Qubes 1.0: Sicherer Desktop durch abgeschottete Zonen
Mit Qubes OS werden virtuelle Maschinen zum festen Bestandteil des Anwender-Alltags. FĂĽr jeden Zweck gibt es eine eigene, abgeschottete Zone. heise Security hat einen ersten Blick auf die gerade erschienene Version 1.0 geworfen.
- Ronald Eikenberg
Die Linux-Distribution Qubes OS geht in puncto Sicherheit neue Wege: Hier teilt man sein digitales Leben in Zonen ein, die in verschiedenen virtuellen Maschinen voneinander abgeschottet sind. Nach einer fast dreijährigen Entwicklungszeit ist Qubes nun in Version 1.0 verfügbar, wie die federführende Entwicklerin Joanna Rutkowska stolz verkündet. heise Security hat einen ersten Blick riskiert.
Installiert man das auf Fedora 17 basierende Qubes OS mit den Standardeinstellungen, findet man als Starthilfe eine Hand voll vorkonfigurierte Sicherheitszonen vor, die man ĂĽber den Programmstarter Kickoff erreicht. Sie heiĂźen unter anderem "banking", "personal", "untrusted", "work" und "DisposableVM".
Bei den Zonen (die Entwickler nennen sie "AppVMs") handelt es sich virtuelle Maschinen auf Basis von Xen. Damit das Schutzkonzept aufgeht, muss man sie dem Anwendungszweck entsprechend nutzen.
Will man etwa Online-Banking betreiben, startet man einen Firefox in der Banking-Zone, woraufhin das Fenster mit gut sichtbar mit einem grünen Rand umrundet wird. Für Facebook würde man eine weitere Firefox-Instanz in der Zone "personal" starten, wodurch sich ein gelb umrandetes Browserfenster öffnet. Zum allgemeinen Surfen öffnet man einen weiteren Firefox in "untrusted". Dieses Mal ist der Rahmen rot.
Anhand der (frei änderbaren) Rahmenfarben erkennt man leicht, in welcher Umgebung der Prozess läuft. Die verschiedenen Firefox-Instanzen sind abgeschottet voneinander – verirrt man sich mit dem Firefox aus der roten Zone etwa auf eine verseuchte Webseite, kann der dort lauernde Schadcode nicht auf die Online-Banking-Seite zugreifen, die man mit dem grün umrandeten Firefox geöffnet hat.
Erhält man in der blauen Arbeitszone eine PDF-Datei per Mail, kann man diese per Rechtsklick in einer Wegwerfumgebung ("disposableVM") starten, die auf Zuruf eigens für diesen Zweck eingerichtet und anschließend vernichtet wird. Auch der Dateiaustausch zwischen den Zonen läuft über einen Rechtsklick auf die Datei im innerhalb der Zone gestarteten Filemanager.
Jede Zone hat ihre eigene Zwischenablage. Will man zonenübergreifend kopieren und einfügen, soll man den Inhalt mit Strg+Shift+C in die globale Zwischenablage befördern können. Ein Klick auf das Ziel-Programm und ein anschließendes Strg+Shift+V soll dafür sorgen, dass der Inhalt von der globalen in die Zwischenablage der Zielzone übertragen wird. Im Test funktioniert das jedoch nicht. Weitere Bedienhinweise finden sich im Wiki.
Über den Qubes VM Manager kann man für jede Zone festlegen, wie viel Speicher die darin laufenden Prozesse insgesamt beanspruchen dürfen und individuelle Firewall-Regeln vorgeben. Auch das Anlegen und Löschen von VMs findet hier statt.
Die Entwickler haben die Menge an Code bewusst in einem ĂĽberschaubaren Rahmen gehalten, um "wenig Raum fĂĽr Bugs" zu lassen. Die GUI-Infrastruktur wurde laut FAQ mit gerade einmal 2.500 Zeilen C-Code realisiert.
Wer auf den Geschmack gekommen ist, sollte zunächst die Hardware-Kompatibilität überprüfen. Qubes OS setzt demnach eine 64-Bit-CPU und vier GByte RAM voraus, darüber hinaus raten die Entwickler zu einem Intel-Grafikchip. Von der Installation in einer virtuellen Maschine raten sie ab. Ein Versuch mit VMware scheiterte auch prompt mit einer Fehlermeldung.
Siehe dazu auch:
(rei)