Qubes OS: Разделяй и Властвуй

[MaFio]

"Я бы предпочла доверять всем компонентам системы,
но это слишком наивно и не отвечает требованиям безопасности в сложных системах"

— Йоанна Рутковская, создатель Qubes ОС, хакер​

Вводная часть

В мире, где цифровая безопасность и анонимность становятся всё более важными и сложными задачами, Qubes ОС выделяется как одна из самых инновационных и надежных операционных систем. Qubes ОС предлагает уникальный подход к защите данных и конфиденциальности. Эта система, построенная на принципе "безопасности через изоляцию", обеспечивает разделение процессов, драйверов, приложений и сетевых компонентов в изолированные виртуальные машины, что минимизирует риски компрометации.
ОС Qubes была создана Йоанной Рутковской, признанным экспертом в области информационной безопасности. Её имя стало широко известно после выступления на конференции Black Hat в 2006 году, где она продемонстрировала атаку под названием Blue Pill. В ходе этой атаки Йоанна внедрила тонкий слой гипервизора между оборудованием и операционной системой, который перехватывал все взаимодействия между ОС и аппаратным обеспечением. Это дало атакующему возможность полностью контролировать систему, манипулируя ею по своему усмотрению и потенциально обходя все механизмы защиты и обнаружения вторжений. Этот взлом вызвал бурные обсуждения в мире кибербезопасности и вынудил специалистов пересмотреть подходы к защите операционных систем. В дальнейшем Рутковская также показала, как можно обойти такие передовые технологии безопасности, как Intel Trusted Execution Technology (TXT), что проявило уязвимости даже самых продвинутых защитных механизмов перед новыми методами атак.

​

Технически Qubes ОС базируется на гипервизоре Xen, который используется для создания и управления изолированными виртуальными машинами, называемыми "кубами". Каждый куб функционирует как отдельная среда, что позволяет изолировать различные задачи — будь то по работе, личные дела или веб-сёрфинг. В случае компрометации одного куба остальные остаются защищёнными, что значительно снижает риск утечки данных и взлома. Этот подход не только обеспечивает высокий уровень безопасности, но и поддерживает анонимность пользователей, давая возможность контролировать и разделять различные аспекты их цифровой жизни.

Для стабильной и оптимальной работы Qubes OS рекомендуется следующее оборудование:

• 64-битный процессор Intel или AMD с поддержкой виртуализации (Intel VT-x с EPT или AMD-V с RVI, а лучше Intel VT-d или AMD-Vi)​
• Минимум 8 ГБ RAM (лучше 16 ГБ и более)​
• от 64 ГБ SSD (лучше 128 ГБ и больше)​
• Интегрированная графика Intel будет оптимальным выбором. (Если используете дискретные графические карты NVIDIA или AMD, будьте готовы к возможной дополнительной настройке.)​

В русскоязычном интернете существует крайне мало информации и экспертных материалов по этой ОС, поэтому в серии этих заметок мы рассмотрим ключевые аспекты Qubes ОС: от установки и настройки до использования её уникальных возможностей для создания безопасной и анонимной рабочей среды. Сборник материалов с изображениями, командами и скриптами из моря интернета, предназначенный для всех, кто хочет повысить свою цифровую безопасность и приватность. Приятного чтения и успешного развертывания Qubes ОС.


Примечание: Qubes OS не рекомендуется устанавливать в виртуальной машине, так как эта ОС сама по себе использует гипервизор Xen для изоляции процессов на уровне железа

Отслеживайте тему, чтобы быть в курсе обновлений
Комменты на паузу — место для последовательных публикаций​

 

[MaFio]

Подготовка к установке Qubes OS

Чтобы начать установку Qubes OS, следуйте приведённым ниже шагам по скачиванию образа и созданию установочного носителя. Вся информация основана на официальной документации, но адаптирована и дополнена для удобства и наглядности.

Скачивание образа системы​

1. Перейдите на официальный сайт Qubes OS (вы можете использовать зеркало в Tor, если необходимо).
2. Выберите актуальную версию, рекомендованную для установки, и скачайте её по прямой ссылке (вы также можете использовать торрент)

Запись образа на USB-накопитель в Windows​

1. Скачайте и установите программу Rufus, если она у вас ещё не установлена. Это простой и надёжный инструмент для создания загрузочных USB-носителей.
2. Подключите USB-накопитель к компьютеру и запустите Rufus.
3. Выберите ваш USB-накопитель из выпадающего списка Device. Например, на скриншоте накопитель имеет имя NO_LABEL.
   
   
   
   
   
   
   
4. В выпадающем списке Boot selection выберите скачанный образ Qubes OS. Остальные настройки должны совпадать с настройками на скриншоте.
5. Нажмите Start. Rufus спросит, в каком режиме производить запись. Выберите Write in DD Image mode.
   
   
   
   
   
   
   
6. Дождитесь завершения процесса записи и закройте программу.

Запись образа на USB-накопитель в Linux​

1. Определите имя вашего USB-накопителя в системе. Откройте терминал и выполните команду lsblk, чтобы просмотреть подключённые устройства.
   
   
   
   
   
   
   
2. В большинстве случаев ваше устройство будет называться sdb. Определите его по размеру в колонке SIZE.
3. Если вам удобнее, откройте программу Gnome Disks и найдите ваш USB-накопитель. Убедитесь, что его имя совпадает с определённым ранее.
   
   
   
   
   
   
   
   
   
   
4. Используйте следующую команду для записи образа на устройство:
   Bash: Скопировать в буфер обмена
   sudo dd if=Qubes-R4.1.1-x86_64.iso of=/dev/sdb status=progress bs=1048576 && sync
   Убедитесь, что имя образа и путь к нему правильны.
5. После успешной записи вы увидите прогресс выполнения команды. Убедитесь, что процесс завершился без ошибок.

Теперь ваш USB-накопитель готов к использованию для установки Qubes OS.

 

[MaFio]

Проверка целостности образа Qubes OS​

Успешное создание загрузочной флешки с Qubes OS — это отличный результат, который показывает, что мы уверенно движемся вперёд с самого первого шага. Однако, по правилам и стандартам безопасности, перед записью образа на флешку необходимо убедиться в его целостности. Понимая, что этот процесс может показаться сложным и вызывать трудности у многих пользователей, как у новичков, так и у более опытных, я решил посвятить этому отдельную заметку уже после записи флешки.

В этой публикации мы дополнительно рассмотрим этап проверки образа Qubes OS — проверку хэш-сумм, которая является необходимым шагом для подтверждения целостности файла. Это начальный, но обязательный шаг, и в будущем вам предстоит ознакомиться с более продвинутыми методами, такими как использование PGP, для дополнительной безопасности. Теперь давайте шаг за шагом разберемся, как правильно начать выполнять проверку, чтобы ваша система была максимально защищена и вы могли доверять ей полностью.

Почему важно проверять образ?​

Проверка целостности образа — это не просто формальность, а необходимый шаг для гарантии того, что файл, который вы собираетесь установить, не был изменён или повреждён. Вредоносные изменения в образе могут привести к утечке данных, компрометации системы или установке неофициального ПО. Проверка хэш-сумм позволяет убедиться, что образ загружен полностью и не подвергался изменениям.

Скачивание необходимых файлов​

Прежде чем приступить к проверке хэш-сумм, перейдите на страницу загрузки Qubes OS и скачайте/откройте файл "Cryptographic hash values"

Вы увидите примерно следующее:

Проверка хэш-сумм​

Windows​

1. Проверка хэш-суммы:
   • Откройте PowerShell.
   • Перейдите в папку, где сохранен ISO-образ и файл хэш-сумм:
     Код: Скопировать в буфер обмена
     cd C:\path\to\your\download\folder
   • Выполните команду для вычисления хэш-суммы:
     Код: Скопировать в буфер обмена
     Get-FileHash Qubes-R4.2.2-x86_64.iso -Algorithm SHA256
   • Сравните результат с соответствующей хэш-суммой SHA256 в скачанном/открытом файле с хэш-суммами.

Linux​

1. Проверка хэш-суммы:
   • Откройте терминал.
   • Перейдите в папку, где сохранен ISO-образ и файл хэш-сумм:
     Bash: Скопировать в буфер обмена
     cd /path/to/your/download/folder
   • Выполните команду для вычисления хэш-суммы:
     Bash: Скопировать в буфер обмена
     sha256sum Qubes-R4.2.2-x86_64.iso
   • Сравните результат с соответствующей хэш-суммой SHA256 в скачанном/открытом файле с хэш-суммами.

Если значения совпадают, ваш образ целостен.

О PGP-проверке​

Теперь вы знаете, как проверить целостность образа Qubes OS с помощью хэш-сумм. Для пользователей, стремящихся к ещё более высокому уровню безопасности, существует возможность проверки подлинности образа с помощью PGP. Этот метод добавляет дополнительный уровень защиты, гарантируя, что образ был подписан командой разработчиков Qubes OS. Я рекомендую ознакомиться с этим методом по мере накопления опыта и уверенности в работе с системами безопасности. PGP-проверка может стать следующим шагом на пути к более глубокому пониманию аспектов цифровой безопасности.

 

[Veil]

MaFio сказал(а):
Йоанной Рутковской, признанным экспертом в области информационной безопасности.
Нажмите, чтобы раскрыть...

Дружище при всем уважении к тебе, я грамотных баб за свою жизнь в технической отрасли не видел , от слова совсем. Были кодеры типа аллерт написать. Бабе можно только доверить бумажки писать, а в нашей области их море и кофе заваривать, и больше ни хрена. Короче говоря, можно доверить только рутинную работу-робота. У меня была первая наставница кодер во втором поколении, но кроме рутины написать ничего не могла. Правда она сказала мне великую фразу, не надо становиться кодером, не думай , что ты умнее всех.
Все что нужно до тебя уже написано, тебе главное это найти.

 

[MaFio]

Судя по первому комментарию, опыт работы с профессионалами в IT, похоже, некоторых обошел стороной, и неудивительно, что выводы про Qubes OS и её авторе оказались такими, скажем, простыми.

Пользуясь случаем, есть смысл остановиться и немного углубиться в мир этой операционной системы, а также современной информационной безопасности.


Эдвард Сноуден, известный разоблачитель и активист в области защиты частной жизни о Qubes OS:

"Если вы серьезно относитесь к безопасности, Qubes OS — лучшая ОС на сегодняшний день. Это то, что использую я, и она бесплатна. Никто не делает изоляцию виртуальных машин лучше."


Qubes OS — это не просто операционная система, а настоящий шедевр для тех, кто ценит безопасность на высшем уровне. Эта система, признанная лучшей среди профессионалов по всему миру, построена на архитектуре, где безопасность превращена в продуманную стратегию, а не в набор случайных настроек.

https://en.wikipedia.org/wiki/Qubes_OS

Qubes OS - Wikipedia ​

en.wikipedia.org


Виталик Бутерин, создатель Ethereum, отмечает:

"Недавно пробовал Qubes OS; это Linux-дистрибутив, разработанный с повышенным вниманием к безопасности, путем виртуализации всего и удобной работы с разными виртуальными машинами. Удивительно дружелюбный интерфейс!"


Йоанна Рутковская — одна из ведущих фигур в мире информационной безопасности. Её изящные и беспрецедентные атаки на системы оставили неизгладимое впечатление у экспертов. Игнорировать её достижения — это как пытаться игнорировать само понятие безопасности в IT.

https://ru.wikipedia.org/wiki/Рутковская,_Йоанна

Рутковская, Йоанна — Википедия ​

ru.wikipedia.org


Qubes OS использует принципы, которые меняют сам подход к безопасности в операционных системах. Представьте себе, что вы не просто защищаете свои данные, а буквально строите крепость вокруг каждого аспекта своей цифровой жизни. Каждое приложение, каждый процесс существует в своём собственном 'замке', а доступ к ним возможен только через тщательно контролируемые 'мосты'. Это не просто архитектура — это новая философия безопасности, где каждый куб работает как автономная единица, защищённая от других, но при этом обеспечивающая полную функциональность. Такой подход позволяет пользователю не только чувствовать себя в безопасности, но и буквально управлять этой безопасностью с непревзойдённой гибкостью.


Публикация статей будет продолжена, но прошу воздержаться от комментариев до завершения публикаций основных материалов. Возможно, это время позволит осознать, что реальная экспертиза и знания в IT не зависят от стереотипов, а определяются исключительно профессионализмом, глубокими знаниями и опытом — качествами, которые невозможно подменить пустыми словами.

 

[Veil]

Дружище , она же не разработчик, а руководитель проекта.

 

[MaFio]

Давайте не отвлекаться на бесполезные нетехнические мелочи — ведь они так же не важны, как и логика и здравый смысл в них. Двигаемся дальше!

Установка Qubes OS: Переход к экрану загрузки​

Включение виртуализации​

Перед началом установки необходимо убедиться, что поддержка виртуализации активирована в BIOS/UEFI вашего компьютера. Это важный шаг, так как Qubes OS использует виртуальные машины для обеспечения безопасности.

1. Откройте BIOS/UEFI вашего компьютера. При включении устройства нажмите клавишу, например, F10, Del, Esc, или иную в зависимости от модели.
   
   Вот пример того, как выглядит меню BIOS на ThinkPad T430:
   
   
   
   
   
   А вот пример того, как выглядит меню UEFI:
   
   
   
   
   
   
2. Найдите раздел Virtualization или Advanced Settings (или подобные).
3. Убедитесь, что опции Intel VT-x и Intel VT-d (или их эквиваленты для AMD) включены.
   
   

Подготовка к загрузке с флешки​

1. Выключите (либо перегружайте) компьютер.
2. Подключите флешку с записанным образом Qubes OS.
3. Включите компьютер и сразу нажмите клавишу для входа в Boot Menu (например, Esc, F10, F12, Del).
   
   
   
   
   
4. В меню выберите USB-устройство для загрузки.
   • Если отображаются несколько похожих записей флешки, попробуйте каждую, чтобы выбрать правильное.

Сохраните изменения и перезагрузите компьютер. Если всё настроено правильно, начнётся загрузка с USB-устройства и появится экран установщика Qubes OS.

Экран загрузки Qubes OS​

После загрузки вы увидите экран с несколькими опциями:

• Install Qubes OS
• Test media and install Qubes OS
• Troubleshooting - verbose boot
• Rescue a Qubes OS system
• Install Qubes OS using kernel-latest
  
  

Рекомендуется выбрать Test media and install Qubes OS, чтобы проверить целостность носителя перед установкой. После успешной проверки начнётся установка.

Также экран может быть такой:

Возможные проблемы с загрузкой​

Если экран установки не появляется или загружается другая операционная система, попробуйте:

1. Перезагрузить компьютер и войти в меню загрузки снова.
2. Убедитесь, что в BIOS/UEFI USB-устройство установлено как первичное для загрузки.
3. В случае использования Windows 10 может потребоваться воспользоваться опцией "Использовать устройство" в меню восстановления для изменения порядка загрузки.
   
   

Эти шаги помогут правильно настроить BIOS/UEFI и загрузить Qubes OS с флешки для последующей установки системы.

 

[MaFio]

Установка Qubes OS: Главный экран установщика​

Выбор языка установки​

Первый экран установщика Qubes OS предлагает выбрать язык, который будет использоваться в процессе установки. Этот шаг прост, но важен для комфортной работы с системой во время установки.

1. Выберите язык из предложенного списка, используя стрелки на клавиатуре или мышь. Если вы хотите использовать русский язык или любой другой, просто выберите его. Рекомендуется выбрать English
   
   
   
   
   
2. Нажмите Continue, чтобы перейти к следующему шагу.

Проверка совместимости оборудования​

После выбора языка установщик автоматически проведет проверку совместимости оборудования. Это необходимо для того, чтобы убедиться, что IOMMU-виртуализация активирована. Если она отключена или ваше оборудование не поддерживает эту функцию, вы увидите сообщение о неподдерживаемом оборудовании:

Unsupported Hardware Detected

1. Если появляется это сообщение, не стоит паниковать. Оно может указывать на то, что виртуализация IOMMU не включена в BIOS/UEFI. Вернитесь в BIOS/UEFI и проверьте, что опции Intel VT-x и Intel VT-d включены (или их аналоги для AMD).
   
   
   
   
   
2. Если настройки были корректно изменены, повторите попытку установки.

Важно: Если эти функции не активированы, система может работать некорректно или без некоторых функций безопасности.

Домашний экран установщика​

Если оборудование успешно прошло проверку совместимости, вы попадёте на экран Installation Summary. Это домашний экран установщика, на котором отображаются основные настройки установки. Здесь вы увидите разделы для выбора раскладки клавиатуры, поддержки языка, часового пояса и других параметров, которые можно будет изменить.

Важно отметить, что этот экран показывает готовность системы к установке. В следующих публикациях мы рассмотрим каждый из параметров и варианты их изменения более детально.

Сам по себе экран установки Qubes OS работает полностью в офлайн-режиме, то есть он не загружает никакие сетевые драйверы, что исключает риск сетевых атак или утечек данных во время установки.

 

[Whisper]

Что на самом деле важно, так это понимать что даже если софт кубов написан идеально без ошибок то - никакая виртуализация не спасет от очередной дыры в железе, причем когда информация о дыре станет общедоступной то лично для вас пить боржоми может быть уже поздно.
Держать на одном физическом устройстве - чувствительные данные, построение цепочек движения трафика, и с этого же устройства работать по темным темам это - напрашиваться на пмж в сша или в рабство к трехбуквенным.

 

[MetadorAPT]

Whisper сказал(а):
Что на самом деле важно, так это понимать что даже если софт кубов написан идеально без ошибок то - никакая виртуализация не спасет от очередной дыры в железе, причем когда информация о дыре станет общедоступной то лично для вас пить боржоми может быть уже поздно.
Держать на одном физическом устройстве - чувствительные данные, построение цепочек движения трафика, и с этого же устройства работать по темным темам это - напрашиваться на пмж в сша или в рабство к трехбуквенным.
Нажмите, чтобы раскрыть...

я бы в принципе не доверял исходя источников финансирования Qubes OS, на каждый известный продукт к которому приложили руку National Security Agency имеется бэкдор, включая whonix, цель этих продуктов не совсем хонейпот, а обеспечить мобильность доступа для некоторой массы людей, только это правило работает до определенного уровня "важности" того кто использует, всегда смотрите кто финансирует - тому и нужно, я бы использовал Qubes только в целях общей прослойки, кто не считает за бред использовать тройную виртуализацию))

 

[Whisper]

MetadorAPT сказал(а):
всегда смотрите кто финансирует - тому и нужно
Нажмите, чтобы раскрыть...

Это не значит что и нам не пригодится.
Но видел штуки которые сидят в железе и интересуются хвостами и прочими подобными решениями. Сами хвосты выкладывали видос про такое.

 

[MaFio]

Процесс публикации серии статей о Qubes OS, охватывающих установку, настройку и использование системы, идет полным ходом. Несмотря на объём материала, я стараюсь тщательно прорабатывать каждый шаг, чтобы даже новичку всё было понятно, и части мануала/книги публикуются по мере их готовности. Изначально планировал завершить весь материал и только потом перейти к обсуждению, но, как и следовало ожидать, реальность внесла свои коррективы.

Комментарии от пользователей поступают, и что особенно приятно, они на этот раз действительно по теме, затрагивая ключевые моменты. Поэтому теперь приходится совмещать публикации с обсуждениями. Но, стоит отметить, полезные замечания помогают уточнять детали и вносить важные корректировки.

1.

Whisper сказал(а):
Что на самом деле важно, так это понимать что даже если софт кубов написан идеально без ошибок то - никакая виртуализация не спасет от очередной дыры в железе, причем когда информация о дыре станет общедоступной то лично для вас пить боржоми может быть уже поздно.
Нажмите, чтобы раскрыть...

Аппаратные уязвимости представляют угрозу для всех систем, но в Qubes OS их воздействие снижается благодаря изоляции доменов. Использование многослойной архитектуры изоляции снижает риски по сравнению с традиционными системами, где все задачи выполняются в одном окружении. В Qubes OS каждый домен работает в отдельной виртуальной машине, что ограничивает последствия компрометации одним доменом, в отличие от систем, где уязвимость на уровне процессора может предоставить доступ ко всем данным и процессам.

Qubes OS разрабатывалась с учётом угроз как на аппаратном, так и на программном уровнях. Даже при наличии аппаратных уязвимостей, Qubes OS предоставляет гораздо более сложную цель для атакующего, а изоляция доменов значительно усложняет задачу полного захвата системы.

2.

MetadorAPT сказал(а):
я бы в принципе не доверял исходя источников финансирования Qubes OS, на каждый известный продукт к которому приложили руку National Security Agency имеется бэкдор, включая whonix, цель этих продуктов не совсем хонейпот, а обеспечить мобильность доступа для некоторой массы людей.
Нажмите, чтобы раскрыть...

Насколько я понял, ты обладаешь наивысшей паранойей (в хорошем смысле) — не доверяешь ни Tails, ни Whonix, ни другим решениям, включая Qubes OS. Это достойная позиция для человека, стремящегося минимизировать риски до предела. Признаю, твоя осторожность оправдана. Но это сильно ограничивает твои возможности!

Qubes OS, несмотря на вопросы о финансировании (и, что важно, оно не связано напрямую с NSA), — это проект с открытым кодом, разработанный признанными хакерами. Благодаря этому любой может проверить систему на наличие бэкдоров, что делает внедрение скрытых уязвимостей крайне трудным. Регулярные аудиты со стороны сообщества ещё больше повышают доверие к системе. В отличие от закрытых решений, открытая разработка Qubes OS существенно снижает вероятность вмешательства, независимо от источника финансирования (который, кстати, в основном состоит из пожертвований обычных пользователей).

3.

Whisper сказал(а):
Это не значит что и нам не пригодится.
Но видел штуки которые сидят в железе и интересуются хвостами и прочими подобными решениями. Сами хвосты выкладывали видос про такое.
Нажмите, чтобы раскрыть...

Следует чётко и ясно понимать, что ни одна система не даёт абсолютной защиты, но архитектура Qubes OS делает её одной из самых стойких к любым атакам. Она обязательно пригодится, особенно тем, кто стремится к максимальной безопасности и защите информации!