Zatímco elektronickou komunikaci běžně šifrujeme již několik let a stejným způsobem můžeme zabezpečit i data na disku či flashce, některým uživatelům ani takové možnosti nestačí. Pro maximální bezpečnost je možné nainstalovat systém, který je vyvíjen právě s důrazem na ochranu proti útokům mnoha typů. Jedním z takových systémů je Subgraph OS, který je aktuálně ve fázi alpha-testování a každý uživatel si jej může vyzkoušet. Útokům čelí třeba tím, že striktně odděluje aplikace od systému.
Subgraph je kanadskou společností, která se zaměřuje na vývoj bezpečnostních open-source nástrojů. Kromě operačního systému má ve svém portfoliu třeba Vegu – aplikaci, která pomáhá webové stránky zabezpečit proti technikám jako je SQL Injection. Další nástroj Orchid je potom klientem pro síť Tor. Systém Subgraph OS je však jednoznačně nejrozsáhlejším projektem.
Aplikace v kontejnerech
Cíl systému je jasný – maximálně oddělit aplikace od samotného systému. K tomu jsou využívány linuxové kontejnery (Namespaces) nebo aplikace jako Xpra. Kernel potom obsahuje open-source vylepšení Grsecurity, které zabezpečuje systém před mnoha exploity a prakticky odstraní riziko toho, že by se aplikace dostaly k samotnému systému, kde by napáchaly škody. Základ je ale tvořen běžným Debianem s prostředním Gnome.
Aplikace tedy běží v samostatných sandboxech, které mají takové oprávnění, jaké si typ aplikace žádá. Například prohlížeč PDF dokumentů (které mohou být zdrojem malwaru) nemá vůbec přístup k síťovému připojení. Právě tento systém sandboxů s rozdílnými úlohami je vyvíjen přímo pro Subgraph OS pod názvem Oz.
Že se nejedná o zcela standardní Debian prozradí kromě pozadí i upozornění, že bylo připojení do sítě Tor úspěšně navázáno
Spojení přes Tor
Veškerá komunikace, která ze systému Subgraph OS probíhá, směřuje přes síť Tor. Ačkoliv skryté služby v Toru bývají nazývány jako temná strana internetu, zde je zvolen pro zachování maximální anonymity a zabezpečení připojení. A protože si s Torem velké množství aplikací nerozumí, je v systému vestavěná funkce Metaproxy, která z Torové sítě udělá běžné připojení. Tím pádem přes ni může komunikovat kterýkoliv program.
V systému tedy nechybí tradiční Tor Browser, který umožní zobrazovat právě skryté služby, se kterými si běžné prohlížeče neporadí.
I když je systém ve fázi alfa a na chyby zde narazíte, lze jej běžně používat. Obraz ISO s instalačním médiem však nehledejte na webu vývojářů, ale na jejich IRC kanálu. Tím chtějí pro Subgraph získat především testery, kteří budou mít zájem podělit se o zpětnou vazbu.
Následuje galerie s prohlídkou systému. Otevřete první snímek a navigujte se klávesami vpřed a zpět, případně poklepem na navigační šipky přímo v galerii. U každého obrázku najdete popis s informacemi.
Na první pohled běžný Debian
Díky svému původu je systém včetně instalace lokalizovaný do češtiny
Tor Browser
Aplikace v sandboxech
Nastavení systému