Subgraph OS will ein noch sichereres Linux für den Desktop sein. Dazu werden alle Programme und Dienste gegeneinander isoliert und in Sandboxes gesperrt.

Linux ist schon ganz gut, wenn es um ein sicheres Betriebssystem geht. Aber sicher ist Linux auch noch anfällig gegen Angriffe und Ausspionieren. Das liegt vor allem daran, dass darauf jede Menge Programme und Dienste aus unterschiedlichen Quellen laufen, die nicht gegeneinander abgeschottet sind.

(c) Subgraph OS

Das zu erreichen versuchen verschiedene Entwicklungen. Am sinnvollsten ist es, ganze Systeme voneinander zu trennen, indem man sie in virtuelle Maschinen einsperrt. Einige gute Konzepte werde ich in der nächsten Zeit vorstellen, zum Beispiel QubesOS. Der Nachteil ist jedoch, dass diese Systeme viel Rechenleistung fressen, auch wenn sie überhaupt nicht arbeiten. Schließlich laufen da ganze Betriebssysteme mehr oder weniger vollständig in eigenen Umgebungen.

Das macht zwar bei modernen Geräten oft keinen großen Unterschied mehr, ist andererseits aber auch wieder ganz schöne Verschwendung. Das wäre ja, als wenn ich mit einem Porsche zum Brötchen holen zum Bäcker um die Ecke fahre (Naja, wenn ich mal so nachdenke… ).

Ein Betriebssystem muss reichen

Subgraph OS versucht einen anderen Weg. Es beschränkt sich auf ein konventionelle Linux, das es an den Systemgrenzen absichert. Wie das geht, will ich versuchen zu erklären. Ob es letztendlich klappt, kann ich wahrscheinlich auch nicht abschließend beurteilen. Aber der Weg scheint mir schon mal ganz richtig gewählt, um übliche Risiken in den Griff zu bekommen.

Subgraph OS wird derzeit noch in einer Alpha-Version veröffentlicht. Das heißt, dass die Programmierer mit vielen Fehlern rechnen und noch keinen Anspruch auf Vollständigkeit geben. Aber es zeigt immerhin, wohin der Weg gehen soll.

Denn es ist ja so: Jedes Programm darf und muss auf zahlreiche Betriebssystem-Komponenten zugreifen. Es muss auf alle möglichen Hardwarekomponenten, in den Speicher und auf die Festplatte, ins Netzwerk und auf Schnittstellen zugreifen, lesen und schreiben, sonst macht ja der Computer keinen Sinn.

Was aber, wenn es diese Komponenten nicht so nutzt, wie der Bediener oder der Programmierer das geplant haben? Sowas geschieht immer dann, wenn Programmierfehler in Software oder Systemkomponenten bewußt ausgenutzt werden, um das System zu manipulieren.

Gehärteter Kernel

Subgraph OS geht alle Komponenten eines Linux durch und checkt, wo und wie diese gehärtet, das heißt, gegen Angriffe von innen und außen abgeschirmt werden können. Das beginnt mit einem speziell gehärteten Linux-Kernel (mit Hilfe von grsecurity, PaX und RAP). In diesem Kernel werden alle Komponenten ausgeschaltet, die nicht unbedingt benötigt werden.

Anwendungen in Sandboxen

Weiterhin werden alle Anwendungen in Sandboxen ausgeführt. Das bezieht sich vor allem auf kritische Anwendungen mit erhöhtem Gefahrenpotential wie Webbrowser, Mail- und Chat-Clients, Office- und PDF-Anwendungen. Aber auch Bild-, Video- und Audioplayer sind davon erfaßt. Denn alle diese Anwendungen sind potentiell von Dateien mit Schadcode betroffen.

Firewall in alle Richtungen

(c) Subgraph OS

Ein großes Problem ist der Kontakt zu anderen Systemen, also zum Beispiel zum Internet.

Bei weit verbreiteten Betriebssystemen ist es üblich, dass sie zwar einen Firewall beinhalten, dieser aber – für die Bequemlichkeit – nach außen Verbindungen in der Regel zuläßt. Das ist schlecht, denn sollte Malware in das System gelangt sein, kann dieser von innen nach außen eine Verbindung herstellen und weiteren Schadcode nachladen.

Subgraph OS verweigert zuerst einmal jedem Programm den Kontakt nach außen, der nicht vom Benutzer autorisiert ist. Das stellt ihn leider vor das Problem zu entscheiden, wann, wohin und warum eine Anwendung eine Verbindung aufbaut. Und wenn ja, welche Daten sie von dort bezieht oder dahin schickt. Mitarbeit ist also gefragt.

Nur kontrolliert ins Internet…

Das Konzept endet – ganz wie man es sehen will – auf der Netzwerk-Ebene. Subgraph OS verbindet sich zum Internet standardmäßig über das TOR-Netzwerk. Das impliziert, dass alle Protokolldienste, sei es der Namensdienst DNS, die verschiedenen IP-Dienste wie http, smtp oder Verwaltungsdienste wie icmp über diesen Kanal geleitet werden.

Ob das praktikabel ist, muss man erst einmal prüfen. Es kann aber auch umgangen werden, wenn der Nutzer es wünscht.

…und der ganze Rest

Die Macher von Subgraph OS legen Wert darauf, dass sie der Sicherheit des System große Aufmerksamkeit geben. Viele der genannten Features kann man mit etwas Grundwissen auch in klassische Linux-Distributionen integrieren. Einzig der gehärtete Kernel und das Sandboxing der Anwendungen scheint mir bedeutsam. In wieweit es sich von den herkömmlichen Distributionen abhebt, kann ich aber derzeit nicht beurteilen.

Auf jeden Fall bin ich der Ansicht, dass die Macher von Subgraph OS auf dem richtigen Weg sind und hoffentlich genug Geld zusammen bekommen, diesen Weg noch ein großes Stück weiter zu gehen.

 

  • Pro: gehärteter Kernel, Desktop-Version auf Debian-Basis, Sandboxing konsequent umgesetzt, Firewall, Internet via TOR
  • Contra: noch Alpha-Version

 

Link: