Qubes OS

Continuando sul tema della sicurezza informatica, Qubes OS è una distribuzione linux , free e open source (FOSS), che ha l’obiettivo di rendere sicuri desktop e laptops. Ma il concetto di sicurezza introdotto in Qubes OS travalica l’approccio tradizionale alla sicurezza di un qualunque sistema operativo, ovvero dotarsi di un buon antivirus e di un firewall software, non è più sufficiente a rendere un sistema immune sopratutto dai malware, che diventano sempre più sofisticati e che sfruttano le vulnerabilità e i bugs di molti software popolari.
L’approccio alla base di Qube OS è chiamato “security by compartmentalization“, che consente di lanciare ogni singola app (AppVMs) e software presente, tramite un istanza virtuale isolata e separata dal vero sistema, creando a tutti gli effetti dei template di  macchine virtuali dedicate per ogni applicazione che si utilizza, chiamati “domains”.
Il tipo di virtualizzazione introdotto in Qubes OS è diverso da quello di software come KVM, Virtual Box o Vmware Player/Workstation perchè sono software di virtualizzazione di“Tipo 2” o hypervisor “hosted”. (L’hypervisor è il software, firmware, o hardware che crea e gestisce le macchine virtuali.) Significa che le vm sono eseguite con il sistema operativo host e sono sicure solo se il sistema operativo che le ospita è sicuro, se questo viene compromesso lo saranno anche le vm eseguite.
Al contrario, Qubes utilizza un hypervisor “Tipo 1” o “bare metal” chiamato Xen, e le vm invece di essere eseguite all’interno di un sistema operativo vengono eseguite direttamente sul “bare metal” dell’hardware. Ciò significa che un attaccante deve essere in grado di hackerare l’hypervisor stesso e il kernel per compromettere l’intero sistema che risulta molto più difficile sopratutto riducendo la dimensione dell’ hypervisor e quindi la superficie attaccabile.
Questo approccio consente di mantenere separata e isolata “la vita digitale” del vostro computer  su macchine virtuali in modo che una vm compromessa su un file o una applicazione non influenzerà e infetterà gli altri e/o l’intero sistema.

Key Architecture features:

• Based on a secure bare-metal hypervisor (Xen)
• Networking code sand-boxed in an unprivileged VM (using IOMMU/VT-d)
• USB stacks and drivers sand-boxed in an unprivileged VM (currently experimental feature)
• No networking code in the privileged domain (dom0)
• All user applications run in “AppVMs,” lightweight VMs based on Linux
• Centralized updates of all AppVMs based on the same template
• Qubes GUI virtualization presents applications as if they were running locally
• Qubes GUI provides isolation between apps sharing the same desktop
• Secure system boot based (optional)

In Qubes OS ogni vm creata rappresenta un “security domain“ che si basa su un unico e comune TemplateVM (ma è possibile creare altri) e quindi quando si crea un nuovo AppVM viene condiviso solo il filesystem di root in sola lettura e solo con il rispettivo TemplateVM.
Quindi un AppVM non può modificare un TemplateVM in alcun modo. Questo significa che se un AppVM viene compromessa, il TemplateVM su cui si basa (e qualsiasi altro AppVMs basati su tale TemplateVM) saranno al sicuro.

 

La creazione di App VM non richiede grosse risorse hardware bensì spazio disco per per archiviare i propri file privati ​​(ad esempio, la cartella “home”).
Di default Qubes ha già preconfigurato tre template: (come illustrato qui)

•  work
• personal
• untrusted

Ad ogni dominio è anche assegnata un’etichetta colorata con cui vengono contrassegnati i bordi delle finestre delle applicazioni, che indicano i livelli di attendibilità delle rispettive macchine virtuali, così da identificarli rapidamente e facilmente; ad esempio il colore rosso è associato al dominio “untrusted”, mentre il verde a quello affidabile.
Nel pratico  si potrebbe dedicare una VM per navigare su siti web non attendibili e un diversa vm per utilizzare l’online banking; in questo modo, se la prima vm viene compromessa da un sito web pieno di malware, le attività di online  banking, sulla seconda vm, non saranno a rischio.
Ugualmente, se si viene infettati  ad esempio per allegati e-mail malevoli, l’architettura di Qubes isola la macchina infetta  preservando dalle infezioni il computer fisico.
In aggiunta alle macchine virtuali e ai template, c’è un dominio speciale chiamato “dom0“, che è la macchina principale fisica che non ha la connettività diretta di rete e viene utilizzato solo per l’esecuzione delle appVM  e come Desktop Manager. Questo dominio non deve essere utilizzato per altri scopi e in  particolare, non si dovrebbe mai eseguire le applicazioni utente in dom0, perchè se venisse compromesso lo sarebbe l’intero sistema.
Durante l’installazione di Qubes OS vengono scaricati i templateVM, basati principalmente su Fedora 23, che contengono solo determinati software per tipologia di template, ma sono disponibili anche template basati su Debian, Ubuntu, Archlinux e Whonix.
Questa architettura piace molto a Edward Snowden che ha incoraggiato lo sviluppo del progetto Qubes OS definendolo un grande passo avanti in termini di sicurezza.
Anche rispetto a distribuzioni live, come Tails Linux, Qubes risulta avere un approccio più sicuro perchè essendo distribuzioni monolitiche, nel senso che tutti i software sono comunque in esecuzione sullo stesso OS, significa, ancora una volta, che se la sessione è compromessa, allora tutti i dati e le attività svolte all’interno di quella stessa sessione sono potenzialmente compromesse.
Ecco alcune schermate di installazione e di funzionamento di QubesOS:

Scelta parametri installazione

Scelat dell ambiente grafico

riepilogo parametri installazione

installazione in corso

Menu di creazione service vm

Schermata di login

Creazione vmapps template work

template “work” : terminale e firefox (verde=

template “untrusted” thunderbird e “files” (rosso)