Joanna Rutkowska, Gründerin und CEO des polnischen IT-Security-Unternehmens Invisible Things Lab, hat ein Betriebssystem-Konzept für mehr Sicherheit am Desktop vorgestellt. Dazu setzt Qubes OS darauf, einzelne Anwendungen voneinander isoliert in virtuellen Maschinen laufen zu lassen. Das Open-Source-Projekt basiert auf Linux und der Virtualisierungslösung Xen.
"Diese Idee einer stärkeren Isolierung ist sicherlich begrüßenswert", meint Magnus Kalkuhl, Senior Virus Analyst bei Kaspersky. Deswegen würden ähnliche Methoden bereits in AV-Produkten genutzt. Während Rutkowska Qubes OS nach eigenen Angaben bereits im Alltag nutzt, sieht der Kaspersky-Experte darin eher ein Forschungsprojekt, das Impulse für große Betriebssystem-Namen liefern könnte.
Getrennte Sicherheit
Bei Qubes OS werden Anwendungen in unabhängigen virtuellen Maschinen (VMs) ausgeführt. Bestimmte Systemkomponenten wie Netzwerk oder Storage werden ebenfalls auf diese Art isoliert und mit möglichst begrenzten Systemzugriffsrechten ausgestattet. Ein spezielles User-Interface präsentiert dabei die in VMs isolierten Anwendungen wie ein normales Desktop-System. Im Hintergrund verspricht der Ansatz aber, dass durch die strikte Trennung Sicherheitsprobleme mit einem Programm nicht auf das Gesamtsystem übergreifen können.
Diese Idee ist nicht völlig neu. " Ein Lowtech-Ansatz wäre, einfach verschiedene Computer für verschiedene Anwendungszwecke bereitzuhalten - etwa ein Computer zum Surfen und eine Maschine ohne Internetanschluss zum Verfassen und Betrachten geschäftskritischer Dokumente", erklärt Kalkuhl. Auch gab es bereits die Möglichkeit, mittels Virtualisierung mehrere getrennte Betriebssysteme auf einem PC auszuführen. Kaspersky wiederum bietet mit seinen aktuellen AV-Produkten die Möglichkeit, einzelne Anwendungen wie den Browser isoliert zu starten.
Mehr Security-News
Interessanter Forschungsansatz
Qubes OS verankert diesen Isolations-Ansatz nun im Betriebssystem selbst. "Grundsätzlich ist dieser Weg auf jeden Fall interessant", meint Kalkuhl. Allerdings warnt er davor, dass selbst dann potenzielle Gefahr in gemeinsam genutzten Dateien lauert. "In der realen Welt werden Dateien mit dem Browser heruntergeladen und dann mit einer anderen Software geöffnet. Jeder Dateiaustausch bricht die Grenzen wieder auf", erklärt er.
Jedenfalls ortet der Kaspersky-Experte Potenzial beim polnischen Betriebssystem-Ansatz. Allerdings dürfte das zunächst in einer frühen Alpha-Version veröffentlichte Qubes OS eher etwas für Forscher und Entwickler bleiben. "Für die breite Masse nutzbar wird diese Methodik wohl erst, wenn Microsoft oder große Linux-Distributionen wie RedHat oder Ubuntu diese Ideen aufgreifen und in Ihren Produkten umsetzen", meint Kalkuhl. (pte/rw)