Na světě jsou dva nové operační systémy. Přesněji řečeno jeden z nich se nachází v alfa verzi (rané vývojové fázi), druhý je ve stavu konceptu. A striktně vzato nejde o systémy stavěné na zelené louce: Oba jsou postavené na virtualizačních technikách a slibují vyřešení otázky bezpečnosti operačních systémů.

Oba systémy – Ethos i Qubes – vypadají hodně podobně, ne-li zcela stejně (použití virtualizace, sandboxy, Xen…). Zatímco tým stojící za Ethosem teprve získal k vývoji grant, Qubes je již dostupný k testování.

Ethos zatím spíše nápadem

Před pár dny se v některých odborných médiích objevily informace o operačním systému jménem Ethos. Dva výzkumní pracovníci – Jon Solworth z University of Illinois a Daniel Bernstein, mj. autor Djbdns – na něj od americké Národní nadace pro podporu vědy dostali grant ve výši 1,15 milionu dolarů (asi 21,5 milionu korun). Ethos má podle Solwortha a Bernsteina být odpovědí na stále rostoucí hrozby číhající v kyberprostoru – má představovat nejbezpečnější operační systém, který jednou provždy zamete s viry a dalším škodlivým softwarem.

Drtivá většina článků na toto téma vychází pouze z tiskové zprávy Illinoiské univerzity, takže prohlášení tamního PR oddělení musíme brát jaksi s rezervou. Použitý jazyk je samozřejmě ostřejší a nechce nás nechat na pochybách, že takový projekt je potřeba. „Dnešní počítačové operační systémy jsou naprosto děravé a neopravitelné,“ řekl Jon Solworth. „Přitom rok od roku se na tento problém vynakládá stále více peněz. Jenomže každým rokem se situace zhoršuje. Důvodem je, že řešíme následky, nikoli příčiny.“

Solworth je přesvědčen, že problém vyřeší změna představy o tom, jak by operační systém měl fungovat. Ethos je jenom jakýmsi náčrtkem, ale „jeho přístup k bezpečnosti je něčím, nad čím ještě neuvažovali – nebo to nepokládali za důležité – vývojáři operačních systémů, jako je Windows, Mac nebo Linux.“

Podle něj je stěžejní také to, že dnešní aplikace běžící na počítačích jsou zranitelnější než operační systém sám. „Naším cílem je zjistit, jak by bezpečný systém měl vypadat,“ říká. „Útočníkovi stačí najít pouze jednu díru, která ho zavede do sytému, kdežto my jako lidé starající se o jeho obranu musíme chránit každou takovou možnou cestu. Bezpečnost není kolbištěm, kde se potýkáte s jedním konkrétním cílem. Čelíte inteligenci dalšího člověka.“

Tisková zpráva univerzity pokračuje ve stejném duchu i dále, ovšem přesuňme se k tomu podstatnému. Co by Ethos měl být? Jak se dočteme na domácí stránce profesora Solwortha, „není to nový operační systém“ v pravém slova smyslu. Důvod je zřejmý: velké náklady na vývoj a „aplikační past“.

Solworth to komentuje slovy:

„Vývoj operačního systému je enormně náročný a drahý. Podle odhadů jsou i s ‚bezplatnými‘ operačními systémy jako Linux spojené vysoké náklady – cena Linuxu se pohybuje v řádu miliardy dolarů.“

(K tomu ještě jedna poznámka: „Cena Linuxu“ coby jádra činí dle propočtů 1,4 miliardy dolarů. Vývoj jednoho kompletního systému – linuxové distribuce – od píky by podle odhadů z roku 2008 přišel na 10,8 miliardy dolarů, tj. 200 miliard korun.)

Profesor Solworth dále podotýká, že ještě větší problém a větší náklady by byly spojeny s vývojem aplikací. „To je je jeden z důvodů, proč pokusy o nové operační systémy skončily neúspěchem.“

Potíž s novými operačními systémy a aplikacemi Solworth demonstruje na známém začarovaném kruhu, na tom, co on sám nazývá „aplikační pastí“: „Nový operační systém si nezíská uživatele, protože pro takový operační systém neexistují aplikace; a nikdo takové aplikace nebude psát, protože systém nikdo nepoužívá.“

Cestou ven z těchto problémů jsou (nejen) podle něj virtuální stroje, virtualizační systémy – hypervizory. Ty nejsou ničím novým a virtualizaci na základní úrovni zná i dost pokročilejších domácích uživatelů. Hypervizory umožňují spouštět souběžně několik operačních systémů, přičemž jednotlivé systémy jsou od sebe odděleny.

Nejznámějším způsobem virtualizace je spouštění virtuálního stroje nad běžícím operačním systémem – například v prostředí Windows si můžete spustit několik dalších operačních systémů a v nich pracovat zcela nezávisle (například Linux, BSD, jiné verze Windows apod.)

Jedním z nejznámějších hypervizorů je open-sourcová platforma Xen. Právě na tu se ve svém projektu Ethos spoléhá i Solworthův tým. „Xen používáme proto, že si myslíme, že jde o dobrou bezpečnostní architekturu, na které se operační systém vyplatí stavět.“

Detaily o přístupu Solwortha k novému OS však chybí. Z tiskové zprávy a dalších dostupných úryvků je zřejmé jen to, že Ethos bude představovat propojený Xen a paralelně běžící systémy (podle typu spouštěné aplikace). Hry nebo i jiné populární aplikace („staršího typu“) by měly normálně běžet, ovšem speciální aplikace určené pro online bankovnictví nebo další citlivé transakce poběží odděleně v systému jiném.

Pro řadu lidí, kteří problematiku virtualizace znají – byť jen okrajově –, tohle asi nebude znít jako něco revolučního, co by mělo změnit vývoj v IT a vyřešit otázky s bezpečnostní zejména klientských počítačů. Korporativní systémy již s různými řešeními virtualizace pracují dlouhou dobu, nemluvě o tom, že pro specializované úkony se léta používají systémy unixového typu, jež lze označit za velmi bezpečné. Například v operačním systému OpenBSD z rodiny unixových systémů BSD byly za jeho existenci nalezeny pouze dvě na dálku zneužitelné chyby. A projekt Ethos, jak Solworth uvádí, je sám UNIXem inspirován.

Pochybnosti o významu Ethosu může u mnohých vzbudit i to, že takto koncipovaný systém již dnes vlastně existuje.

„Xenový“ systém Qubes

Asi není náhoda, že tisková zpráva Illinoiské univerzity vyšla pár dní poté, co se na světě objevil operační systém Qubes. Stejně jako Ethos vychází z aplikace technologií virtualizace – a opět stojí na Xenu. Jeho autorkou je Joanna Rutkowská, jež se dlouhodobě zabývá problematikou bezpečnosti virtualizace a rootkity. Qubes je stejně jako Ethos založen na principu „izolace“ procesů.

Joanna Rutkowská ze společnosti Invisible Things Lab – jež vývoj sponzoruje – ale opět nevyvíjí nový operační systém od píky. Pokouší se o speciální kombinaci zmíněného hypervizoru Xen, systému X pro správu oken (X Window System) a Linuxu.

Na rozdíl od Ethosu je již dostupná jeho vývojové verze (alfa), kterou si může kdokoli vyzkoušet. Systém je vyvíjen jako open source, takže do jeho vývoje se mohou zapojit i další odborníci.

Jak bylo řečeno, Qubes stojí na implementaci bezpečnostního přístupu „izolace“: pomocí různých technik od sebe odděluje rozličné aplikace a bezpečnostní mechanismy (sandboxy) používá i pro řadu komponent na systémové úrovni (například subsystém pro síť nebo úložiště). Izolování těchto součástí zaručuje, že při napadení jedné části není postižena integrita zbytku systému.

Sandbox používá ke zvýšení bezpečnosti například webový prohlížeč Google Chrome, což je stěžejní i pro vývoj Google Chrome OS. Na těchto technikách stojí také operační systém iPhonu nebo experimentální operační systém Microsoft Singularity.

Textový procesor Writer běží ve vlastním malém virtuálním stroji (v doméně Práce). Je zcela oddělen od Firefoxu, který prohlíží web a může narazit na potenciálně nebezpečnou stránku. Firefox běží v doméně „Náhodné“. Příslušnost k daným doménám charakterizuje barevný rámeček.

V praxi si uživatel v prostředí OS Qubes může definovat vlastní bezpečnostní domény dle jejich použití – například „práce“, „banka“, „zábava“ apod. K tomu slouží jednotlivé „malé“ (odlehčené) virtuální stroje (AppVM).

Aplikace přiřazené do jednotlivých domén (uložených do jednotlivých AppVM) může uživatel spouštět zcela stejně, jako by byly na jednom společném stroji. Podstatné ovšem je, že tyto běžící aplikace jsou od sebe odděleny.

I když se zde bavíme o „izolaci“, neznamená to, že mezi mezi aplikacemi není možná komunikace. „Samozřejmě že funguje bezpečné kopírování/vkládání i sdílení dat mezi jednotlivými AppWM,“ říká Joanna Rutkowská. K tomu slouží „trezor“ a operaci kopírování/vložení musí uživatel schválit.

Zatím raná vývojové verze Quebes OS ukazuje na vcelku velkou náročnost na operační paměť – což je pochopitelné, když si uvědomíme, že každá spuštěná aplikace představuje vlastní běžící virtuální stroj. Jeden AppWM spotřebuje typicky asi 400 MB RAM, což je ale stále dost vysoká hodnota.

Jak stojí výše, zájemci si alfa verzi tohoto systému mohou vyzkoušet už dnes. Kdo chce finální verzi, která bude vhodná k produktivnímu použití, musí si počkat na konec letošního roku.

I když je příliš brzo na to jakkoli oba systémy hodnotit, Ethosu a jeho týmu byl pravděpodobně docela učebnicově vypálen rybník.

Oldřich Klimánek, Scinet.cz pro DSL.cz