Joanna Rutkowska, vedoucí projektu Qubes, odvádí skvělou práci při dokumentování konceptů, na kterých Qubes spoléhá. Důrazně vám proto doporučuji získat informace u zdroje, a zejména si přečíst dva následující dokumenty:
- Rozdělení softwaru vs. fyzické oddělení (Nebo proč Qubes OS je víc než jen náhodná sbírka virtuálních počítačů)
- Jak se QUbes OS liší od...
Qubes přináší nejen zlepšení uživatelského dojmu ve srovnání s provozováním několika instancí vmWare, ale přináší také jemnější izolaci.
Abych to zhruba vysvětlil, model, který popisujete, je jako vložení sady menších boxů (VM) do jednoho velkého boxu (hostitelský systém). Všechny virtuální počítače projdou hostitelským systémem pro přístup k libovolnému zařízení (síť, USB, čtečka DVD atd.) a hostitelský systém ovládá virtuální počítače, zařízení, uživatelské rozhraní a je přímo naproti internetu.
Myšlenkou Qubes není ukládat malé krabice do přehnaně velké krabice, ale místo toho nakonfigurovat malé krabice v jakési virtuální místní síti tak, aby společně vypadaly jako velká krabice, aniž by byla jedna a bez použití.
Potřeba dívat se jako něco, co uživatelé již vědí, že je důležité pro jejich přijetí. Ale v zákulisí jsou všechny části systému myšleny izolované od sebe. Mezi hlavní rozdíly patří skutečnost, že uživatelské rozhraní není obráceno k síti a nemá připojení k internetu. Virtuální počítač vyhrazený pro připojení k síti je izolován od zbytku virtuálních počítačů jiným virtuálním počítačem určeným pro firewall. Qubes 3.0 přinesl dlouho očekávanou funkci umožňující mít VM vyhrazený pro USB zařízení.
Chcete-li to vidět z pohledu útočníka:
-
Pokud chci hacknout vaše řešení založené na Windows, vše, co musím udělat, je zvládnout zneužít vašeho hostitele Windows (jediný bod selhání). Jakmile to dostanu, dostanu sílu ke všemu, a to by mělo být relativně snadné, protože je to obrácené k síti, což umožňuje širokou škálu možností od vzdálených exploitů po reverzní shell trojské koně.
-
Pokud chci hacknout Qubes, nebudu mít jinou možnost, než začít na pozici hosta, protože ani Xen, ani hlavní doména Dom0 nemají žádné přímé spojení s vnějším světem, a odtud najít způsob, jak migrovat z hosta na hosta nebo spravovat využít Xen core nebo dosáhnout uživatelského rozhraní běžícího v Dom0 (s vědomím, že hosté mají svůj X server nahrazen speciálně navrženým tvrzeným zobrazovacím serverem, aby se takové možnosti přesně vyhnuli. Veškerá komunikace mezi VM byla obecně pečlivě navržena tak, aby se zmenšila jakákoli oblast expozice na minimum) a vybudujte příslušné tunely, abyste mohli i nadále komunikovat se svým škodlivým softwarem (nestačí jen vstup, ale také chcete, aby data mohla odcházet, což je u systému nacházejícího se v síti triviální, ale mnohem těžší na izolovaných hostujících systémech).
Chci jen dodat, že zatímco Qubes OS je nejznámější a nejvíce zdokumentovaný jako, pokud je známo, jediná open-source iniciativa implementující tento koncept, samotný koncept není něčím úplně novým a revolučním. Polyxene je například proprietární systém využívající přesně stejný přístup k zabezpečení desktopových systémů na úrovni obrany. Říkám to jen proto, abych zdůraznil skutečnost, že diskuse o takové technologii přesahuje diskusi o open source a proprietárních OS.