Joanna Rutkowska, Leiterin des Qubes-Projekts, leistet hervorragende Arbeit bei der Dokumentation der Konzepte, auf die sich Qubes stützt. Ich empfehle Ihnen daher dringend, sich die Informationen an der Quelle zu beschaffen und insbesondere die beiden folgenden Dokumente zu lesen:
- Softwarekompartimentierung vs. physische Trennung (oder warum Qubes OS mehr als nur eine zufällige Sammlung von VMs ist)
- Wie unterscheidet sich QUbes OS von...
Qubes bringt nicht nur eine Verbesserung der Benutzererfahrung im Vergleich zum Ausführen mehrerer vmWare-Instanzen, sondern auch eine feinkörnigere Isolation.
Um es grob zu erklären, ist das von Ihnen beschriebene Modell so, als würde man eine Reihe kleinerer Kästen (die VMs) in einen einzigen großen Kasten (das Hostsystem) stecken. Alle VMs durchlaufen das Hostsystem, um auf jedes Gerät (Netzwerk, USB, DVD-Lesegerät usw.) zuzugreifen, und das Hostsystem steuert sowohl die VMs, die Geräte als auch die Benutzeroberfläche und ist direkt mit dem Internet verbunden.
Die Idee hinter Qubes ist nicht, die kleinen Kisten in einer überpotenten großen Kiste zu verstauen, sondern die kleinen Kisten in einer Art virtuellem lokalen Netzwerk so zu konfigurieren, dass sie zusammen schauen wie eine große Kiste, ohne eine zu sein und ohne eine zu benutzen.
Die Notwendigkeit, hinzuschauen etwas, das die Benutzer bereits wissen, ist wichtig für die Akzeptanz durch die Benutzer. Hinter den Kulissen sind aber alle Teile des Systems isoliert voneinander gemeint. Zu den Hauptunterschieden gehört die Tatsache, dass die Benutzeroberfläche nicht dem Netzwerk zugewandt ist und keine Internetverbindung hat. Die VM, die dem Netzwerk zugewandt ist, wird von den übrigen VMs durch eine andere VM isoliert, die dem Firewalling gewidmet ist. Qubes 3.0 brachte eine lang erwartete Funktion, die es ermöglicht, eine VM für USB-Geräte zu haben.
Um dies aus der Sicht eines Angreifers zu sehen:
-
Wenn ich Ihre Windows-basierte Lösung hacken möchte, muss ich lediglich Ihren Windows-Host ausnutzen (Single Point of Failure). Sobald ich es habe, bekomme ich alles mit Strom und das sollte relativ einfach sein, da es dem Netzwerk zugewandt ist und eine breite Palette von Möglichkeiten von Remote-Exploits bis hin zu Reverse-Shell-Trojanern bietet.
-
Wenn ich Qubes hacken möchte, habe ich keine andere Wahl, als an einer Gastposition zu beginnen, da weder Xen noch die Dom0-Hauptdomäne eine direkte Verbindung zur Außenwelt haben, und von dort aus einen Weg zu finden, von Gast zu Gast zu migrieren oder zu migrieren Xen-Core ausnutzen oder die in Dom0 ausgeführte Benutzeroberfläche erreichen (in dem Wissen, dass die Gäste ihren X-Server durch einen speziell entwickelten, gehärteten Anzeigeserver ersetzen lassen, um genau diese Möglichkeit zu vermeiden. Die gesamte Kommunikation zwischen VMs im Allgemeinen wurde sorgfältig entwickelt, um jeden Expositionsbereich zu reduzieren auf das Minimum) und bauen Sie die entsprechenden Tunnel, um weiterhin mit Ihrer Schadsoftware kommunizieren zu können (hineingehen reicht nicht aus, Sie möchten auch, dass Daten hinausgehen können, was auf einem netzwerkorientierten System trivial ist, aber viel schwieriger auf isolierten Gastsystemen).
Ich möchte nur hinzufügen, dass Qubes OS zwar das bekannteste und am besten dokumentierte ist, soweit bekannt, die einzige Open-Source-Initiative, die dieses Konzept umsetzt, das Konzept selbst jedoch nichts völlig Neues und Revolutionäres ist. Polyxene zum Beispiel ist ein proprietäres System, das genau den gleichen Ansatz verfolgt, um Desktop-Systeme auf Verteidigungsebene zu sichern. Ich sage dies nur, um die Tatsache hervorzuheben, dass die Erörterung solcher Technologien über die Erörterung von Open-Source- und proprietären Betriebssystemen hinausgeht.