Security-Betriebssystem Qubes OS im Test
Qubes OS schottet Programme voneinander ab – ein großer Sicherheitsgewinn gegenüber anderen Betriebssystemen. Allerdings muss man bei der Nutzung umdenken.
(Bild: Pasuwan/shutterstock.com)
- Knut von Walter
"Wenn Sie Ihre Security ernst nehmen, dann ist Qubes OS das beste verfügbare Betriebssystem", meint Edward Snowden, der das System nach eigenen Angaben täglich einsetzt. Das Projekt selbst bezeichnet sich bescheiden nur als "ziemlich sicheres" Betriebssystem, obwohl es das Thema Sicherheit deutlich radikaler als andere Betriebssysteme angeht. Vornehmlich geschieht das, indem Qubes OS Programme voneinander abschottet. Angreifer, die ein Programm kapern, stecken dann in einem isolierten Bereich fest und können den Rest des Systems nicht übernehmen.
Das System nutzt den Hypervisor Xen, um damit "Qubes" (von "cube", also Würfel), bereitzustellen – voneinander isolierte virtuelle Maschinen (VM), auf denen in der Regel Linux-Distributionen laufen. Alle Anwendungen – vom Webbrowser bis zur Desktopumgebung – laufen voneinander getrennt in diesen Qubes, von denen es eine ganze Reihe gibt.
Die Hardwareanforderungen von Qubes OS sind infolgedessen wenig bescheiden: Der Prozessor muss diverse Virtualisierungsfunktionen bieten und die Entwickler raten zu 16 Gigabyte RAM oder mehr. Details und explizit empfohlene Hardware steht in der Qubes-OS-Dokumentation.
Nach der Installation von Qubes OS, mittels des von Fedora bekannten Installers Anaconda, merkt man von diesem ungewöhnlichen Unterbau erst einmal nichts und wird von einem Xfce-Desktop begrüßt. Wer aber Anwendungen startet, merkt, dass sie im Menü nach Qubes gruppiert sind. Die erste Anwendung eines Qubes zu öffnen dauert länger, weil erst der Qube selbst starten muss.
Qubes OS bietet eine Reihe verschiedener Qube-Arten: Programme laufen üblicherweise in App-Qubes, die von Templates (Vorlagen) abgeleitet werden, ebenfalls eine Art von Qube.
Daneben gibt es Disposables: Qubes für einzelne Programmaufrufe, die danach zerstört werden. Außerdem bietet Qubes OS noch Standalones. Das sind im Prinzip klassische VMs, in die man ein Betriebssystem seiner Wahl installieren kann.
Darüber hinaus gibt es noch Service-Qubes, die zum Beispiel Hardware oder die Firewall verwalten und vom Rest des Systems abschotten. Der zentrale Admin-Qube namens dom0 kontrolliert alles und beherbergt unter anderem die Desktopumgebung. dom0 ist das Allerheiligste des Systems. Sollten Angreifer oder Malware dorthin gelangen, hätten sie Zugriff auf das gesamte System.
Anwendungen aus verschiedenen Würfeln sind zwar nebeneinander zu sehen, können sich aber nicht gegenseitig beeinflussen. Ihre Fenster haben verschiedenfarbige Ränder, die anzeigen, in welchem Qube eine Anwendung läuft, und die Sicherheitsstufen definieren: Rot für Anwendungen oder Daten, denen man nicht vertraut, grün für das Gegenteil, orange liegt dazwischen und so weiter.
Viele VMs – ein OS
Qubes OS enthält außer den Rahmenfarben zahlreiche weitere Helferlein, um die Arbeit mit so einem VM-Zoo praktikabel zu machen. Zentrale Anlaufstelle ist der Qube-Manager, den man im App-Menü unter "Qubes Tools" findet. Der Manager listet alle existierenden Würfel auf und erlaubt, Qubes anzulegen, zu löschen, zu konfigurieren, zu starten et cetera. Wie immer bei Qubes OS gibt es alternativ auch Kommandozeilenbefehle, etwa qvm-ls, qvm-create oder qvm-remove.
Der Manager zeigt auch den Netzwerkzugang von Würfeln an. Programme haben nur dann Zugriff auf das Internet, wenn der Qube, in dem sie laufen, eine sogenannte NetVM hat (auch "Net-Qube" genannt). Standardmäßig ist das der Service-Qube "sys-firewall", der die Firewall beherbergt und selbst wiederum den Service-Qube "sys-net" als NetVM nutzt. Erst sys-net hat Zugriff auf die Netzwerkhardware. Diese Konstruktion schränkt die Angriffsoberfläche erheblich ein. Trotzdem betreibt man Anwendungen, die keinen Internetzugriff benötigen, sicherheitshalber in Würfeln ohne NetVM.
Mit Mikrofonen und USB-Geräten verfährt Qubes OS ähnlich: Um diese Geräte kümmert sich ein Service-Qube, normale Würfel haben standardmäßig keinen Gerätezugriff. Über ein Icon im System-Tray reicht man einzelne Geräte nach Gusto an Qubes durch. USB-Speichermedien kann man komplett oder nur in einzelnen Partitionen an Qubes weiterreichen. Im Test klappte das, allerdings mussten wir die durchgereichten Geräte manuell mounten. Auf Mikrofone können auch mehrere Qubes gleichzeitig zugreifen, was uns aber nicht über die GUI, sondern nur mit dem Kommandozeilen-Tool qvm-device gelang.
Qubes, in denen man Programme ausführt, bezeichnet das System als App-Qubes. Jeder App-Qube hat ein Template, ein besonderer Würfel, von dem sich der Inhalt des App-Qubes ableitet. Technisch geschieht das über geteilte Root-Dateisysteme; im Qube-Manager sieht man, von welchem Template ein App-Qube abstammt. Änderungen an einem Template beziehen sich auf alle davon abgeleiteten Würfel: Installiert man im Template neue Software oder aktualisiert die vorhandene, bringt das auch alle verwandten App-Qubes auf den neuesten Stand.
Für die Neuinstallation einer Software startet man ein Terminal im Template und installiert damit die gewünschte Software; wie genau das geht, hängt davon ab, welches Betriebssystem das Template nutzt. Üblich sind Fedora und Debian Linux, sodass die Installation etwa per sudo dnf install <Paketname> erfolgt. Anschließend stoppt man das Template und startet die darauf aufbauenden App-Qubes neu. Um das frisch installierte Programm bequem über das App-Menü des Systems aufrufen zu können, muss man es noch im Reiter "Applications" in den Einstellungen der gewünschten App-Qubes auswählen. Darauf sollte man ohnehin einen Blick werfen, viel Software ist bereits vorinstalliert, aber nicht im App-Menü vermerkt.
Das System aktuell zu halten ist einfach, Qubes OS bringt einen grafischen Updater mit, der Admin-, Template- und Standalone-Qubes aktualisiert.
Datenweitergabe
Die Abschottung von Programmen ist das zentrale Sicherheitsfeature von Qubes OS. Beim normalen Arbeiten will man aber in der Regel Daten zwischen Programmen austauschen: Ein Passwort soll etwa aus dem sicheren "vault"-Qube kopiert und in einem Browser eingefügt werden, der im "untrusted"-Qube läuft. Oder man will ein per Mail empfangenes PDF mit dem PDF-Viewer eines anderen Qubes betrachten.
Das klappt, ohne die grundsätzliche Sicherheitstrennung einzureißen: Zum Copy-&-Pasten zwischen Qubes kopiert man etwas zunächst wie gewöhnlich, etwa per Strg+C. Direkt im Anschluss drückt man Strg+Umschalt+C, um den Inhalt der Zwischenablage des Würfels in die Inter-Qube-Zwischenablage zu kopieren. Anschließend wechselt man zur Ziel-App und drückt Strg+Umschalt+V, um die Daten aus der Inter-Qube-Zwischenablage in die Zwischenablage des Ziel-Würfels einzufügen. Danach fügt ein Druck auf Strg+V den Inhalt normal ein. Was sich kompliziert anhört, ist in der Praxis durchaus einfach und schnell, wenn man sich daran gewöhnt hat. Gleichzeitig eliminiert Qubes OS dadurch die Zwischenablage als Datenschleuder, auf die jedes Programm Zugriff hat.
Auch für Dateien bietet Qubes OS einen Inter-Qube-Austauschmechanismus: Das Kontextmenü des Dateimanagers bietet Optionen wie "Copy To Other AppVM …". Im erscheinenden Fenster wählt man den Ziel-Würfel; dort taucht die Datei anschließend im Nutzerverzeichnis unter QubesIncoming/<Quell-Würfel>/ auf. Andere Würfel haben keinen Zugriff auf die Datei und durch das feste Ziel kann der Mechanismus auch keine beliebigen Zieldateien überschreiben.
Trotzdem sollte man Vorsicht walten lassen, wenn man Dateien aus weniger vertrauenswürdigen Qubes in vertrauenswürdigere übernimmt. Zum Betrachten oder Weiterverarbeiten unsicherer Dateien, wie zum Beispiel von verdächtigen E-Mail-Anhängen, gibt es ohnehin einen besseren Weg: "Disposables". Über das Kontextmenü des Dateimanagers (oder den Befehl qvm-open-in-dvm) startet man die Standardanwendung für einen Dateityp in einem Wegwerf-Qube: Schließt man die Anwendung wieder, wird der Würfel automatisch gelöscht. Änderungen an der betroffenen Datei bleiben aber erhalten, sodass man mit Disposables verdächtige Dateien betrachten und bearbeiten kann, ohne dass eventueller Schadcode das System kompromittiert. Qubes OS bekämpft damit einen Haupt-Angriffsvektor für Cyberattacken effektiv.
Fazit
Qubes OS bietet ein Sicherheitsniveau, das sogar den Anforderungen von NSA-Whistleblowern genügt – da hält kaum ein anderes Betriebssystem mit. Allerdings unterscheidet sich die Bedienung trotz aller Helferlein vielfach vom Gewohnten und es ist einiges an Zeit und Mühe nötig, bevor man mit Qubes OS produktiv arbeitet.
Wer tiefer einsteigen will, bringt am besten Linux-Erfahrung mit, sollte nicht vor der Kommandozeile zurückschrecken – die bei vielen Konfigurationsänderungen unumgänglich ist – und Englisch beherrschen: Die gute Dokumentation und das hervorragende offizielle Forum sind englischsprachig.
Die Mühe lohnt sich: Qubes OS bietet noch zahlreiche weitere Features, sowohl für mehr Sicherheit als auch mehr Komfort. Zum Beispiel unterstützt die Community Qubes mit anderen Linux-Distributionen, unter anderem Whonix, um damit Netzwerkverkehr über das anonymisierende Tor-Netzwerk zu leiten. Standalone-Qubes können außerdem auch Windows beherbergen, sodass man mit Qubes OS nicht auf Linux-Programme beschränkt ist.
| Qubes OS | |
| Betriebssystem auf Xen-Basis | |
| Hersteller, URL | Qubes OS Project, qubes-os.org / Invisible Things Lab, invisiblethingslab.com |
| Lizenz | Open Source (GPLv2 und andere) |
| Preis | kostenlos |
(syt)
