jeudi 8 avril 2010

Qubes, enfin un OS sécurisé?

Joanna Rutkowska, chercheuse émérite en sécurité vient de publier une nouvelle manière d'appréhender l'installation et l'utilisation d'un OS. Son domaine de prédilection en sécurité est le poste de travail. En effet, même si certaines personnes disent que "the network is the computer" (letimotiv de la compagnie Sun), elle explique qu'in fine, toutes les données à protéger sont bien sur un ordinateur, de préférence la machine locale devant l'utilisateur. Peu importe la manière dont on a pu sécuriser le réseau, les serveurs, les protocoles, si l'attaquant à la main sur la machine de l'utilisateur final, alors toute cette sécurité devient vaine: http://theinvisiblethings.blogspot.com/2010/01/priorities.html

Elle vient de publier un nouvel OS: Qubes-OS, ainsi que la documentation associée (44 pages).

Le concept clé derrière son idée de la sécurisation du poste de travail est l'isolation. La technologie d'isolation choisie est Xen. KVM a été évalué également, mais Xen semble plus simple à sécuriser et offre plus d'options selon invisible things. Chaque service est compartimenté dans une VM.
Il existe trois classes de VM: les services VM, les apps VM, et la desktop VM.
1/
Desktop VM.
Cette VM est le dom0 en langage Xen, elle ne gère que l'écran le clavier et la souris et le lancement des autres VM. Entre autre, il n'y a pas de réseau configuré dans cette VM. Elle est réduite à son strict minimum.
2/
services VM.
Nous trouvons ici les VM dédiées à une tâche particulière. Par exemple la VM réseau, qui, comme son nom l'indique, ne gère que les cartes réseaux. Les cartes ethernet et wifi sont dédiées à cette VM, et grâce à l'IOMMU des derniers CPU Intel (VT-d) l'isolation est parfaite. De plus, toute la stack IP est éxécutée en userland. Bénéfice? Si un attaquant prend le contrôle de cette machine, il n'a pas plus de droits que s'il avait pénétré le réseau local.
La machine stockage ne gère également que le stockage des disques des VM, sous forme chiffrée.
3/
Apps VM. Il s'agit de VM dont le rôle diffère uniquement selon leurs usages. Invisible Things Labs propose 5 types de VM, classées de standard à haute confidentialité. Un utilisateur pourra donc tester tous les jeux et gadgets à la mode dans une VM, et conserver une VM pour aller faire ses opérations bancaires.

Ceci rappelle furieusement le concept des micro-noyaux, ce dont les auteurs ne se cachent pas..

Tout ceci est en train d'être abondamment twitté, bloggé, journalisé, etc..

La partie intéressante est la partie 8 de son pdf.
"8. Analysis of potential attack vectors". Bien entendu, il est indiqué que le code n'a pas été prouvé comme sûr et qu'il ne le sera sans doute jamais. Le hardware et le software deviennent trop compliqués pour être formellement vérifié. Le but de Qubes est uniquement de réduire la surface d'attaque.
Les attaques potentielles prennent toutes en compte qu'un attaquant a déjà compromis une VM et cherche a compromettre une seconde VM.

Aucun commentaire:

Enregistrer un commentaire