Joanna Rutkowska: Qubes OS soll "einfach wie Ubuntu" werden
Wer ein speziell auf Sicherheit fokussiertes Betriebssystem wie Qubes OS verwendet, bewegt sich in der Regel in einem unsicheren Umfeld oder pflegt zumindest ein gesundes bis übertriebenes Maß an Misstrauen oder Paranoia. Für die Qubes-OS-Gründerin Joanna Rutkowska ist das Alltag. In ihrer Keynote auf der Black Hat Europe(öffnet im neuen Fenster) vergangene Woche erzählte die Hackerin, dass sie sämtliche Mikrofone aus ihrem iPhone entfernt hat und nur noch mit einem Bluetooth-Headset telefoniert. Der Grund: Sie will die potenzielle Angriffsfläche für das Abhören verringern, indem sie Technologien zweier verschiedener Hersteller verwendet.
Das Beispiel unterstrich ihr in der Keynote vorgestelltes Konzept: Security through Distrusting. In einem Sicherheitssystem einer externen Komponente zu vertrauen (Trust), sei keine gute Idee, weil das letztlich die Sicherheitsbemühungen torpediere. Kein Code sei 100 Prozent vertrauenswürdig, keine Infrastruktur laufe fehlerfrei. Das Trust-System der Industrie skaliere nicht und sei naiv, so Rutkowska.
Vertrauenswürdigkeit ist schwierig
Was sie anstrebe, sei ein vertrauenswürdiges System (Trustworthy), das in einem nicht-vertrauenswürdigen Umfeld eine hinreichend sichere Umgebung bieten könne. Dies wolle sie mit einer Aufteilung der Pflichten, mit Bereichsbildung und letztlich auch mit einem Plan B erreichen.
Zum ersten Punkt gehört nicht nur das erwähnte Aufteilen ihrer Mikrophone-Hardware, hier plädiert Rutkowska unter anderem für Multi-Signaturen, wie sie einige Cryptocoin-Wallets bereits verwenden. Dabei lässt sich eine Komponente erst dann entschlüsseln, wenn drei Personen ihre jeweiligen Schlüssel in den Hut werfen.
Ihre Ideen für einen zustandslosen Laptop(öffnet im neuen Fenster) (Stateless Systems) gehen in eine ähnliche Richtung: Hier lagern sämtliche Daten auf einer Komponente, alle anderen Komponenten des Laptops kehren jeweils in ihren Ursprungszustand zurück, eine Art permanenter Factory Reset also.
Die Bereichsbildung ist im Grunde das, was Qubes OS bereits praktiziert: dedizierte VMs mit unterschiedlichen Sicherheitsanforderungen. Läuft dann trotzdem mal etwas schief, hilft ein Backup-Plan, der es sicher ermöglicht, Qubes OS auf einem anderen Gerät zu verwenden, ohne die Malware einzuschleppen.
Von diesen theoretischen Überlegungen sollen natürlich auch die Qubes-Nutzer profitieren. Pläne dafür gibt es reichlich, insbesondere für Nutzer, die nicht dem eingangs erwähnten Typ entsprechen, wie die Qubes-OS-Gründerin Rutkowska im Gespräch mit Golem.de am Rande der Black Hat Europe verriet.
Neue und versteckte Funktionen für Qubes
Für die kommende Version 4.0 von Qubes haben die Entwickler den Kern des Systems komplett umgeschrieben, um eine neues Admin-API zu integrieren, aber auch, um das Betriebssystem von Xen als alleinigem Hypervisor zu befreien. Künftig soll sich Qubes OS wahlweise auch mit Containern und alternativen Hypervisoren wie KVM nutzen lassen, insgesamt also flexibler werden.
Das neu eingeführte Admin-API ermöglicht es Administratoren in Unternehmensumgebungen, die Qubes-Systeme über bestimmte Management-VMs aus der Ferne zu verwalten. Eine Besonderheit dabei ist, dass sie als nicht-privilegierte Admins arbeiten und so keinen Zugriff auf die Nutzerdaten erhalten. Ein Zugriff auf das Netzwerk in Dom0 ist für diese Trennung laut einem Blogpost zu den technischen Hintergründen(öffnet im neuen Fenster) hierfür nicht nötig.
Die Qubes-Version 4.1 soll eine komplett separate GUI-Domain in das System einziehen, die getrennt vom Admin-Bereich läuft. Zu den Vorteilen gehört dann, dass das Dom0-System kleiner und damit weniger angreifbar werden kann, zugleich lassen sich so theoretisch Angriffe über den Grafikstack erschweren oder gar verhindern und dabei aber auch die Wahlmöglichkeiten für die Nutzer der GUI-Domain erhöhen.
Änderungen für erweiterte Zielgruppe
Als aktuelle Zielgruppe für Qubes OS nennt Joanna Rutkowska im Gespräch vor allem Security-Enthusiasten. Das soll sich zukünftig ändern, auch dank des eingeführten Admin API. Künftig soll die Zielgruppe des Projekts auch Unternehmensnutzer umfassen, allen voran Admins und Entwickler, die als besonders beliebte Ziele für Angreifer gelten. Unternehmensumgebungen hätten laut Rutkowska zudem den enormen Vorteil, dass die Hardware in der Regel homogen ist, was im Privatbereich hingegen noch immer zu den größten Adaptionshindernissen für Qubes OS gehört, wie Rutkowska freimütig zugibt.
Doch auch für Privatnutzer will das Qubes-Team das Betriebssystem künftig attraktiver machen. Die Entwickler wollen es nach Vorstellung von Rutkowska so gestalten, dass es sich "so einfach bedienen lässt wie Ubuntu" , ohne aber die Sicherheit und die Komplexität zu reduzieren. Die Idee ist vielmehr, die zahlreichen Möglichkeiten vor normalen Nutzern zu verstecken und sie nur bei Bedarf Stück für Stück zu enthüllen. Eine weitgehende Automatisierung soll zugleich komplexe Konfigurationsaufgaben übernehmen.
Mit der Umsetzung dieser Pläne dürften die ungefähr 20 Beteiligten des Projekts einige Zeit beschäftigt sein. Langfristig sucht Qubes OS nach einem OEM-Partner für die erwähnten Stateless-Geräte mit vorinstalliertem Qubes OS. Interessierte Hersteller sollten allerdings einen langen Atem mitbringen: Eine Kooperation mit Purism scheiterte offenbar an unterschiedlichen Vorstellungen dazu, wie die Sicherheit in den verkauften Geräten umzusetzen sei. Und Sicherheit ist bei Qubes OS am Ende das, was zählt.