《企業網D1Net》9月10日訊
周一波蘭安全公司不可見事物實驗室(ITL)公布了Qubes 操作系統的第一個穩定版本,一個通過設置不同的權限來隔離虛擬機內的程序的,旨在提供更高級別的安全的開源的桌面操作系統。
不可見事物實驗室的領導者是其首席執行官喬安娜魯特克絲卡,喬安娜魯特克絲卡是一位因在低級別的系統安全領域中的工作而被熟知的安全研究人員,在過去三年中,她的領導的研究小組一直在開發Qubes 操作體統。自周一開始,可以從該項目的網站上下載1.0版的操作系統。
Qubes 操作系統遵循“安全隔離”的設計原則。可以配置在由用戶定義的不同的“安全域”內運行的應用程序,“安全域”是指實施單獨安全策略的輕量級的虛擬機(VM)。
例如,用戶可以在他們的個人領域,工作領域,網上銀行領域運行相同瀏覽器的不同實例,各個領域具有不同的權限和訪問不同數據。
這并沒有使瀏覽器變得更不容易受到已知的攻擊,但如果攻擊者妥協了的話,這樣可以限制他們的行為,。
周一魯特克絲卡在一篇博客文章中說:“你最喜愛的網頁瀏覽器的有一個假設的漏洞對一個Qubes虛擬機內運行的火狐瀏覽器是不兼容的,卻不妨礙同一個瀏覽器在正常的Linux上運行,”。“Qubes的不同之處在于,這個受到攻擊的瀏覽器可能只是供個人使用的,和你工作用的瀏覽器,和銀行使用瀏覽器是隔離的。”
系統可以在不同安全域之間復制文件和文本,但在執行這些操作時要求用戶的確認,以限制攻擊者用一個妥協性的域名可以做的攻擊。
用戶還可以創建所謂的“一次性虛擬機”打開來源不受信任的文件或執行其他可能會造成潛在安全風險一次性任務。
Qubes的安全模型有點類似于iOS或Android,操作系統將應用程序隔離在沙箱中,并要求用戶授予不同的權限。
然而,Qubes提供了更多的靈活性,并且盡可能多的不依賴它的開發者提供的安全性選項,。正因為如此,我們希望用戶能夠自己去采取安全決定,比如創建什么樣的安全域,做什么樣的限制,每個里面運行哪些應用程序。
用戶將如何利用Qubes的應用程序隔離功能是完全由他們決定的,魯特克絲卡說。“我知道對于某些用戶和某些使用方案來說,這可能是一個棘手的問題,但是,另一方面,這似乎是我們可以提供的最靈活和最強大的方法。”
魯特克絲卡說:“人們應該意識到這一事實,僅僅通過使用Qubes 操作系統,他們不會自動變得更安全– 而是他們將使用Qubes 操作系統的方法才能使安全性顯著的提高。”
Qubes是基于??Linux操作系統,X Window系統和Xen系統的管理程序- 虛擬機管理器。然而,開發商曾試圖限制可能有嚴重的安全漏洞的代碼的數量。
魯特克絲卡說,“在Qubes OS中,我們采取了切實可行的辦法,我們曾試圖去集中OS上所有的敏感部位,并讓他們變得合理的安全。”“當然,擺在首位的是我們試圖盡量減少這些受信任的部分,我想這是Qubes真正與眾不同的地方。”
這并不意味著保證Qubes是完全沒有安全漏洞的。事實上,在發展階段,項目工作的研究人員發現了三個關鍵的漏洞,該漏洞影響操作系統的安全性– 一個漏洞在他們寫自己的代碼中,兩個漏洞在英特爾的硬件上。
魯特克絲卡邀請安全社區去試圖破解Qubes,甚至在一頁中指出操作系統的關鍵代碼的位置。
因為它是基于Linux的,Qubes可以運行大部分的Linux應用程序。在未來,通過商業擴展,它甚至可能會支持在基于Windows的虛擬機上運行的Windows應用程序。
魯特克絲卡說“我們相信,Qubes 操作系統是一個合理安全的操作系統,”“其實當涉及到安全的桌面環境,我不知道目前市場上有任何其他類似接近的解決方案。”
京公網安備 11010502049343號