zuletzt bearbeitet: Sat, 24 Mar 2018 11:57:12 +0100  
Da ich diese Woche in eine kleine Unterhaltung über Qubes verstrickt wurde (bzw. eine Diskussion vom Zaun brechen wollte) möchte ich die Gelegenheit nutzen, diese Woche einmal ausführlich meine Eindrücke mitzuteilen. Der Artikel enthält ein paar Fragen an die geneigte Leserschaft. Diese Fragen meine ich ernst! Ich würde mich über Antworten freuen ;)

Zunächst einmal eine kleine Zusammenfassung: bei Qubes OS handelt es sich um ein sicherheitsorientiertes Linux-System, das ein Konzept von Sicherheit durch Isolation verfolgt. Konkret heißt das, dass wichtige Systemkomponenten sowie verschiedene 'Online-Identitäten' voneinander und untereinander durch virtuelle Maschinen getrennt sein sollen.

In der Standardeinstellung (d.h. Default bei Installation) fährt Qubes OS mit je einer eigenen VM für den Netzwerkadapter, USB-Ports, eine Firewall, sowie die 'Identitäten' personal, work und untrusted auf, sowie noch eine Whonix-VM-Familie für den Tor-Browser.

An der Stelle möchte ich schonmal eine kleine Vorab-Kritik loswerden: die verschiedenen 'Identitäten' könnten zu der Vorstellung verleiten, dass man dadurch quasi automatisch nicht getrackt werden kann. Das ist aber nicht so: mit Hardware-Fingerprints, System-Auslastung und Zeitstempeln dürfte es für einen umfassenden Datensammler wie Google problemlos möglich sein, die Daten verschiedener VMs zu kombinieren. Qubes behauptet nicht, dass verschiedene VMs irgendeine Art von Anonymität bieten, aber ich denke, dass manche User diese Erwartung haben könnten. Das wird so nicht klappen (zumindest nicht ohne zusätzlichen Aufwand).
Wofür die getrennten Identitäten aber toll sind, ist etwa sich bei einem Dienst wie Hubzilla mit zwei verschiedenen Accounts / Kanälen / Identitäten parallel anzumelden. So kann man das mit den 'Identitäten' auch verstehen, und so stimmt es dann wohl auch :)

Nun aber erstmal zu dem Positiven! Was mir sehr gut an Qubes OS gefällt:

* das Host-System selbst -- dom0 -- hat keine Internetverbindung und sollte keine Daten verarbeiten, insofern bleibt das System selbst vertrauenswürdig. Ein großer Vorteil gegenüber meinem früheren "Ubuntu mit VirtualBox" -- alle VMs sind schließlich nur so sicher und vertrauenswürdig wie der Host.

* Ähnliches gilt für die Firewall-VM: auch hier findet keine Datenverarbeitung statt, nur eine Auswertung der Firewall-Regeln und ansonsten eine Weiterleitung des Traffics (oder eben nicht); dadurch ist auch die Firewall vertrauenswürdig (ähnlich wie ein Pi-Hole oder ähnliche vorgeschaltete Firewalls -- ist ja das gleiche Prinzip).

* Für das anonyme Surfen bietet Qubes freundlicherweise standardmäßig eine Whonix-Installation. Whonix ist an sich eine eigene Linux-Distribution, die üblicherweise in einer VM läuft und den gesamten Traffic der Maschine über das Tor-Netzwerk schickt. Dadurch kann auch kein JavaScript- oder Flash-Skript von einer Webseite am Tor-Browser vorbei eine Internetverbindung aufbauen -- also: KANN schon, aber dadurch kommt das Skript auch nicht am Tor-Netzwerk vorbei. Die Verbindung zwischen Whonix und Qubes liegt somit nahe -- umso erfreulicher, dass es direkt in der Standard-Installation mitgeliefert wird.

* Die Usability ist übrigens auch absolut top: die verschiedenen VMs haben keine eigenen virtuellen Monitore, wie es in VirtualBox der Fall ist, sondern werden auf einem Monitor nebeneinander dargestellt. So kann ich also in einer VM Youtube gucken und nebenher in einer anderen VM arbeiten. Der Zwischenspeicher ist auch seperiert: ich kopiere also nicht versehentlich meine zwischengespeicherten Bankdaten nach Facebook. Mit einer zusätzlichen Tastenkombination kann die Zwischenablage zwischen VMs kopiert werden, wenn ich das möchte -- es passiert aber eben nicht versehentlich. Das ist schon alles sehr clever!

Allerdings gibt es auch einige Punkte, die mir nicht so gefallen. Zunächst einmal muss ich da die Geschwindigkeit nennen. Wobei ich natürlich einsehe, dass das nunmal am Konzept liegt... wenn ich den Tor-Browser starte und erst noch zwei VMs im Hintergrund starten müssen, dann die Tor-Verbindung aufgebaut wird, und dann erst der Browser geladen wird ist klar, dass das einen Moment dauert. Aber irgendwie nervt es trotzdem manchmal :) Wir reden hier über eine Größenordnung von mehreren Minuten! Aber gut, das ist wie gesagt Teil des Konzepts.

Andere Punkte verstehe ich einfach nicht -- hier kommen nun die Fragen -- Antworten in den Kommentaren sind erwünscht ;)

* es ist nicht vorgesehen, dass verschiedene VMs eine gemeinsame Datenbasis haben. Ok, die VMs sollen seperiert sein, das habe ich ja verstanden. Aber ich möchte nicht direkt meinen bisherigen Datenbestand auf verschiedene VMs aufteilen -- ich würde lieber meine Daten auf eine einzige große Partition kopieren und mit der jeweils passenden VM auf verschiedene Unterordner zugreifen. Theoretisch ist das alles möglich -- ich muss allerdings einen internen Fileserver aufsetzen, bei dem ich wiederum immer beim Neustart der VM die Datenpartition einhänge, und danach den Fileserver-Dienst starten. Das ist nicht gerade komfortabel und fühlt sich außerdem irgendwie überdimensioniert an... warum bietet Qubes hier keine einfache Standardlösung?

* das System ist als Single-User-System konzipiert. Ok, damit kann ich leben -- aber warum wird dann nach dem Hochfahren ein User-Passwort abgefragt? Falls jemand Qubes nutzt und es noch nicht probiert hat: es ist keine Eingabe erforderlich, einfach leer lassen und mit Enter das System starten... Wozu dann überhaupt der Dialog? Und was ich ja noch viel gewöhnungsbedürftiger finde: warum ist "sudo" nicht mit einem Passwort geschützt? Für mich bleibt somit immer die Sorge, dass irgendein Skript auf einer VM böse sudo-Sachen machen könnte und damit die VM korrumpiert. Wahrscheinlich ist das aus irgendeinem Grund garnicht möglich -- aber warum kann da nicht trotzdem eine Passwortabfrage sein, einfach für das gute Gefühl bei paranoiden Menschen wie mir?

* Was mir an meinem alten Ubuntu plus VirtualBox sehr gefallen hat ist, dass ich einfach Snapshots von meinen VMs machen konnte. Wenn ich vorhabe auf Casinoseiten-des-Todes  oder auf Facebook oder oder oder zu surfen kann ich zuvor einen Snapshot machen und hinterher wiederherstellen, und habe damit garantiert keine Supercoockies oder andere dauerhaften Veränderung meines Systems. Und dennoch kann ich regelmäßig Updates vornehmen und andere dauerhafte Veränderungen (die ich möchte) zulassen. Qubes bietet so ein System leider nicht (abgesehen von den disposable VMs, die aber ein bisschen ein anderes Konzept sind).
An der Stelle kenne ich die offizielle Begründung: die VMs sind nicht eigenständig, sondern basieren auf einer Template-VM, das heißt dass die System-Ordner (teilweise) bei einem neustart der VM wiederhergestellt, also überschrieben werden. Dadurch ist es aber nicht möglich, einen Snapshot zu machen, weil eine VM ja eigentlich aus zwei VMs besteht -- ABER: erstens könnte Qubes ja von beiden VMs einen Snapshot machen, und zweitens ist das kein Argument... es könnte ja auch ein vollständigen Snapshot einer VM machen und dann -- FALLS das Template verändert wurde nach einem Wiederherstellen einfach den "System-Ordner-überschreiben"-Teil auslassen. Ich finde die offizielle Begründung klingt irgendwie fadenscheinig... also die letzte Frage: warum kann ich meine VMs nicht so einfach snapshoten?

* Oh, und... warum bekommt es eigentlich VLC nicht hin eine DVD abzuspielen? Ist DVD-Gucken so ein außergewöhnlicher Wunsch? Oder so ein großes Sicherheitsrisiko...? :-o

Wie ich schon an anderer Stelle geschrieben habe bin ich nicht zu 100% überzeugt. Es gibt einige sehr coole Features, aber leider auch einige ziemlich dicke Minuspunkte. Und ich bin noch nicht sicher, was überwiegt... bisher habe ich mein Experiment nicht abgebrochen, die negativen Punkte haben also noch nicht die Oberhand gewonnen. Aber ob das so bleibt, kann ich noch nicht sagen.

- Thomas

#QubesOS #Qubes #VirtuelleMaschinen #Linux #IT-Sicherheit
  
Heute, nachdem ich das geschrieben hatte, hat mich ein Fundstück wieder etwas positiver gestimmt... ich habe einen Hinweis gefunden, wie man Facebook (und Google) mit Hilfe der /etc/hosts aussperren kann. Das habe ich doch direkt mal für alle VMs gemacht, die nicht auf Facebook zugreifen müssen und sollen!

Das gefällt mir... :D