يقوم Qubes OS 1.0 بعزل البرامج داخل الأجهزة الظاهرية لزيادة الأمان

تم إصدار أول إصدار مستقر من نظام Qubes OS ، وهو نظام تشغيل سطح مكتب مفتوح المصدر مصمم لتوفير مستوى أعلى من الأمان من خلال عزل البرامج داخل الأجهزة الافتراضية بأذونات مختلفة. الاثنين من قبل شركة الأمن البولندية Invisible Things Lab (ITL).

فريق ITL بقيادة الرئيس التنفيذي جوانا Rutkowska ، وهو باحث أمن مشهورة لعملها في مجال أمن النظام على مستوى منخفض ، وقد تم تطوير نظام التشغيل Qubes لنظام التشغيل السابق ثلاث سنوات. منذ يوم الاثنين ، يمكن تنزيل الإصدار 1.0 من نظام التشغيل من موقع المشروع.

يتبع نظام Qubes OS مبدأ "الأمان حسب العزل". يمكن تكوين التطبيقات بحيث يتم تشغيلها داخل "نطاقات أمان" مختلفة يحددها المستخدم ويتم تنفيذها على هيئة أجهزة افتراضية خفيفة الوزن (VMs) مع سياسات أمان منفصلة.

[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows]

على سبيل المثال ، يمكن للمستخدم تشغيل مثيلات منفصلة لنفس المتصفح في مجاله الشخصي ، ومجال العمل ، والمجال المصرفي عبر الإنترنت ، وكل منها له أذونات مختلفة ، والوصول إلى بيانات مختلفة.

وهذا لا يجعل المتصفح أقل عرضة للإصابة به. يستغل ، ولكن يمكن أن يحد ما يمكن أن يفعله المهاجمون إذا قاموا بالتنازل عن ذلك.

"إن استغلالًا افتراضيًا لمتصفح الويب المفضل لديك سيعمل ضد تشغيل فايرفوكس داخل أحد أجهزة VQs Qubes فقط بالإضافة إلى أنه يعمل مع نفس المتصفح الذي يعمل على لينكس العادي "، وقال Rutkowska الاثنين في بلوق وظيفة. "الاختلاف الذي يحدثه Qubes ، هو أن هذا المتصفح المهاجم قد يكون مجرد متصفح خاص بك للاستخدام الشخصي فقط وهو معزول عن متصفحك المستخدم للعمل فقط ، والمتصفح فقط للاستخدام المصرفي. "

يمكن نسخ الملفات والنص بين مجالات أمان مختلفة ، ولكن تم تنفيذ هذه العمليات بطريقة تتطلب تأكيد المستخدم من أجل تحديد ما يمكن أن يفعله المهاجم بنطاق مخترق.

يمكن للمستخدمين أيضًا إنشاء تسمى "VMs القابل للتصرف" لفتح الملفات من مصادر غير موثوقة أو تنفيذ مهام أخرى لمرة واحدة والتي قد تشكل مخاطر أمنية.

نموذج أمان Qubes يشبه إلى حد ما نظام iOS أو Android ، وهو نظام يعمل أيضًا على عزل التطبيقات داخل وضع الحماية واطلب من المستخدمين منحهم أذونات مختلفة.

ومع ذلك ، توفر Qubes المزيد من المرونة ولا تعتمد كثيرًا على الخيارات الأمنية التي يضعها مطوروها. ولهذا السبب ، يتوقع من المستخدمين أن يكونوا قادرين على اتخاذ القرارات الأمنية بمفردهم ، مثل ما هي المجالات الأمنية التي يجب إنشاؤها ، وما هي القيود التي يجب تطبيقها عليهم وما هي التطبيقات التي سيتم تشغيلها داخل كل منهم.

كيف سيستخدم المستخدمون وقال Rutkowska الاستفادة من قدرات العزل تطبيق Qubes هو تماما متروك لهم. "أدرك أن هذا قد يكون جزءًا صعبًا لبعض المستخدمين وبعض سيناريوهات الاستخدام ، ولكن من ناحية أخرى ، يبدو أن هذا هو النهج الأكثر مرونة وقوة الذي يمكننا توفيره."

"يجب على الناس إدراك ذلك بمجرد الحقيقة من استخدام نظام Qubes OS ، لن تصبح أكثر أمانًا تلقائيًا - إنها الطريقة التي ستستخدمها قد تجعلها أكثر أمانًا بشكل كبير.

يقوم كيوبز بالاستناد إلى نظام لينوكس إكس ، ونوافذ X ، و XEN hypervisor - مدير الجهاز الظاهري. ومع ذلك ، فقد حاول المطورون الحد من كمية التعليمة البرمجية التي قد تحتوي على ثغرات أمنية خطيرة.

"في نظام التشغيل Qubes ، اتبعنا نهجًا عمليًا وحاولنا التركيز على كل تلك الأجزاء الحساسة من نظام التشغيل ، ولجعلها آمنة بشكل معقول "، وقال Rutkowska. "وبطبيعة الحال ، في المقام الأول ، حاولنا تقليل حجم تلك الأجزاء الموثوقة ، والتي يبرز فيها Qubes حقًا ، أعتقد ذلك."

هذا لا يعني أن Qubes مضمونة في أن تكون خالية من الأمان العيوب. في الواقع ، خلال مرحلة التطوير ، وجد الباحثون الذين يعملون في المشروع ثلاثة نقاط ضعف حرجة يمكن أن تؤثر على أمن نظام التشغيل - واحد في الكود الذي كتبوه بأنفسهم واثنان في الأجهزة من إنتل.

دعا Rutkowska المجتمع الأمني ​​في محاولة لكسر Qubes وحتى أشار إلى صفحة تسرد فيها رمز نظام التشغيل الحرجة.

لأنه يعتمد على لينكس ، Qubes يمكن تشغيل معظم تطبيقات Linux. في المستقبل ، قد يدعم حتى تطبيقات Windows التي تعمل في الأجهزة الظاهرية المستندة إلى Windows من خلال امتداد تجاري.

"نحن نعتقد أن نظام Qubes OS يمثل نظام تشغيل آمن بشكل معقول" ، كما قال روتكوسكا. "في الواقع ، لست على علم بأي حل آخر حالي في السوق قد يقترب عندما يتعلق الأمر بتأمين بيئة سطح المكتب."