Thema: Sicherheit durch Virtualisierung

[SiLæncer]

Für jede Aufgabe ein eigenes virtuelles System -- das ist die Kurzformel für das Sicherheitskonzept von Qubes. Selbst wenn das eben ausprobierte Spiel sich als Trojanisches Pferd entpuppt oder ein Angreifer einen Fehler im WLAN-Treiber ausnutzt,  besteht keine Gefahr für die Zugangsdaten zum Online-Banking. Denn die sind sicher in der Banking-VM verwahrt, in der sonst nichts anderes läuft.

"Wir werden nicht alle Löcher in der von uns benutzten Software stopfen können oder jedes Schadprogramm aufspüren. Also brauchen wir einen neuen Ansatz, um sichere Systeme zu bauen", erklärt die für ihre Forschung im Bereich Rootkits bekannte Sicherheitsexpertin Joanna "Bluepill" Rutkowska die Motivation für das Projekt.

Dieser Ansatz besteht aus der weitgehenden Isolierung verschiedener Aufgaben durch leichtgewichtige virtuelle Maschinen (VMs) auf einem physischen PC. Die technische Basis dafür liefern bestehende Open-Source-Projekte wie Xen, Linux und das X Window System, die Joanna Rutkowska und ihr Kollege Rafal Wojtczuk unter anderem mit einer sicheren, grafischen Oberfläche versehen haben. Sie soll auch Copy und Paste zwischen den VMs ermöglichen.

Derzeit ist das Open-Source-Projekt noch in einem frühen Alpha-Stadium, das nicht für den Produktionseinsatz geeignet ist. Mit einer stabilen Version rechnet Rutkowska gegen Ende des Jahres. Qubes soll auch kostenlos und offen bleiben, Geld sollen kommerzielle Mehrwertdienste auf Qubes-Basis einbringen.

Siehe dazu auch:

    * Qubes OS Architecture (PDF), von Joanna Rutkowska und Rafal Wojtczuk

Quelle : www.heise.de

[SiLæncer]

Invisible Things Lab (ITL) hat eine Betaversion von Qubes 1.0 veröffentlicht, einem Desktopbetriebssystem, das in erster Linie auf hohe Sicherheit ausgelegt ist. Verantwortlich ist die Rootkit-Expertin Joanna Rutkowska.

Qubes ist eine Art Xen-Distribution, bei der Programme sicher in einzelnen, strikt voneinander getrennten virtuellen Maschinen laufen. Durch die strikte Trennung soll aus den virtuellen Maschinen kein Schadcode auf das System gelangen. Mittels Sicherheitsstufen können die Zugriffe der virtuellen Maschinen untereinander reguliert werden.

Qubes setzt dabei auf quelloffene Software, als Hypervisor ist Xen vorgesehen, für den Betrieb einer Applikation mit grafischer Oberfläche soll in den einzelnen virtuellen Maschinen ein Mini-Linux mit einem angepassten X-Server laufen. Selbst Netzwerktreiber könnten in den abgeschotteten VMs betrieben werden. Andere Anwendungsmöglichkeiten wären einzelne VMs mit Browsern für Onlineshopping oder Banktransaktionen. Jede VM kann mit verschiedenen Sicherheitsstufen versehen werden.

Mittlerweile liegt Qubes in einer ersten Betaversion vor, samt Installer. Zudem bietet die Beta einen verbesserten Sharing-Mechanismus für Template, so dass Service-VMs auf einer allgemeinen Vorlage basieren können. Damit sollen sich leicht viele Netz- und Proxy-VMs anlegen lassen und Template-Upgrades lassen sich durchführen, ohne dass alle VMs neu gestartet werden müssen.

Zudem gibt es Standalone VMs, die vor allem für das Entwickeln oder Installieren von vertrauenswürdiger Software gedacht sind. Auch wurden einfach zu nutzende Firewall-VMs integriert. Zudem integriert Qubes nun Tray-Icons verschiedener VMs nahtlos. Das Kopieren von Dateien zwischen Sicherheitsdomains wurde neu geschrieben und soll nun einfacher und sicherer sein.

Das Standard-Template von Qubes basiert auf der 64-Bit-Version von Fedora 14 und es gibt einen fast vollständigen User Guide.

Qubes kann auf einen USB-Stick installiert werden und soll bereits jetzt recht stabil sein, wie Joanna Rutkowska in einem Blogeintrag schreibt. Bevor aber Qubes 1.0 veröffentlicht wird, soll das Userinterface noch weiter verbessert werden. Daher soll in etwa zwei Monaten noch mindestens eine zweite Beta von Qubes erscheinen. Diese soll dann auch mit einer aktualisierten Xen-Version und einem neueren Kernel für die Dom0 ausgestattet werden. Die Finalversion von Qubes 1.0 soll im Sommer 2011 erscheinen.

Nach Veröffentlichung von Qubes 1.0 soll die Entwicklung zweigeteilt werden: In einem kommerziellen Entwicklungszweig soll Qubes 1.0 mit Erweiterungen versehen werden. Angedacht ist die Unterstützung Windows-basierter Domains (AppVMs), so dass auch Windows-Applikationen unter Qubes genutzt werden können.

Die Entwicklung im Open-Source-Zweig soll sich der Implementierung weiterer "revolutionärer Architekturaspekte und Funktionen" widmen, beispielsweise die Einbettung von nicht vertrauenswürdigem Speicherplatz, sicheres GPU-Multiplexing und vertrauenswürdiges Booten. Die Entwicklung soll letztendlich zu Qubes 2.0 führen, das 2012 oder 2013 veröffentlicht werden soll.

Die Beta 1 von Qubes 1.0 steht unter qubes-os.org zum Download bereit.

Quelle : www.golem.de

[SiLæncer]

Die Linux-Distribution Qubes OS geht in puncto Sicherheit neue Wege: Hier teilt man sein digitales Leben in Zonen ein, die in verschiedenen virtuellen Maschinen voneinander abgeschottet sind. Nach einer fast dreijährigen Entwicklungszeit ist Qubes nun in Version 1.0 verfügbar, wie die federführende Entwicklerin Joanna Rutkowska stolz verkündet. heise Security hat einen ersten Blick riskiert.

Installiert man das auf Fedora 17 basierende Qubes OS mit den Standardeinstellungen, findet man als Starthilfe eine Hand voll vorkonfigurierte Sicherheitszonen vor, die man über den Programmstarter Kickoff erreicht. Sie heißen unter anderem "banking", "personal", "untrusted", "work" und "DisposableVM".

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Die finale Version von Qubes 3.0 ist da. Unter der Haube haben die Entwickler vor allem am Hypervisor geschraubt. Das Kernelement des Systems, die virtuellen Maschinen, sollen so noch effizienter zu handhaben sein.

Ab sofort können Interessierte die finale 3.0-Version der Linux-Distribution Qubes OS herunterladen. Bei dem System steht die Sicherheit im Vordergrund. Dafür stellt Qubes verschiedene Sicherheitszonen zur Auswahl; diese basieren auf virtuellen Maschinen (VM). So kann man etwa in einer Banking-Zone Überweisungen erledigen und sich in der Personal-Zone bei Facebook umschauen. Dank einiger Optimierungen soll das jetzt noch besser von der Hand gehen.

Neuerdings bauen die Entwickler auf einen sogenannten Hypervisor Abstraction Layer (HAL). Dadurch soll es in naher Zukunft möglich sein, den zugrundeliegenden Hypervisor problemlos zu wechseln. Zudem haben die Entwickler Xen auf Version 4.4 aktualisiert, was neben mehr Hardware-Kompatibilität auch die Performance steigern soll. Außerdem unterstützen die VMs von Qubes 3.0 den Entwicklern zufolge nun auch Debian- und Whonix-Templates.
Ausblick auf Version 3.1

Qubes 3.1 soll das Booten über UEFI/EFI unterstützen. Zudem ist eine Live-Version zum booten von einem USB-Stick angekündigt. Weitere vorkonfigurierte VMs, etwa für USB-Sandboxing, soll Qubes noch flexibler machen. Das Team plant den ersten Release Candidate Ende Oktober zu veröffentlichen.

2016 wollen die Entwickler Qubes vor allem zugänglicher machen und am Interface schrauben.

Quelle : www.heise.de