Увидела свет первая бета-версия безопасного пользовательского Linux-дистрибутива Qubes OS, разрабатываемого под руководством Йоанны Рутковской (Joanna Rutkowska), польского специалиста по безопасности, получившей известность благодаря созданию "неуловимого" руткита Blue Pill и разработке метода атаки на механизмы защиты процессоров Intel TXT и Intel System Management Mode (SMM). Высокая устойчивость Qubes OS к взломам достигается за счет использования гипервизора Xen, поверх которого работают несколько виртуальных Linux-машин (доменов), выполняющих строго определенный набор функций.

Домены приложений предназначены для запуска пользовательских программ, сетевой домен ответственен за сетевые коммуникации, в рамках домена хранилища работают драйверы накопителей и зашифрованная корневая файловая система (такое разделение достигается за счет использования мехнизма Intel VT-d). Графический интерфейс и система управления остальными доменами работают внутри административного домена. Также предусмотрены домены для запуска сетевых сервисов.

Приложения пользователя получают доступ к зашифрованной корневой файловой системе, а также образу, содержащему специфичные для него данные, используя домен хранилища. Ключ шифрования корневой ФС известен только административному домену, поэтому компрометация домена приложений повлечет за собой потерю контроля только над данными самого домена, но не всей файловой системой. Все сетевые коммуникации осуществляются через сетевой домен, поэтому если злоумышленник проникнет в систему используя уязвимость в сетевом драйвере, под угрозой окажется только сетевой домен.

Qubes OS опирается на семантическое разделение ПО между доменами приложений, а это значит, что приложения помещаются в тот или иной домен не по типу, а по назначению и уровню доступа к конфиденциальной информации. Например, в рамках домена Entertainment могут работать десятки приложений, такие как видео- и аудио-плееры, Web-браузеры, клиенты социальных сетей и т.д., а в домене Banking будет работать только Web-браузер и email-клиент. Предполагается, что если пользователь закончил работу с онлайн-банком и решил переключиться на чтение новостей, он должен закрыть браузер, работающий в домене Banking и продолжить работу в браузере домена Entertainment (забыть об этом будет трудно, так как приложения работающие в домене Banking будут иметь ярко-красные рамки). Такой подход гарантирует, что вредоносный код, проникнувший в систему из непроверенных источников, не сможет получить доступ к конфиденциальной информации пользователя.

Первая бета-версия Qubes включает в себя следующие новшества:

• Инсталлятор;
• Улучшенный механизм шаблонов, который позволяет создавать новые сервисные домены на основе предопределенных шаблонов прямо во время работы системы;
• Поддержка автономных доменов, работающих обособленно от всей основной инфраструктуры ОС. Их можно использовать для разработки и установки приложений из непроверенных источников;
• Поддержка доменов для межсетевых экранов;
• Переработанный механизм копирования файлов между доменами, который стал проще и безопаснее;
• Руководство пользователя;
• Система теперь базируется на пакетной базе Fedora 14.

Выпуск финального релиза намечен на лето. Тогда Qubes OS будет разделена на две ветки: коммерческую, в рамках которой планируется добавить в ОС дополнительные расширения, одно из которых - поддержка Windows-доменов, и свободную, в рамках которой пойдет дальнейшее развитие ОС и реализация таких возможностей, как "небезопасные домены хранилища", мультиплексирование GPU, доверенная загрузка и т.д. Релиз Qubes 2.0 планируется выпустить не раньше 2012-2013 года.

Установочный ISO-образ можно загрузить на данной странице (размер iso-образа 1.6 Гб). Более подробно архитектура ОС рассмотрена в официальном документе и в данной русскоязычной статье. В течение следующих двух месяцев планируется выпуск второй бета-версии, в рамках которой будет улучшен пользовательский интерфейс, обновлен Xen и ядро.