Subgraph، سیستم عامل لینوکسی امنی است که برای کاربران غیرحرفهای مناسب بوده و بهگونهای طراحی شده است تا بتواند در رایانهها و لپتاپهای نسبتاً کمقدرت نیز بهراحتی با حملات هک مبارزه کند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، افشاگریهای ادوارد اسنودن در مورد جاسوسی جهانی NSA از یک سو و به خطر افتادن حریم خصوصی کاربران ویندوز ۱۰ بهدلیل وجود برخی تنظیمات ناامن پیشفرض از سوی دیگر، موجب شده است تا خیلی از کاربران برای در امان ماندن امنیت و حریم خصوصیشان به پلتفرم لینوکس روی بیاورند.
با این حال و با وجود چنین استقبالی، هنوز هم محیط لینوکس خیلی کاربرپسند نیست. برخی از کاربران بهدلیل عدم آگاهی از نحوه پیکربندی سیستمشان در محیط لینوکس با تنظیمات مناسب حریم خصوصی و امنیت در معرض حملات هک و جاسوسی قرار گرفتهاند.
البته این مشکل با نصب سیستم عامل Subgraph قابل حل است. Subgraph یک سیستم عامل لینوکسی است که علاوه بر مبتنی بودن بر دبیان، تمرکز ویژهای بر مقوله امنیت دارد. کاربران با وجود این سیستم عامل، دیگر نگرانی در مورد به خطر افتادن حریم خصوصیشان نخواهند داشت.
Subgraph بهگونهای طراحی شده است تا بتواند در رایانهها و لپتاپهای نسبتاً کمقدرت نیز بهراحتی با حملات هک مبارزه کند.
Subgraph با کنار گذاشتن پیکربندی دستی از سوی کاربر اجازه میدهد که در بخش تنظیمات، پیکربندی گزینههای مربوط به مقولههای امنیت و حریم خصوصی بهصورت خودکار انجام شود.
اگرچه Subgraph تنها سیستم عامل امنیتمحور نیست اما باید گفت که سایر سیستم عاملهای فعال در این زمینه معمولاً خیلی زیاد از منابع استفاده میکنند و فقط بر روی سختافزار خاصی قابل اجرا هستند. ضمناً این سیستم عاملها برای کاربرانی که نمیدانند برای اجرای تکنیکهای پیشرفته در سیستمشان نیازمند وجود یک سیستم عامل امن هستند نوعی چالش تکنیکی به حساب میآید.
چرا باید از سیستم عامل Subgraph استفاده کرد
آنچه که سیستم عامل Subgraph به کاربران ارائه میدهد بیش از امنیت کرنال است. این سیستم عامل مبتنی بر لینوکس با داشتن تعداد زیادی از قابلیتهای امنیتی و حریم خصوصی، برای کاربران غیرحرفهای قابل دسترستر است و با بهرمندی از چندین نرمافزار و مولفه، سطح حمله کاربر را کاهش میدهد.
قابلیتهای ارائه شده از سوی Subgraph
• حفاظت پیشرفته خودکار با قرار دادن نرمافزار در حال اجرا در داخل یک محفظه
• قابلیت امنیتی Oz احتمالاً جالبترین ویژگی سیستم عامل Subgraph است. Oz سیستمی است که برای جدا کردن برنامهها استفاده میشود. این سیستم به نحوی طراحی شده است که اگر مهاجم اقدام به اکسپلویت آسیب پذیری امنیتی یک نرمافزار کند، بقیه سیستم و شبکه تا حد زیادی از آسیب در امان میمانند.
این کار با محدود کردن مجوز دسترسی نرمافزارها به سایر بخشهای رایانه میسر میشود. Oz اجازه نمیدهد که در زمان هک یک حفره امنیتی در هر نوع نرمافزاری از سوی مهاجم، فعالیتهای مخربی در سیستم انجام شود.
رمزنگاری اجباری Full Disk
Subgraph با ارائه رمزنگاری Full Disk بهصورت پیشفرض به کاربرانی که مسئله امنیت برایشان حیاتی است نشان میدهد که برای در امان ماندن امنیتشان باید این گام برداشته شود.
رمزنگاری Full Disk بهمنظور حفاظت از دیسکهای سخت کاربران، نسخه پشتیبان رمزنگاری را فعال میکند و از این طریق مانع جابهجا شدن و یا سوءاستفاده از درایو سخت از سوی هکرها میشود.
افزون بر این، زمانیکه سیستم در تلاش برای دفاع از حملات Cold Boot خاموش میشود، Subgraph اقدام به پاک کردن حافظه میکند.
حملات Cold Boot نوعی از حملات side channel هستند که چند ثانیه بعد از خاموش شدن سیستم، شروع به سوءاستفاده از دادههای موجود در سلولهای DRAM و SRAM میکنند.
ناشناس ماندن آنلاین؛ همهچیز از طریق Tor
Subgraph با مسیریابی همه ترافیک کاربر بهصورت پیشفرض از طریق شبکه ناشناس، موجب میشود تا شناسایی محل فیزیکی کاربر هدف برای مهاجمان سخت شود و به این ترتیب امنیت endpoint تضمین شود.
تنظیم پیشرفته پروکسی
برای انتقال نرمافزار به جهان خارج از Metaproxy استفاده میشود. این نرمافزار شناسایی ارتباطات قانونی را تسهیل میکند. از آنجا که نرمافزارها برای برقراری ارتباط از طریق تور از قبل پیکربندی نمیشوند، Metaproxy بدون آنکه برای هر نرمافزار مجبور به پیکربندی تنظیمات پروکسی باشد ارتباطات خروجی از طریق تور را رله میکند.
امنیت کرنال و سیستم
با وجود قابلیت Grsecurity، سیستم عامل Subgraph از مقاومت بالایی برخوردار خواهد بود. Grsecurity که مجموعهای از وصلههاست بهگونهای طراحی شده است تا اکسپلویت آسیبپذیریهای امنیتی کرنال لینوکس مثل نقصهای تخریب حافظه خیلی سختتر باشد.
سرویسهای ایمیل ایمن
Subgraph Mail در داخل سیستم عامل Subgraph با ادغام OpenPGP، این امکان را برای کاربران فراهم میکند تا با استفاده از PGP/MIME، پیامهای رمزنگاری شده یا امضا شده را ارسال و دریافت کنند.
سرویس Subgraph Mail بهگونهای طراحی شده است که مدیریت کلید PGP، ارسال و دریافت پیامهای رمزنگاری شده برای همه کاربران آسان باشد.
احراز هویت و راستیآزمایی بهنحوی در سرویس ایمن Subgraph Mail گنجانده شده است که حتی اگر برخی از بخشهای نرمافزار هک شوند هکر قادر نخواهد بود به سایر ایمیلها یا کلیدهای رمزنگاری کاربر دسترسی یابد.
هیچ نیازی نیست که دستورات در یک پنجره خط فرمان اجرا و پلاگینها نصب شوند. برای از بین بردن اکسپلویتهای وبی در داخل ایمیل، عمدتاً پشتیبان مرورگر وبی بیرون از کلاینت ایمیل قرار داده میشود.
راستیآزمایی بستههای دانلودی
Subgraph برای مطمئن کردن کاربران از مخرب نبودن بستههای دانلود شده اقدام به ارائه روشی جایگزین کرده است. طبق این روش، بستهها باید با باینریهایی که در فهرست بسته توزیعشده سیستم عامل قرار دارند مطابقت داده شوند که در این صورت یک نهاییکننده خواهد بود.
از این رو میتوان گفت که با اجرای سیستمعامل Subgraph، بهکارگیری هرگونه بسته دانلود شده مخرب و یا دستکاری شده از سوی کاربر منتفی است.
مقایسه سیستم عاملهای Subgraph و Qubes
Subgraph تا حدودی شبیه سیستم عامل Qubes است. Qubes که یکی دیگر از سیستم عاملهای لینوکسی برای رایانههای شخصی است، حول محور امنیت در PC ها فعالیت میکند.
برخلاف سیستم عامل Subgraph که اقدام به جداسازی نرمافزارهای تکی بر روی یک سطح با جزییات خیلی زیاد میکند، سیستم عامل Qubes نوعاً دامنههای مجزای متفاوتی را در داخل ماشینهای مجازی مختلف اجرا میکند؛ یکی برای کار و یکی برای استفاده شخصی کاربران.
برعکس Qubes، سیستم عامل Subgraph، شبکه و پشتههای USB یا سایر دستگاهها و درایورها را جداسازی نمیکند.
اگرچه استفاده Subgraph از Xpra برای مجازیسازی رابط گرفیکی کاربر (GUI) در مقایسه با پروتکل GUI سیستم عامل Qubes از امنیت پایینتری برخوردار است اما داشتن کلیپ برد کاری یکپارچه را میتوان از مزایای بهکارگیری این روش دانست.
در حالی Subgraph با استفاده از تکنیکهای دستکاری Netfilter، ترافیک نرمافزارساز را به داخل شبکه TORهدایت میکند و در ضمن به کاربر اجازه میدهد تا ترافیک نرمافزارساز را مشاهده و کنترل کند که در نقطه مقابل، سیستم عامل Qubes از ماشینهای مجازی مجزا (پروکسی VMs مثل TorVM) برای رهگیری ترافیک استفاده میکند.
چگونه میتوان سیستم عامل Subgraph را دانلود کرد
سیستم عامل Subgraph که در روزهای ۱۱ و ۱۲ مارس در حاشیه کنفرانس Logan CIJ Symposium برلین رونمایی میشود از طریق وب سایت رسمی Subgraph قابل دانلود شدن است.