پاسخ : سامانه‌ی عامل Subgraph، توزیعی امن از لینوکس برای کاربران غیرفنی

بعد از افشاگری‌های ادوارد اسنودن در مورد نظارت سراسری NSA که باعث جلب توجه جامعه‌ی جهانی به حفاظت از داده‌ها و رمزگذاری شد، امنیت اطلاعات و حریم خصوصی همواره جزء موضوعات داغ بوده‌اند.

علاوه بر این، تنها چند روز بعد از راه‌اندازی موفق ویندوز ۱۰ در تابستان گذشته، ما شاهد تنظیمات پیش‌فرض مختلفی در جدیدترین سامانه‌ی ‌عامل مایکروسافت بودیم که حریم خصوصی را در معرض خطر قرار می‌دادند. این عامل باعث مهاجرت بسیاری از افراد حرفه‌ای و عادی به لینوکس شد.

اما مشکل اینجاست که اکثریت کاربران با محیط لینوکس راحت نیستند. آن‌ها نمی‌دانند که چطور سامانه‌‌ی‌ خود را برای حفظ حریم خصوصی و امنیت تنظیم کنند، در نتیجه همچنان در معرض نفوذ و نظارت قرار می‌گیرند.

اما این شکاف می‌تواند توسط یک لینوکس مبتنی بر دبیان که متمرکز بر مسائل امنیتی می‌باشد، پر شود. این نسخه از لینوکس Subgraph OS نام دارد، نسخه‌ای که یک راه حل کلیدی برای ترس‌های امنیتی شما است.

سامانه‌ی‌ عامل سابگراف، یک توزیع از لینوکس است که هدف آن مبارزه‌ی راحت‌تر با حملات است، حتی روی رایانه‌ها و لپ‌تاپ‌های کم‌قدرت.

در این سامانه‌‌‌ی عامل همه‌ی گزینه‌های امنیتی و حریم خصوصی از قبل تنظیم شده‌اند، در نتیجه نیازی به تنظیمات دستی توسط کاربر نخواهد بود.

سامانه‌‌های عامل‌ متمرکز بر امنیت وجود دارند، اما معمولاً بسیار وابسته به منابع بوده و تنها می‌توانند روی سخت‌افزار خاص اجرا شوند. آن‌ها همچنین یک چالش فنی جدی برای کاربرانی هستند که روش‌‌های پیشرفته‌ی مورد نیاز برای داشتن یک سامانه‌ی ‌‌عامل امن را ندارند.

چرا باید سامانه‌ی ‌‌عامل لینوکس سابگراف را نصب کنید؟

امکانات سامانه‌ی ‌‌عامل سابگراف فقط شامل امنیت کرنل نیست. این سامانه‌ی ‌‌عامل مبتنی بر لینوکس انواع ویژگی‌های مختلف برای امنیت و حریم خصوصی را داراست و توسعه‌دهندگان آن بر این باور هستند که استفاده از این سامانه‌‌‌ی عامل برای افراد غیرفنی راحت‌تر خواهد بود.

این سامانه‌ی‌ عامل همچنین شامل چندین برنامه و مؤلفه است که سطح حمله‌ی کاربر را کاهش می‌دهند. در ادامه نگاه دقیق‌تری روی ویژگی‌های مهم سامانه‌‌‌ی عامل سابگراف خواهیم داشت.

محافظت خودکار و پیشرفته در برابر سندباکس برنامه‌ها با استفاده از کانتینر‌ها

یک ویژگی امنیتی معروف به Oz، احتمالاً جذاب‌ترین ویژگی سامانه‌ی‌ عامل سابگراف است. Oz یک سامانه‌ برای ایزوله‌کردن برنامه‌ها است که در نتیجه‌ی آن اگر یک رخنه‌گر از یک آسیب‌پذیری امنیتی در یک برنامه بهره‌برداری کند، باقی سامانه‌ و شبکه‌ی شما تا حد زیادی بی‌تأثیر از آن خواهد ماند.

Oz با محدودکردن اجازه‌ی برنامه در دسترسی به سایر قسمت‌های رایانه‌ این کار را ممکن می‌کند، در نتیجه وقتی یک رخنه‌گر امنیت برنامه‌ای را در معرض خطر قرار می‌دهد، Oz امکان انجام فعالیت‌های مخرب را نمی‌دهد.

رمزگذاری اجباری کل دیسک

سامانه‌‌‌ی عامل سابگراف به صورت پیش‌فرض امکان رمزگذاری کل دیسک را دارد. در نتیجه به صورت اجباری تا حدی بخشی از امنیت کاربران را تأمین می‌کند.

با رمزگذاری کل دیسک تا حدی از دیسک سخت شما محافظت می‌شود، و از به خطر افتادن داده‌های شما حتی وقتی که هارد درایو شما در محل مناسبی نباشد، جلوگیری می‌کند.

علاوه بر این، سامانه‌ی‌ عامل سابگراف هنگامی که سامانه‌ خاموش می‌شود حافظه را پاک می‌کند تا سامانه‌ در برابر حملات Cold Boot ایمن باشد.

حملات Cold Boot، نوعی از حملات کانال جانبی هستند که از داده‌هایی که در سلول‌های DRAM و SRAM هستند چند ثانیه بعد از خاموش کردن سامانه‌، استفاده می‌کنند.

ناشناس‌بودن برخط، همه‌چیز از طریق شبکه‌ی تور

سامانه‌ی‌ عامل سابگراف همه‌ی ترافیک شما را به صورت پیش‌فرض از طریق شبکه‌ی تور هدایت می‌کند، و کار را برای رخنه‌گرهایی که قصد پیدا کردن محل فیزیکی شما را دارند، دشوار می‌کند.

تنظیمات پیشرفته‌ی پروکسی

ارسال داده‌ها توسط برنامه‌ها به دنیای بیرون از طریق برنامه‌ی Metaproxy صورت می‌گیرد، که امکان شناسایی اتصال‌های معتبر را فراهم می‌کند.

با توجه به این‌که هر برنامه‌ای با تنظیمات قبلی جهت ارتباط با تور نیست، متاپروکسی ترافیک خروجی از طریق تور را بدون نیاز به تنظیمات مربوط به هر برنامه عبور می‌دهد.

امنیت سامانه‌ و کرنل

سامانه‌ی‌‌ عامل سابگراف همچنین با استفاده از Grsecurity مقاوم شده است، مجموعه‌ای از وصله‌ها که برای سخت‌تر کردن بهره‌برداری از آسیب‌پذیری‌‌های هسته‌ی لینوکس، مانند نقص حافظه، طراحی شده‌اند.

پشتیبانی از PaX یکی دیگر از مزیت‌های امنیتی است که کمک می‌کند با کمترین سطح اختیارات از صفحات حافظه حفاظت شود. در نتیجه این امر بهره‌برداری از آسیب‌پذیری‌های امنیتی مانند سرریز بافر و نقص حافظه در برنامه‌ها و هسته‌ی سامانه‌ی ‌‌عامل دشوار خواهد شد.

سرویس رایانامه‌ی امن

با توجه به این‌که که همه‌چیز در نظر گرفته شده است، سامانه‌‌ی عامل سابگراف شامل Subgraph Mail است که در آن OpenPGP قرار دارد که در نتیجه کاربران می‌توانند پیام‌های امضاءشده/رمزشده را با استفاده از PGP/MIME ارسال و دریافت کنند.

سرویس رایانامه‌ی سابگراف طوری طراحی شده است که مدیریت کلید PGP و ارسال و دریافت رایانامه‌‌های رمزشده را برای همه‌ی افراد آسان می‌کند.

همچنین Subgraph Mail امن است، علی‌رغم این‌که امنیت داده‌ها، احراز هویت و تصدیق یکپارچگی طوری پیاده‌سازی شده‌اند که حتی برخی قسمت‌های برنامه در معرض خطر هستند، اما یک رخنه‌گر نمی‌توانند به بقیه‌ی رایانامه‌های شما و کلید‌های رمزگذاری دسترسی داشته باشند.

علاوه بر این، نیازی نیست  که دستورات را در یک پنجره‌ی ترمینال اجرا کنید یا پلاگینی نصب کنید. پشتیبانی از مرورگر وب به صورت دلخواه جدا از سرویس‌گیرنده‌ی رایانامه در نظر گرفته شده است تا رایانامه از بهره‌برداری‌های مربوط به وب به دور باشد.

یکپارچگی

سامانه‌‌ی عامل سابگراف همچنین راهی جایگزین برای اعتماد به بسته‌های بارگیری‌شده ارائه داده است. این بسته‌ها با پرونده‌های باینری موجود در فهرست بسته‌ی‌ توزیع‌شده‌ی سامانه‌ی‌‌ عامل مقایسه می‌شوند.

اخیراً واقعه‌ی نفوذ به لینوکس مینت، مثالی از این مورد است.

بنا بر این، سامانه‌ی‌ عامل سابگراف استفاده از هر گونه بسته‌ی بارگیری‌شده‌ی ‌مخرب را حذف می‌کند.

مقایسه بین سامانه‌ی‌ عامل Subgraph و سامانه‌ی‌ عامل Qubes

سامانه‌‌ی عاملSubgraph  شباهت‌هایی به سامانه‌ی‌ عامل Qubes، یک سامانه‌‌ی عاملی امنیتی و مبتنی بر لینوکس دیگر برای رایانه‌های شخصی.

برخلاف سامانه‌‌ی عامل Subgraph که برنامه‌ها را ایزوله می‌کند، سامانه‌‌ی عامل Qubes ماشین‌های مجازی مختلفی را برای گروه‌های مختلف برنامه‌ها در نظر گرفته است، یکی برای کار، یکی برای استفاده‌ی شخصی و ... .

سامانه‌‌‌ی عامل Subgraph  پشته‌های شبکه و یواس‌بی یا سایر ابزارها و درایورها را ایزوله نمی‌کند اما سامانه‌ی‌‌ عامل Qubes این کار را انجام می‌دهد.

همچنین سامانه‌‌ی‌ عامل Subgraph از Xpra برای مجازی‌سازی رابط کاربری استفاده می‌کند، که نسبت به پروتکل رابط کاربری Qubes امنیت کمتری دارد، اما در عوض چندین مزیت مانند عمل‌کرد بی‌نقص کلیپ‌بورد دارد.

Subgraph از قلاب‌های Netfilter برای هدایت ترافیک تولیدشده توسط برنامه به شبکه‌ی تور استفاده می‌کند، اما سامانه‌ی‌ عامل Qubes از سرویس ماشین مجازی (ماشین‌های مجازی پروکسی مانند TorVM) برای جدا کردن ترافیک استفاده می‌کند.

در کل می‌توان گفت که سابگراف می‌تواند محل امنی برای علاقه‌مندان به حریم خصوصی باشد.

چگونه سامانه‌ی‌ عامل سابگراف را دریافت کنیم؟

سامانه‌‌ی عامل سابگراف از طریق وب‌گاه رسمی آن قابل دریافت خواهد بود. باید تا رونمایی از این سامانه‌ی‌ عامل در کنفرانس Logan CIJ Symposium در برلین در روزهای ۱۱ و ۱۲ مارس منتظر باشیم تا ایزوله‌سازی مجازی را تجربه کنیم.

 
http://news.asis.io/content/%D8%B3%D8%A7%D9%85%D8%A7%D9%86%D9%87%E2%80%8C%DB%8C-%D8%B9%D8%A7%D9%85%D9%84-subgraph%D8%8C-%D8%AA%D9%88%D8%B2%DB%8C%D8%B9%DB%8C-%D8%A7%D9%85%D9%86-%D8%A7%D8%B2-%D9%84%DB%8C%D9%86%D9%88%DA%A9%D8%B3-%D8%A8%D8%B1%D8%A7%DB%8C-%DA%A9%D8%A7%D8%B1%D8%A8%D8%B1%D8%A7%D9%86-%D8%BA%DB%8C%D8%B1%D9%81%D9%86%DB%8C

اطلاعات بیشتر در مورد این توزیع لینوکسی :

https://motherboard.vice.com/read/subgraph-os-wants-to-make-using-a-secure-operating-system-less-of-a-headache
https://github.com/subgraph/oz/wiki/Oz-Technical-Details
https://secure-os.org/pipermail/desktops/2015-October/000002.html

اوبونتو...