Le système d'exploitation Qubes est-il plus sécurisé que l'exécution d'un ensemble de machines virtuelles liées à l'activité?

Joanna Rutkowska, chef du projet Qubes, fait un excellent travail pour documenter les concepts sur lesquels Qubes s'appuie. Je vous suggère donc fortement de vous procurer les informations à la source, et en particulier de lire les deux documents suivants:

• Cloisonnement logiciel vs séparation physique (Ou pourquoi Qubes OS est plus qu'une simple collection aléatoire de VM)
• En quoi QUbes OS est-il différent de ...

Qubes apporte non seulement une amélioration de l'expérience utilisateur par rapport à l'exécution de plusieurs instances de vmWare, mais il apporte également une isolation plus fine.

Pour l'expliquer en gros, le modèle que vous décrivez est comme mettre un ensemble de petites boîtes (les VM) dans une seule grande boîte (le système hôte). Toutes les machines virtuelles passeront par le système hôte pour accéder à n'importe quel appareil (réseau, USB, lecteur de DVD, etc.), et le système hôte contrôle les machines virtuelles, les appareils, l'interface utilisateur et fait directement face à Internet.

L'idée derrière Qubes n'est pas de stocker les petites boîtes dans une grande boîte surchargée, mais plutôt de configurer les petites boîtes dans une sorte de réseau local virtuel afin que, ensemble, elles se ressemblent comme une grosse boîte sans en être une et sans en utiliser une.

La nécessité de ressembler à quelque chose que les utilisateurs connaissent déjà est importante pour leur adoption. Mais derrière la scène, toutes les parties du système sont isolées les unes des autres. Parmi les principales différences, le fait que l'interface utilisateur ne fait pas face au réseau et n'a pas de connexion Internet. Le VM dédié à faire face au réseau est isolé du reste des VMs par un autre VM dédié au pare-feu. Qubes 3.0 a apporté une fonctionnalité tant attendue permettant d'avoir un VM dédié aux périphériques USB.

Pour voir cela depuis et vue du point d'attaque:

• Si je veux pirater votre solution Windows, tout ce que j'ai à faire est de réussir à exploiter votre hôte Windows (point de défaillance unique). Une fois que je l'obtiens, je mets tout sous tension et cela devrait être relativement facile car il fait face au réseau, ce qui permet un large éventail de possibilités, des exploits à distance aux chevaux de Troie inversés.

• Si je veux pirater Qubes, je n'aurai pas d'autre choix que de commencer à une position d'invité car ni Xen ni le domaine Dom0 principal n'ont de lien direct avec le monde extérieur, et à partir de là, trouver un moyen de migrer d'invité en invité ou de gérer exploiter le noyau Xen ou atteindre l'interface utilisateur fonctionnant dans Dom0 (sachant que les invités ont leur serveur X remplacé par un serveur d'affichage renforcé spécialement conçu pour éviter précisément une telle possibilité. Toutes les communications inter-VM en général ont été soigneusement conçues pour réduire toute zone d'exposition au minimum), et construisez les tunnels appropriés afin de pouvoir toujours communiquer avec votre logiciel malveillant (entrer n'est pas suffisant, vous voulez également que les données puissent sortir, ce qui est trivial sur un système en réseau, mais beaucoup plus difficile sur les systèmes invités isolés).

Je veux juste ajouter que bien que Qubes OS soit le plus connu et le plus documenté comme étant, à ce que l'on sache, la seule initiative open source mettant en œuvre ce concept, le concept lui-même n'est pas quelque chose de complètement nouveau et révolutionnaire. Polyxene par exemple, est un système propriétaire qui adopte exactement la même approche afin de sécuriser les systèmes de bureau de niveau défense. Je dis cela juste pour souligner le fait que discuter de cette technologie va au-delà des systèmes d'exploitation open source et propriétaires.