Abo
  • Services:
Anzeige
David Mirza Ahmad ist Chefentwickler von Subgraph OS.
David Mirza Ahmad ist Chefentwickler von Subgraph OS. (Bild: Hauke Gierow/Golem.de)

Sandboxing per Namespace-Restriktion

Der eigentliche Clou von Subgraph aber ist ein selbst entwickeltes Sandboxing-Konzept, das auf dem ebenfalls selbst entwickelten Wrapper Oz basiert. "Ein normales Linux-Programm hat rund 300 Schnittstellen, die System Calls, um mit dem Kernel zu kommunizieren", sagt Ahmad. Darunter seien aber zahlreiche Berechtigungen aktiviert, die zur Ausführung bestimmter Programme nicht notwendig seien - und so eine unnötige Angriffsfläche böten. Der PDF-Viewer brauche zum Beispiel in der Regel keinen Zugriff auf die Audioschnittstellen, selbst wenn der PDF-Standard entsprechende Funktionen unterstütze.

Anzeige

Öffnet der Nutzer ein einzelnes PDF, sei es außerdem nicht notwendig, dass der PDF-Viewer Schreibrechte für das gesamte Home-Verzeichnis bekomme, sagt Ahmad. Diese Berechtigungen beschränkt Subgraph auf ein jeweils sinnvolles Maß. In der derzeit vorliegenden Alphaversion sind entsprechende Konfigurationen für eine Reihe von Applikationen implementiert: der Tor-Browser, das Chat-Programm Coy, Libreoffice, VLC, der Dateimanager Nautilus und der Mailclient Icedove. Eine detaillierte Analyse der Konzepte hinter Oz werden wir zu einem späteren Zeitpunkt vornehmen.

Abhilfe gegen Ransomware

Nach Aussage der Entwickler könnte das Sandboxing-Konzept Angriffe mit Ransomware verhindern, wenn mit Malware infizierte Dokumente mit einem Programm in der Sandbox geöffnet werden. Ransomware gibt es nicht mehr nur für Windows, wie aktuelle Beispiele zeigen. Die jüngst gefundene Mac-OS-Ransomware Keeranger etwa basiert auf dem Linux-Trojaner Linux.Encoder.1.

  • Subgraph-Entwickler David Mirza Ahmad (Bild: Hauke Gierow/Golem.de)
  • Der Anmeldebildschirm mit Standard-Benutzernamen (Screenshot: Golem.de)
  • Als Mailclient kommt derzeit noch Icedove zum Einsatz. (Screenshot Golem.de)
  • Die Standard-Gnome-Shell. Rechts oben befinden sich der Tor-Indikator und das Oz-Menü. (Screenshot: Golem.de)
  • Auch die Einstellungen des integrierten Chatprogramms können verschlüsselt werden. (Screenshot: Golem.de)
  • Die Festplatte wird mit Subgraph standardmäßig verschlüsselt. (Screenshot: Golem.de)
  • Der gesamte Betriebssystemtraffic läuft über Tor - noch. (Screenshot: Golem.de)
  • Der Taschenrechner möchte sich mit dem IWF verbinden ... (Screenshot: Golem.de)
  • ... und mit der Europäischen Zentralbank. (Screenshot: Golem.de)
  • Der Tor-Browser ist als Standardbrowser mit dabei. (Screenshot: Golem.de)
  • Zweimal Nautilus, einmal in der Sandbox (r.) einmal außerhalb (l.) (Screenshot: Golem.de)
  • Das Oz-Menü listet geöffnete Ordner und Sandbox-Applikationen auf. (Screenshot: Golem.de)
  • Die Firewall listet alle erteilten Berechtigungen auf. (Screenshot: Golem.de)
Zweimal Nautilus, einmal in der Sandbox (r.) einmal außerhalb (l.) (Screenshot: Golem.de)

Denn öffne ein Nutzer in Subgraph eine Datei, erhalte das zuständige Programm keine Schreibrechte für das gesamte Home-Verzeichnis und könne die persönlichen Daten des Nutzers daher auch nicht verschlüsseln, sagt Ahmad. Die Sandbox isoliert auch die Eingaben einzelner Programme voneinander. Das Team demonstriert das anhand von Xeyes. Wird das Programm ohne Sandbox gestartet, wandern die Augen jederzeit mit dem Mauszeiger mit. Im Sandbox-Modus hingegen bewegen sich die Pupillen nur, wenn die Maus innerhalb des Programmfensters bewegt wird.

 Sicheres Linux Subgraph OS ausprobiert: Diese Alphaversion hat PotenzialEntwickler sollen Whitelists definieren können 
eye home zur Startseite
Kommentarübersicht
Re: Kuratoren ohne Durchblick
Atalanttore 05. Mai 2016

Mit den richtigen Suchbegriffen (z.B. "coy messenger linux", also mehr als nur "Coy...

Kein LibreSSL statt OpenSSL, aber "sicher"
Seitan-Sushi-Fan 27. Mär 2016

Keine Distribution mit OpenSSL ist sicher. Void Linux zeigt ja, dass es mit LibreSSL...

Ist Steam kompatibel
SjeldneJordartar 21. Mär 2016

Konnte das jemand schon testen?

Endlich ein sicheres Linux
ITLeer 21. Mär 2016

;-)

Warum nicht auf AppArmor aufgebaut?
liberavia 18. Mär 2016

gibt es da irgendwelche sachlichen Gründe warum OZ entwickelt wurde statt auf das...

Anzeige
Stellenmarkt
  1. Süddeutsche Krankenversicherung a.G., Fellbach bei Stuttgart
  2. ORBIT Gesellschaft für Applikations- und Informationssysteme mbH, Bonn, Darmstadt
  3. HUK-COBURG, Coburg
  4. consistec Engineering & Consulting GmbH, Saarbrücken
Anzeige
Top-Angebote
  1. 249,90€
  2. 139,90€
  3. 94,90€
Folgen Sie uns
       
Videos
Pizza Connection 3 - Teaser (Ankündigung Mai 2017) Pizza Connection 3 - Teaser (Ankündigung Mai 2017)
Ticker
  1. Squad

    Valve heuert Entwickler des Kerbal Space Program an

  2. James Gosling

    Java-Erfinder wechselt zu Amazon Web Services

  3. Calliope Mini im Test

    Neuland lernt programmieren

  4. Fernwartung

    Microsoft kämpft weiter gegen Support-Betrüger

  5. Streit beendet

    Nokia und Apple tauschen Patentstreit gegen Zusammenarbeit

  6. Voyager

    Facebook ist mit Glasfasertechnik schnell erfolgreich

  7. HP

    Im Envy 13 steckt eine Geforce MX150

  8. Quantencomputer

    Nano-Kühlung für Qubits

  9. Rockstar Games

    Red Dead Redemption 2 auf Frühjahr 2018 verschoben

  10. Software-Update

    Tesla-Autopilot 2.0 soll ab Juni "butterweich" fahren

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Deutsche Bahn
3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet
Google I/O 2017
Google I/O: Google verzückt die Entwickler
Google I/O
Google verzückt die Entwickler
  1. Neue Version im Hands On Android TV bekommt eine vernünftige Kanalübersicht
  2. Play Store Google nimmt sich Apps mit schlechten Bewertungen vor
  3. Daydream Standalone-Headsets auf Preisniveau von Vive und Oculus Rift
Panasonic Lumix
Panasonic Lumix GH5 im Test: Die Kamera, auf die wir gewartet haben
Panasonic Lumix GH5 im Test
Die Kamera, auf die wir gewartet haben
  1. Die Woche im Video Scharfes Video, spartanisches Windows, spaßige Switch
Forumsbeiträge »
  1. Weltraumspiel Star Citizen sammelt mehr als 150 Millionen US-Dollar

    Re: Pay to Win?

    david_rieger | 12:31

  2. Bayerischer Rundfunk Fernsehsender wollen über 5G ausstrahlen

    Re: haben es ard und zdf denn mitterweile schon...

    schett | 12:29

  3. Rockstar Games Red Dead Redemption 2 auf Frühjahr 2018 verschoben

    Re: Keine Gedanken zur Jahreszeit?

    Bouncy | 12:29

  4. Streit beendet Nokia und Apple tauschen Patentstreit gegen Zusammenarbeit

    Find ich gut.

    AnDieLatte | 12:27

  5. Calliope Mini im Test Neuland lernt programmieren

    Für AGs super, im normalen Unterricht fraglich..

    thurse | 12:27

Ticker »
  1. Squad Valve heuert Entwickler des Kerbal Space Program an

    12:47

  2. James Gosling Java-Erfinder wechselt zu Amazon Web Services

    12:30

  3. Calliope Mini im Test Neuland lernt programmieren

    12:00

  4. Fernwartung Microsoft kämpft weiter gegen Support-Betrüger

    11:51

  5. Streit beendet Nokia und Apple tauschen Patentstreit gegen Zusammenarbeit

    11:41

  6. Voyager Facebook ist mit Glasfasertechnik schnell erfolgreich

    11:26

  7. HP Im Envy 13 steckt eine Geforce MX150

    11:12

  8. Quantencomputer Nano-Kühlung für Qubits

    09:55

  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  / 
    Zum Artikel