeśli ktoś zaś ma tu jakieś wątpliwości, to niech idzie doprawnika.[img=win7-qubes-tools]Qubes OS R2 Beta 3 oprócz wsparcia dla Windows przynosi też inneatrakcje: większą kompatybilność sprzętową dzięki możliwościwykorzystania wielu wersji jądra Linuksa, wsparcie dla dynamicznejzmiany rozdzielczości dla aplikacji po podłączeniu drugiego monitoraczy projektora, możliwość automatycznego uruchamiania wybranychmaszyn wirtualnych, oraz spore ulepszenie mechanizmu kopiizapasowych, pozwalające teraz na tworzenie i odtwarzanie takich kopiidla niezaufanych maszyn wirtualnych – co pozwala np. zrobićkopię całego systemu na NAS, bez obaw o to, że ktoś mógłby daneprzejąć czy je zmodyfikować. Finalnie otrzymujemy sporo drobnychpoprawek.Przed wersją finalną R2 pojawić się ma jeszcze kandydat do wydania(RC), który przynieść ma drobne poprawki w interfejsie, dodanieniektórych dostępnych tylko z konsoli funkcji do wizualnego QubesManagera i prawdopodobnie aktualizację domyślnego szablonu Linuksa doFedory 20.ISO z najnowszą wersją Qubes OS-a znaleźć możecie tutaj.Informacje o tym, jak korzystać z aplikacji Windows 7 w systemieRutkowskiej znajdują się na wikiprojektu.