Subgraph OS: un Linux a la vanguardia en seguridad

subtegraph-dash

Tenemos una nueva aspirante al trono de distribución GNU/linux más segura, se trata de Subgraph OS un sistema creado por expertos hackers y enfocado a mejorar la protección de activistas, y del que se lleva hablando casi un par de años, algo meritorio teniendo en cuenta que hasta hace unas horas ni siquiera disponíamos de una versión alfa que llevarnos al pendrive.

Ya sabéis que me gusta probar las cosas antes de escribir sobre ellas, así que la he descargado y me encontrado una distro que en muchos aspectos me recuerda a Tails -al igual que esta es sofisticada pero fácil de usar— y en otros a Qubes.

Base Debian y conexiones bajo Tor

Al igual que Tails, Subgraph OS se basa en Debian, aunque apuesta directamente por Stretch, es decir la rama testing en estos momentos, mientras que en Tails hay una mayor variedad de fuentes de software, que van desde la rama estable hasta Debian experimental.

Aún así, podríamos decir que Subgraph utiliza versiones de software más recientes: es el caso del escritorio GNOME Shell (3.18 en el caso de Subgraph y 3.14 en Tails) o del kernel (4.4.2 en Subgraph convenientemente modificado por grsecurity para hacerlo todavía más resistente a exploits, mientras que la última Tails 2.2 viene con Linux 3.16)).

Destaca también su escritorio personalizado, que permite que desde la barra de estado se puede activar el cortafuegos o iniciar la red Tor para encaminar todo el tráfico a través de ella –cada aplicación utiliza un circuito tor diferente–, que es otro de esos puntos en común que tiene con Tails.

subtegraph

Aislamiento, aislamiento everywhere

Os decía al principio que Subgraph OS también se parece a Qubes, y ello es debido al concepto de aislamiento de las aplicaciones de tal manera que unas no puedan ser comprometidas por otras al ejecutarse en el escritorio (offtopic: cuando se imponga definitivamente wayland en GNU/Linux, ese aspecto de seguridad va a mejorar en todas la distros, respecto a como lo maneja actualmente X11), escalar privilegios o acceder a determinados datos del usuario

En el caso de Subgraph OS utilizan un procedimiento de sandboxing llamado Oz que envuelve a lo que ellos consideran aplicaciones de alto riesgo (navegador web, cliente de correo , app de mensajería, lectores de PDF, etc.) en una capa de aislamiento que limita: el acceso a dispositivos, configuración de la red, archivos del usuario, visibilidad de procesos, acceso a la interfaz gráfica, visibilidad del sistema de archivos o determinados ataques al kernel.

Aplicaciones específicas

El navegador Tor browser viene preinstalado, una vez lancemos la aplicación lo primero que va a hacer es descargarlo directamente desde la web del proyecto.

Destacar también la integración de Enigmail con el cliente de correo electrónico Icedove para ofrecer cifrado GPG en nuestras comunicaciones.

Otras aplicaciones interesantes, la mayoría no habituales en distros de uso genérico, que me he encontrado son:

  • CoyIM Messenger: cliente XMPP
  • Florence Virtual: teclado virtual
  • KeePassX: gestor de contraseñas.
  • MAT: un conjunto de herramientas para eliminar metadatos.
  • XPRA: es una plataforma open source que permite acceso remoto a aplicaciones o escritorios.
  • Yubikey: un sistema de doble verificación mediante hardware.

Descarga e instalación

Subgraph se puede ejecutar en modo live, o instalar directamente en nuestro ordenador, en este último caso con cifrado de archivos obligatorio.

Además entre sus características incluye el borrado de la memoria RAM cuando el sistema está apagado para evitar ataques de arranque en frio y también están trabajando –más a largo plazo– en un sistema propio de verificación de los paquetes binarios respecto al código fuente sobre el que son construidos.

Más información y descargas de su primera alfa en la web del proyecto

2 thoughts on “Subgraph OS: un Linux a la vanguardia en seguridad”

  1. carlosky77 says:

    Parece que está de moda crear aplicaciones por aislamiento. El problema va a seguir (en mi humilde opinión) si los sistemas operativos son monolíticos (como Linux y Bsd). Esto se solucionaría si fueran de microkernel (como Hurd y la extinta symbian para celulares). Es cierto que va a consumir más recursos pero prefiero la seguridad antes que nada.

  2. mantisfistjabn says:

    Otra más para la lista de pruebas 🙂

Deja un comentario