AA-123RF-41799621-thamkc-123RF.jpg

© thamkc, 123RF

Subgraph OS setzt auf Sicherheit

Mehrfach gesichert

Subgraph OS will umfassende Sicherheit für nicht technikaffine Anwender realisieren. Schon die jetzt vorliegende Alpha-Version macht neugierig auf mehr.

Manche Mitmenschen müssen aus privaten oder beruflichen Gründen sicherstellen, dass die von ihnen genutzten Betriebssysteme und Anwendungen so sicher wie möglich arbeiten, denn im Extremfall könnte ihr Leben davon abhängen. Unter diesem Damoklesschwert leben und arbeiten unter anderem Aktivisten, Blogger, Journalisten und Dissidenten. Aber auch weniger gefährdete Anwender setzen gern speziell abgesicherte Betriebssysteme zum Schutz ihrer Privatsphäre ein. Zu dafür geeigneten Systemen zählen unter anderem das minimale Alpine [1], Tails [2], Qubes [3], Whonix [4] und, neu hinzugekommen, das derzeit in einer ersten Alpha-Version vorliegende Subgraph OS [5].

Konkurrenz und Ansporn

Die auf Debian basierende, vornehmlich für den Live-Betrieb konzipierte Distribution Tails will die Anonymität der Nutzer schützen. Dazu leitet das System jede ausgehende Verbindung durch das Tor-Netzwerk, direkte Verbindungen werden standardmäßig blockiert. Qubes und Whonix betreiben bei Sicherheit und Anonymisierung wesentlich mehr Aufwand.

Whonix basiert ebenfalls auf Debian und versucht, über zwei unabhängige Systemteile ein möglichst hohes Level an Sicherheit zu erreichen: Während sich das Gateway um den Datenaustausch mit der Außenwelt über das Tor-Netzwerk kümmert, dient die Workstation als Benutzerinterface. Sowohl Workstation als auch Gateway laufen als getrennte virtuelle Maschinen in Virtualbox.

Auch Qubes bedient sich der Virtualisierung, setzt dabei aber auf Xen als Hypervisor. Die Architektur des hinsichtlich der unterstützten Hardware recht wählerischen Qubes sieht vor, Anwendungen in virtuelle Xen-Maschinen zu sperren. Diese Käfige nehmen mehrere mit gleichen Rechten ausgestattete Applikationen auf und isolieren sie gegenüber anderen VMs und dem Grundsystem.

Die Qubes-Entwicklerin Joanna Rutkowska, die das Sicherheitsunternehmen Invisible Things Lab [6] betreibt, beschreibt Qubes als "halbwegs sicheres System". Diese Beschreibung wirft ein bezeichnendes Licht auf die Einschätzung von Experten, wie sicher ein Betriebssystem mit Verbindung zum Internet überhaupt operieren kann. Deshalb meinen wir, wenn wir in diesem Artikel von "sicher" sprechen, stets die relativ erreichbare Sicherheit. Absolute Sicherheit gibt es weder bei Betriebssystemen noch den Anwendungen – erst recht nicht, wenn diese Zugang zum Internet besitzen.

Der Herausforderer

Vor wenigen Wochen wurde in Berlin während des Logan-Symposiums [7] mit Subgraph OS (SGOS) ein weiteres Betriebssystem auf der Basis von Debian "Testing" vorgestellt, das sich der Sicherheit, der Anonymisierung und dem Datenschutz verschreibt. Als Minimalanspruch formulieren die Entwickler, ein System wie Tails zu bieten – allerdings auf Festplatteninstallation ausgelegt, einfach zu handhaben und auf möglichst viel verschiedener Hardware lauffähig. Bereits die jetzt verfügbare Alpha-Version geht aber weit über das auf Portabilität ausgelegte Tails hinaus.

Vier Entwickler des im kanadischen Montreal angesiedelten Sicherheitsunternehmens Subgraph [8] realisieren unter der Leitung von David Mirza Ahmad ein System, das bei der Absicherung über Tails hinausgeht. Dabei versuchen sie jedoch, die Komplexität von Qubes oder Whonix zu vermeiden. Wenden sich diese eher an technisch versierte Anwender, soll SGOS auch dem technisch eher unbedarften Zeitgenossen ein entscheidendes Plus an Sicherheit und Privatsphäre bieten. Dabei sollen sowohl Kriminelle als auch diverse Staatsdienste außen vor bleiben. Der Open Technology Fund [9] (OTF) unterstützt dabei das ausschließlich auf Open Source setzende Unternehmen mit 200 000 US-Dollar. Der OTF erhält seinerseits Gelder vom US-Außenministerium zur Unterstützung von Open-Source-Projekten. Auch Tails und Qubes bezogen bereits Unterstützung aus diesem Topf.

Um ihre Ziele zu erreichen, setzen die Entwickler zum einen auf das Umleiten des Datenverkehrs über das Anonymisierungsnetzwerk Tor sowie künftig auf einen eigenen Mailclient und zum anderen auf das Härten des Kernels mit Grsecurity- und PAX-Patches [10]. Um mögliche Angriffsvektoren weiter zu minimieren, speckten die Programmierer den Kernel um nicht benötigte Protokolle und Dienste ab.

Ein Sandbox-System namens Oz sperrt Desktop-Anwendungen in isolierte Boxen, sodass – sollte eine Anwendung doch einmal kompromittiert werden – der Rest des Systems davon verschont bleibt und weiter sicher läuft (Abbildung 1). Eine Application-Firewall alarmiert den Benutzer grafisch, sobald ein unbekanntes Programm Zugriff auf das Internet verlangt.

Abbildung 1: Aufbau von Subgraph OS im Schaubild (Quelle: Subgraph).

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 6 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Neues auf den Heft-DVDs
    Nur mit dem optimalen System und der richtigen Software nutzen Sie das volle Potenzial Ihres Rechners. Mit der Heft-DVD erhalten Sie nicht nur topaktuelle Distributionen, sondern auch die passenden Programme zu den Artikeln.
  • Qubes R3.1 veröffentlicht
    Die Distribution Qubes erhöht die Sicherheit, indem sie Anwendungen in einzelne virtuelle Maschinen sperrt. Jetzt haben die Entwickler die Version R3.1 freigegeben, die zusätzliche Hardwarekomponenten unterstützt und für Anwender ein paar interessante Neuerungen bereithält.
  • Sauber getrennt
    Qubes OS trennt Anwendungen in durch Xen bereitgestellten virtuellen Maschinen voneinander. So entstehen abgeschottete Sicherheitszonen.
  • Bit für Bit
    Die Ansprüche in Sachen Sicherheit steigen – auch für die Pakete in den Archiven der Distributionen. Debians Reproducible-Builds-Projekt versucht, dem gerecht zu werden.
  • SparkyLinux 4.1, Qubes 3 und NixOS 15.09
    Zum Wochenausklang sind gleich drei Distributionen in neuen Versionen erschienen. SparkyLinux aktualisiert vor allem die enthaltene Software, Qubes enthält einen neuen Hypervisor Abstraction Layer und NixOS verbessert den hauseigenen Paketmanager.
Kommentare

Infos zur Publikation

LU 12/2017: Perfekte Videos

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Huawei
Pit Hampelmann, 13.12.2017 11:35, 1 Antworten
Welches Smartphone ist für euch momentan das beste? Sehe ja die Huawei gerade ganz weit vorne. Bi...
Fernstudium Informatik
Joe Cole, 12.12.2017 10:36, 2 Antworten
Hallo! habe früher als ich 13 Jahre angefangen mit HTML und später Java zu programmieren. Weit...
Installation Linux mint auf stick
Reiner Schulz, 10.12.2017 17:34, 3 Antworten
Hallo, ich hab ein ISO-image mit Linux Mint auf einem Stick untergebracht Jetzt kann ich auch...
Canon Maxify 2750 oder ähnlicher Drucker
Hannes Richert, 05.12.2017 20:14, 4 Antworten
Hallo, leider hat Canon mich weiterverwiesen, weil sie Linux nicht supporten.. deshalb hier die...
Ubuntu Server
Steffen Seidler, 05.12.2017 12:10, 1 Antworten
Hallo! Hat jemand eine gute Anleitung für mich, wie ich Ubuntu Server einrichte? Habe bisher...