Sicheres Linux Subgraph OS ausprobiert: Diese Alphaversion hat Potenzial

Mit Subgraph OS soll ein neues, sicheres Linux mit innovativer Sandbox entstehen. Wir haben mit den Entwicklern gesprochen und das System ausprobiert - und sind trotz Alphastatus angetan.

Artikel von veröffentlicht am
David Mirza Ahmad ist Chefentwickler von Subgraph OS.
David Mirza Ahmad ist Chefentwickler von Subgraph OS. (Bild: Hauke Gierow/Golem.de)

"Unser Ziel ist es, das am einfachsten benutzbare, sichere Betriebssystem zu schaffen, das auf möglichst viel Hardware verlässlich läuft", sagt David Mirza Ahmad vom Subgraph-Projekt im Gespräch mit Golem.de. Wir haben uns am vergangenen Wochenende während des Logan-Symposiums im Berliner Congress Center BCC - in dem früher auch der Chaos Communication Congress des CCC stattgefunden hat - mit Ahmad getroffen.

Auf dieser Veranstaltung sprachen Aktivisten aus dem Wikileaks-Umfeld mit investigativen Journalisten über neue Möglichkeiten der Zusammenarbeit. Am Abend vor unserem Gespräch hatte Ahmad auf der Konferenz den Startschuss für Subgraph gegeben, mit der öffentlichen Freigabe der ersten Iso-Version. Wir konnten das Betriebssystem schon vorab ein wenig ausprobieren.

  • Subgraph-Entwickler David Mirza Ahmad (Bild: Hauke Gierow/Golem.de)
  • Der Anmeldebildschirm mit Standard-Benutzernamen (Screenshot: Golem.de)
  • Als Mailclient kommt derzeit noch Icedove zum Einsatz. (Screenshot Golem.de)
  • Die Standard-Gnome-Shell. Rechts oben befinden sich der Tor-Indikator und das Oz-Menü. (Screenshot: Golem.de)
  • Auch die Einstellungen des integrierten Chatprogramms können verschlüsselt werden. (Screenshot: Golem.de)
  • Die Festplatte wird mit Subgraph standardmäßig verschlüsselt. (Screenshot: Golem.de)
  • Der gesamte Betriebssystemtraffic läuft über Tor - noch. (Screenshot: Golem.de)
  • Der Taschenrechner möchte sich mit dem IWF verbinden ... (Screenshot: Golem.de)
  • ... und mit der Europäischen Zentralbank. (Screenshot: Golem.de)
  • Der Tor-Browser ist als Standardbrowser mit dabei. (Screenshot: Golem.de)
  • Zweimal Nautilus, einmal in der Sandbox (r.) einmal außerhalb (l.) (Screenshot: Golem.de)
  • Das Oz-Menü listet geöffnete Ordner und Sandbox-Applikationen auf. (Screenshot: Golem.de)
  • Die Firewall listet alle erteilten Berechtigungen auf. (Screenshot: Golem.de)
Die Standard-Gnome-Shell. Rechts oben befinden sich der Tor-Indikator und das Oz-Menü. (Screenshot: Golem.de)

Subgraph ist ein mit Sicherheitspatches versehenes Debian mit einigen Besonderheiten. Bis es produktiv eingesetzt werden kann, wird noch einige Zeit vergehen. Im Sommer soll die erste Betaversion erscheinen, im kommenden Jahr dann die Version 1.0.

"Wir wollen, dass der Nutzer keine Sicherheitsentscheidungen treffen muss", sagt Ahmad. Denn einerseits könne der Nutzer falsche Entscheidungen treffen, andererseits könnten zu viele Optionen frustrieren und von der Nutzung des Betriebssystems abhalten. "Das Tolle an einem eigenen Projekt ist, dass wir machen können, was wir wollen", sagt er. Ahmad und seine drei Mitstreiter kommen aus dem kanadischen Montreal und arbeiten dort seit mehreren Jahren gemeinsam in der Sicherheitsfirma Subgraph. Die Idee zur Entwicklung eines eigenen sicheren Betriebssystems gleichen Namens lag schon mehrere Jahre in der Schublade - jetzt läuft die Entwicklung dank Fördergeldern deutlich schneller.

Stellenmarkt
  1. Solution Consultant (m/w/d) im Bereich PLM / Digitaler Zwilling
    ASCon Systems GmbH, Stuttgart, München, Heilbronn
  2. IT-Mitarbeiter (m/w/d) für klinische Anwendungen und Digitalisierungsprojekte
    Diakonie-Klinikum Stuttgart, Stuttgart
Detailsuche

Subgraph basiert auf Debian in der aktuellen, derzeit noch instabilen Version, die als Debian 9 "Stretch" erscheinen soll. Um die Sicherheit zu verbessern, haben Ahmad und sein Team zunächst die grsecurity-Patches für den Kernel angewendet. Teil von grsecurity ist Pax. Die Funktion wendet die Adress Space Layout Randomization und andere Techniken an, um Stack-Overflow-Angriffe deutlich zu erschweren. Außerdem wurde der Linux-Kernel für das Projekt abgespeckt: "Der Linux-Kernel schleppt Unterstützung für zahlreiche Protokolle und Dienste mit sich herum, die kaum jemand nutzt", sagt Ahmad. Als Beispiel nennt er eine Schnittstelle für Legos Roboterbaukasten Mindstorms. Diese hat das Projekt deaktiviert, um unnötige Angriffsflächen zu vermeiden. Außerdem ist ein Tool zum Spoofing der Mac-Adresse integriert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Sandboxing per Namespace-Restriktion 
  1. 1
  2. 2
  3. 3
  4. 4
  5. 5
  6. 6
  7. 7
  8.  


Atalanttore 05. Mai 2016

Mit den richtigen Suchbegriffen (z.B. "coy messenger linux", also mehr als nur "Coy...

Seitan-Sushi-Fan 27. Mär 2016

Keine Distribution mit OpenSSL ist sicher. Void Linux zeigt ja, dass es mit LibreSSL...

SjeldneJordartar 21. Mär 2016

Konnte das jemand schon testen?

ITLeer 21. Mär 2016

;-)

liberavia 18. Mär 2016

gibt es da irgendwelche sachlichen Gründe warum OZ entwickelt wurde statt auf das...



Aktuell auf der Startseite von Golem.de
Sam Zeloof
Student baut Chip mit 1.200 Transistoren

In seiner Garage hat Sam Zeloof den Z2 fertiggestellt und merkt scherzhaft an, Moore's Law schneller umgesetzt zu haben als Intel selbst.

Sam Zeloof: Student baut Chip mit 1.200 Transistoren
Artikel
  1. IBM E10180-Server: Watson Health anteilig für 1 Mrd. US-Dollar verkauft
    IBM E10180-Server
    Watson Health anteilig für 1 Mrd. US-Dollar verkauft

    Mit Francisco Partners greift eine große Investmentgruppe zu, das Geschäft mit Watson Health soll laut IBM darunter aber nicht leiden.

  2. Xbox Cloud Gaming: Wenn ich groß bin, möchte ich gerne Netflix werden
    Xbox Cloud Gaming
    Wenn ich groß bin, möchte ich gerne Netflix werden

    Call of Duty, Fallout oder Halo: Neue Spiele bequem am Business-Laptop via Stream zocken, klingt zu gut, um wahr zu sein. Ist auch nicht wahr.
    Ein Erfahrungsbericht von Benjamin Sterbenz

  3. Geforce RTX 3000 (Ampere): Nvidia macht Founder's Editions teurer
    Geforce RTX 3000 (Ampere)
    Nvidia macht Founder's Editions teurer

    Die Preise der FE-Ampere-Grafikkarten steigen um bis zu 100 Euro, laut Nvidia handelt es sich schlicht um eine Inflationsbereinigung.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MediaMarkt & Saturn: Heute alle Produkte versandkostenfrei • Corsair Vengeance RGB RT 16-GB-Kit DDR4-4000 114,90€ • Alternate (u.a. DeepCool AS500 Plus 61,89€) • Acer XV282K UHD/144 Hz 724,61€ • MindStar (u.a. be quiet! Pure Power 11 CM 600W 59€) • Sony-TVs heute im Angebot [Werbung]
    •  /