Subgraph، سیستم عامل لینوکسی امن برای کاربران غیرحرفه‌ای

Subgraph، سیستم عامل لینوکسی امنی است که برای کاربران غیرحرفه‌ای مناسب بوده و به‌گونه‌ای طراحی شده است تا بتواند در رایانه‌ها و لپ‌تاپ‌های نسبتاً کم‌قدرت نیز به‌راحتی با حملات هک مبارزه کند.  

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، افشاگری‌های ادوارد اسنودن در مورد جاسوسی جهانی NSA از یک سو و به خطر افتادن حریم خصوصی کاربران ویندوز ۱۰ به‌دلیل وجود برخی تنظیمات ناامن پیش‌فرض از سوی دیگر، موجب شده است تا خیلی از کاربران برای در امان ماندن امنیت و حریم خصوصی‌شان به پلتفرم لینوکس روی بیاورند.

با این حال و با وجود چنین استقبالی، هنوز هم محیط لینوکس خیلی کاربرپسند نیست. برخی از کاربران به‌دلیل عدم آگاهی از نحوه پیکربندی سیستم‌شان در محیط لینوکس با تنظیمات مناسب حریم خصوصی و امنیت در معرض حملات هک و جاسوسی قرار گرفته‌اند.

البته این مشکل با نصب سیستم عامل Subgraph قابل حل است. Subgraph یک سیستم عامل لینوکسی است که علاوه بر مبتنی بودن بر دبیان، تمرکز ویژه‌ای بر مقوله امنیت دارد. کاربران با وجود این سیستم عامل، دیگر نگرانی در مورد به خطر افتادن حریم خصوصی‌شان نخواهند داشت.

Subgraph به‌گونه‌ای طراحی شده است تا بتواند در رایانه‌ها و لپ‌تاپ‌های نسبتاً کم‌قدرت نیز به‌راحتی با حملات هک مبارزه کند.

Subgraph با کنار گذاشتن پیکربندی دستی از سوی کاربر اجازه می‌دهد که در بخش تنظیمات، پیکربندی گزینه‌های مربوط به مقوله‌های امنیت و حریم خصوصی به‌صورت خودکار انجام شود.

اگرچه Subgraph تنها سیستم عامل امنیت‌محور نیست اما باید گفت که سایر سیستم عامل‌های فعال در این زمینه معمولاً خیلی زیاد از منابع استفاده می‌کنند و فقط بر روی سخت‌افزار خاصی قابل اجرا هستند. ضمناً این سیستم عامل‌ها برای کاربرانی که نمی‌دانند برای اجرای تکنیک‌های پیشرفته در سیستم‌شان نیازمند وجود یک سیستم عامل امن هستند نوعی چالش تکنیکی به حساب می‌آید.

چرا باید از سیستم عامل Subgraph استفاده کرد 
آنچه که سیستم عامل Subgraph به کاربران ارائه می‌دهد بیش از امنیت کرنال است. این سیستم عامل مبتنی بر لینوکس با داشتن تعداد زیادی از قابلیت‌های امنیتی و حریم خصوصی، برای کاربران غیرحرفه‌ای قابل دسترس‌تر است و با بهرمندی از چندین نرم‌افزار و مولفه، سطح حمله کاربر را کاهش می‌دهد. 

قابلیت‌های ارائه شده از سوی Subgraph
• حفاظت پیشرفته خودکار با قرار دادن نرم‌افزار در حال اجرا در داخل یک محفظه
• قابلیت امنیتی Oz احتمالاً جالب‌ترین ویژگی سیستم عامل Subgraph است. Oz سیستمی است که برای جدا کردن برنامه‌ها استفاده می‌شود. این سیستم به نحوی طراحی شده است که اگر مهاجم اقدام به اکسپلویت آسیب پذیری امنیتی یک نرم‌افزار کند، بقیه سیستم و شبکه تا حد زیادی از آسیب در امان می‌مانند.

این کار با محدود کردن مجوز دسترسی نرم‌افزارها به سایر بخش‌های رایانه میسر می‌شود. Oz اجازه نمی‌دهد که در زمان هک یک حفره امنیتی در هر نوع نرم‌افزاری از سوی مهاجم، فعالیت‌های مخربی در سیستم انجام شود.

رمزنگاری اجباری Full Disk
Subgraph با ارائه رمزنگاری Full Disk به‌صورت پیش‌فرض به کاربرانی که مسئله امنیت برایشان حیاتی است نشان می‌دهد که برای در امان ماندن امنیت‌شان باید این گام برداشته شود.

رمزنگاری Full Disk به‌منظور حفاظت از دیسک‌های سخت کاربران، نسخه پشتیبان رمزنگاری را فعال می‌کند و از این طریق مانع جابه‌جا شدن و یا سوءاستفاده از درایو سخت از سوی هکرها می‌شود.

افزون بر این، زمانی‌که سیستم در تلاش برای دفاع از حملات Cold Boot خاموش می‌شود، Subgraph اقدام به پاک کردن حافظه می‌کند.

حملات Cold Boot نوعی از حملات side channel هستند که چند ثانیه بعد از خاموش شدن سیستم، شروع به سوءاستفاده از داده‌های موجود در سلول‌های DRAM و SRAM می‌کنند.

ناشناس ماندن آنلاین؛ همه‌چیز از طریق Tor
Subgraph با مسیریابی همه ترافیک کاربر به‌صورت پیش‌فرض از طریق شبکه ناشناس، موجب می‌شود تا شناسایی محل فیزیکی کاربر هدف برای مهاجمان سخت شود و به این ترتیب امنیت endpoint تضمین شود.

تنظیم پیشرفته پروکسی
برای انتقال نرم‌افزار به جهان خارج از Metaproxy استفاده می‌شود. این نرم‌افزار شناسایی ارتباطات قانونی را تسهیل می‌کند. از آن‌جا که نرم‌افزارها برای برقراری ارتباط از طریق تور از قبل پیکربندی نمی‌شوند، Metaproxy بدون آن‌که برای هر نرم‌افزار مجبور به پیکربندی تنظیمات پروکسی باشد ارتباطات خروجی از طریق تور را رله می‌کند.

امنیت کرنال و سیستم
با وجود قابلیت Grsecurity، سیستم عامل Subgraph از مقاومت بالایی برخوردار خواهد بود. Grsecurity که مجموعه‌ای از وصله‌هاست به‌گونه‌ای طراحی شده است تا اکسپلویت آسیب‌پذیری‌های امنیتی کرنال لینوکس مثل نقص‌های تخریب حافظه خیلی سخت‌تر باشد.

سرویس‌های ایمیل ایمن
Subgraph Mail در داخل سیستم عامل Subgraph با ادغام OpenPGP، این امکان را برای کاربران فراهم می‌کند تا با استفاده از PGP/MIME، پیام‌های رمزنگاری شده یا امضا شده را ارسال و دریافت کنند. 

سرویس Subgraph Mail به‌گونه‌ای طراحی شده است که مدیریت کلید PGP، ارسال و دریافت پیام‌های رمزنگاری شده برای همه کاربران آسان باشد.

احراز هویت و راستی‌آزمایی به‌نحوی در سرویس ایمن Subgraph Mail گنجانده شده است که حتی اگر برخی از بخش‌های نرم‌افزار هک شوند هکر قادر نخواهد بود به سایر ایمیل‌ها یا کلیدهای رمزنگاری کاربر دسترسی یابد.

هیچ نیازی نیست که دستورات در یک پنجره خط فرمان اجرا و پلاگین‌ها نصب شوند. برای از بین بردن اکسپلویت‌های وبی در داخل ایمیل، عمدتاً پشتیبان مرورگر وبی بیرون از کلاینت ایمیل قرار داده می‌شود.

راستی‌آزمایی بسته‌های دانلودی
Subgraph برای مطمئن کردن کاربران از مخرب نبودن بسته‌های دانلود شده اقدام به ارائه روشی جایگزین کرده است. طبق این روش، بسته‌ها باید با باینری‌هایی که در فهرست بسته توزیع‌شده سیستم عامل قرار دارند مطابقت داده شوند که در این صورت یک نهایی‌کننده خواهد بود.

از این رو می‌توان گفت که با اجرای سیستم‌عامل Subgraph، به‌کارگیری هرگونه بسته دانلود شده مخرب و یا دستکاری شده از سوی کاربر منتفی است.

مقایسه سیستم عامل‌های Subgraph و Qubes
Subgraph تا حدودی شبیه سیستم عامل Qubes است. Qubes که یکی دیگر از سیستم عامل‌های لینوکسی برای رایانه‌های شخصی است، حول محور امنیت در PC ها فعالیت می‌کند.

برخلاف سیستم عامل Subgraph که اقدام به جداسازی نرم‌افزارهای تکی بر روی یک سطح با جزییات خیلی زیاد می‌کند، سیستم عامل Qubes نوعاً دامنه‌های مجزای متفاوتی را در داخل ماشین‌های مجازی مختلف اجرا می‌کند؛ یکی برای کار و یکی برای استفاده شخصی کاربران.

برعکس Qubes، سیستم عامل Subgraph، شبکه و پشته‌های USB یا سایر دستگاه‌ها و درایورها را جداسازی نمی‌کند.

اگرچه استفاده Subgraph از Xpra برای مجازی‌سازی رابط گرفیکی کاربر (GUI) در مقایسه با پروتکل GUI سیستم عامل Qubes از امنیت پایین‌تری برخوردار است اما داشتن کلیپ برد کاری یکپارچه را می‌توان از مزایای به‌کارگیری این روش دانست.

در حالی Subgraph با استفاده از تکنیک‌های دستکاری Netfilter، ترافیک نرم‌افزارساز را به داخل شبکه TORهدایت می‌کند و در ضمن به کاربر اجازه می‌دهد تا ترافیک نرم‌افزارساز را مشاهده و کنترل کند که در نقطه مقابل، سیستم عامل Qubes از ماشین‌های مجازی مجزا (پروکسی VMs مثل TorVM) برای رهگیری ترافیک استفاده می‌کند.

چگونه می‌توان سیستم عامل Subgraph را دانلود کرد
سیستم عامل Subgraph که در روزهای ۱۱ و ۱۲ مارس در حاشیه  کنفرانس Logan CIJ Symposium برلین رونمایی می‌شود از طریق وب سایت رسمی Subgraph قابل دانلود شدن است.