- Mitglied seit
- 01.06.2014
- Beiträge
- 284
- Punkte für Reaktionen
- 263
- Punkte
- 63
Private OS to bypass locks and protect against snooping
You may have already used the Tails distribution or even run it daily. But this is not the only operating system that can hide your presence on the network and helps circumvent regional blockages. In this article, we will explore five Tails competitors, each with its own interesting features.
Keep in mind! Long and complete anonymity is practically unattainable in practice. Moreover, persistent attempts to achieve it are guaranteed to attract you attention.
Operating system privacy
An experienced Linux hacker will independently make a private operating system to his needs, stuff it with his favorite tools and encrypt every bit. However, it will take a lot of time, and therefore this method is suitable only for the most red-eyed. For everyone else, there are ready-made options in which thousands of little things have already been thought out, proven security tools have been collected and configured.
With external diversity, these distributions have many things in common, since the preservation of the privacy of personal life is built on the same approaches. Ensuring privacy consists of the following steps, which are decided at the local and network level:
We will not discuss the human factor that negates the reliability of any system. We confine ourselves to technical aspects and simply recall that there are no means that completely prohibit people from making mistakes.
Private Kodachi Operating System
Once we talked about the best distributions for forensic analysis, and Kodachi positioned as anti-forensic development , complicating the forensic analysis of your drives and RAM. Technically, this is another Debian fork focused on privacy. In some ways, it is even more thought out than the popular Tails.
The latest stable version of Kodachi 3.7 was written last January. The private operating system hails from Oman (where they are familiar with Internet censorship firsthand), which adds color to it.
Xfce was chosen as the desktop environment for Kodachi, and the general interface of the operating system is stylized for macOS. The status of connection to Tor and VPN, as well as most of the current system boot parameters, are displayed in real time and displayed directly on the desktop.
Private Operating System | Kodachi GUI
Among the key features of Kodachi is the forced tunneling of traffic through Tor and VPN, with a free VPN already configured.
Plus, Kodachi integrates DNScrypt support - it is a protocol and the eponymous utility that encrypts requests to OpenDNS servers using elliptic cryptography methods. It eliminates a number of typical problems, such as DNS leak and leaving traces of network activity on the provider's servers.
Another difference of Kodachi is the integrated Multi Tor for quick change of output nodes with the choice of a specific country and PeerGuardian for hiding its IP address in P2P networks (as well as blocking network nodes from a long black list).
In addition to PeerGuardian, the Uncomplicated Firewall (uwf) with the guwf graphical shell is used as a firewall.
Applications in Kodachi are easily isolated using the built-in Firejail sandbox. It is especially recommended to do this for the browser, mail and messenger.
The operating system is densely stuffed with cryptography tools (TrueCrypt, VeraCrypt, KeePass, GnuPG, Enigmail, Seahorse, GNU Privacy Guard Assistant) and tracing marks (BleachBit, Nepomuk Cleaner, Nautilus-wipe).
Kodachi implements cold-reset attack protection. During a cold boot attack, you can partially recover data that was recently (seconds ago) stored in RAM. To avoid this, Kodachi overwrites random access memory with random data when you turn off the computer.
Quick response tools are collected in the Panic room section. It has programs for wiping data on disk and in RAM, restarting network connections, locking the screen (xtrlock), and even a command to completely destroy the operating system.
Private Operating System | Paranoid set
Kodachi works with USB-Flash as a typical Live distribution (so as not to leave traces on the local computer), but if you wish, you can run it in a virtual machine (if you trust the main OS). In any case, by default you log in as a user with the name kodachi and password r @@ t00. To use sudo, enter username root and the same password r @@ t00.
Private operating system MOFO Linux
It is a fast-paced and solidly stuffed OS based on ubuntu. Out of the box, it offers SoftEther VPN and OpenVPN with automatic detection of the fifteen fastest (not necessarily closest to you) free servers. Their ping is indicated to you, to google.com and the bandwidth of the channel.
Private Operating System | Configure OpenVPN
In addition to Tor and VPN, MOFO supports I2P plus Lantern and Psiphon, like smart proxies. True, now Psiphon is buggy, and Lantern has no speed limit on a free tariff, only 500 MB per month is available, but you can always buy a paid account.
A Freenet client, a peer-to-peer anonymous network with distributed storage of encrypted data, is installed directly from the graphical menu in a couple of clicks. It has its own sites and forums, which are almost impossible to censor.
A link has been added to MOFO for installing the IPFS (Interplanetary File System) distributed file system support package based on P2P technologies. Thanks to IPFS, you can share local files and create sites that will not disappear due to locks. MOFO also supports the Cjdns network protocol. Using it, you can create a virtual IPv6 network with traffic encryption.
The cryptographic protection of personal data in MOFO is provided by eCryptfs, a multi-level file system with encryption on the fly. It works on top of the existing FS (ext3, ext4 or XFS) and does not require the creation of a special partition.
Additionally, a utility with support for TrueCrypt and VeraCrypt cryptocontainer formats is preinstalled in MOFO.
Private Operating System | ZuluCrypt - encrypted volume options
At the time of testing, mofolinux-6.0 version dated February 18, 2018 was available. By default, the administrator password is not set.
Private operating system Subgraph OS
About this operating system we wrote back in 2016, and since then, little has changed. This is still a very crude fork of Debian, which once praised Snowden for the idea, but not for the implementation. The only thing that has noticeably changed in Subgraph is a list of preinstalled software.
Private Operating System | Integrated Utilities in Subgraph OS
The latest version now is September Alpha 2017. It can be launched in live mode, but for full operation it involves installation on a hard drive.
A key feature of Subgraph OS is the Oz sandbox application launcher. It isolates the selected applications from each other and from the main system using namespaces and imposes restrictions using seccomp-bpf, just as the already mentioned Firejail does.
The Subgraph OS kernel is compiled with PaX / Grsecurity patches. They restrict access to / proc files, use more stringent chroot () isolation, include a more advanced ASLR address space randomization system, mark the stack as non-executable and control the allocation of network sockets.
Subgraph OS is installed on an encrypted partition, has the means to enable / disable access to applications on the network, supports YubiKey hardware keys with one-time passwords.
Private Operating System | YubiKey PT on Subgraph OS
Email is protected using PGP, and the built-in firewall routes all outgoing connections through the anonymous Tor network.
Integrated Subgraph OS Instant Messenger is a fork of CoyIM with XMPP support, which also works through Tor by default.
Creating an anonymous ball file is available through OnionShare, but the utility works in other versions of Linux in the same way.
Private Operating System | OnionShare on Subgraph OS
At first glance, it might seem that in Subgraph OS everything is fine and it is really a decent OS, but in fact, everything is much more complicated. In the built-in sandbox, only certain applications are launched. There is a list of applications that automatically fall into the sandbox, the rest, including the GNOME desktop, run like regular applications on any other Linux distribution.
This architecture opens up many ways to compromise the OS. For example, Tor Browser runs in the sandbox, but has full access to the ~ / Downloads directory (to save downloaded files). If a hole is found in the browser and the cracker finds a way to use it to launch an exploit, he will be able to record whatever he wants in ~ / Downloads, including, for example, a .desktop file. Any script can be placed in such a file, and it will be executed when the user goes to the ~ / Downloads directory and clicks on it. Since Subgraph OS uses the Nautilus file manager working outside the sandbox to navigate through the FS, the script will have access to the entire system.
In April 2017, Micah Lee and Joanna Rutkowska (creator of Qubes OS) took advantage of this misunderstanding, performing a demonstrative hack Subgraph OS.
Private operating system heads
A relatively new OS is called just that - heads with a lowercase letter. A brief explanation of the developer is written in the FAQ on this subject: "because I said so." The remaining answers in it are no more meaningful. The project is young, it develops on bare enthusiasm, and therefore the documentation is not enough.
At the time of writing, official website version 0.4 dated March 26, 2018 was available. Technically, it is a Devuan-based fork, which in turn is a Debian fork with the SysVinit initialization daemon instead of SystemD.
Heads only supports processor architectures i386, x86_64, so it is not suitable for use on mobile devices with ARM processors. As a graphical shell in the heads, the Awesome tile window manager is proposed, which implements quick control of windows from the keyboard. Openbox is available as a more familiar alternative.
The set of utilities in heads is very modest. There is a browser, mail, chat, cryptocurrency wallet and a pair of programs for working with different types of files.
Private Operating System | Minimalism heads
On the other hand, due to its lightness, Tor starts very quickly, and the browser can be used almost immediately.
Key features of heads - deep integration with Tor and the use of only free software. All traffic (not just browser) in heads goes through Tor. The heads website is also available on Tor.
Additionally, heads can replace the MAC address at startup, and the Permakey kernel module automatically shuts down the OS when a bootable USB flash drive is removed (useful in case of a hasty departure). You can disable this behavior by checking the corresponding boxes at the start of the operating system. There, at startup, the administrator password is set.
Private Operating System | Launch heads
By default, external drives are not connected. In Openbox, they are mounted by clicking on the udiskie utility icon in the lower panel on the right. The OS is at an early stage of development, so there are enough deficiencies in it. Problems arise already with the search for drivers for video cards, network adapters and other hardware. If you are lucky with the config, then heads will quickly start in Live mode and start up the traffic of all applications through Tor.
However, this is not always necessary. For example, when using HexChat you cannot connect to many popular channels. They see an attempt to log in through the Tor output nodes and automatically kick you.
The heads have a very short list of resources in Tor, but they are easy to find on your own.
Private operating system Whonix
OS Whonix The least trivial OS in today's review. It comes in the form of off-the-shelf virtual machines (.ova) and consists of two interconnected parts.
The back end is called the Whonix-Gateway, and the back end is called the Whonix Workstation. The latest stable release was released on May 31, 2016. By default, Whonix is set to the user name user and password changeme.
To use Whonix, you need to download both virtual machines, import their configs using VirtualBox, and start them one by one, starting with Gateway. They do not need a lot of resources. Optimum parameters are already set.
Further customization is performed using the wizard in a few clicks. Conjuring in the console is not required.
Private Operating System | Configure Whonix-Gateway
The server side will take over routing through Tor and VPN, processing DNS queries and filtering network packets.
This approach allows you to hide all user data in one virtual machine, while another is exposed to attacks - Gateway. At the same time, the well-known problem of deanonymization is solved in this way. There is no risk of a real IP leak due to DNS leak and routing glitches.
Even if the server side of Whobix is hacked, the attacker will not calculate your IP address and will not get to your documents and bitcoins, since they are stored in another (client) virtual machine.
Whonix's list of pre-installed programs is pretty standard: Tor browser, Tor Messenger, Tox and Ricochet messengers, Mozilla Thunderbird and TorBirdy email clients with PGP support, secure file transfer via SCP (RCP via SSH) and system utilities.
Like any virtual machine, Whonix reliability depends on the degree of security of the main operating system. It can be run on computers with Windows, macOS or Linux.
One of the most reliable options is the launch of Whonix in Qubes OS on a trusted hardware with reference firmware. This is a fork of Fedora from Joanna Rutkowska using the Xen hypervisor. This OS does not apply to Live-distributions and therefore is not considered in the current review.
Source
You may have already used the Tails distribution or even run it daily. But this is not the only operating system that can hide your presence on the network and helps circumvent regional blockages. In this article, we will explore five Tails competitors, each with its own interesting features.
Keep in mind! Long and complete anonymity is practically unattainable in practice. Moreover, persistent attempts to achieve it are guaranteed to attract you attention.
Operating system privacy
An experienced Linux hacker will independently make a private operating system to his needs, stuff it with his favorite tools and encrypt every bit. However, it will take a lot of time, and therefore this method is suitable only for the most red-eyed. For everyone else, there are ready-made options in which thousands of little things have already been thought out, proven security tools have been collected and configured.
With external diversity, these distributions have many things in common, since the preservation of the privacy of personal life is built on the same approaches. Ensuring privacy consists of the following steps, which are decided at the local and network level:
- guaranteed removal of traces of work and any unique (and therefore potentially compromising) data used during the session;
- encryption of the data that needs to be stored (for example, electronic wallets, documents, audio and video recordings, other personal files and configs);
- concealment of the fact of storing encrypted data (using steganography methods and disguising them among the more visible cryptocontainers that obviously do not contain valuable information);
- isolation of applications and the allocation of certain services in separate virtual machines (sandbox, Xen, VirtualBox, and other virtualization tools) to reduce the likelihood of deanonymization when infected with a trojan;
- kernel patches for enhanced control over process interactions and minimizing the risk of deanonymization through exploits;
- means of emergency shutdown of the OS with the quick deletion of the most compromising data in case of a threat of physical removal of the boot drive;
- early substitution of the MAC address of network devices (usually it occurs at the boot stage);
- prevention of IP address disclosure (VPN status monitoring, anti DNS leak, filtering scripts, using a chain of proxy servers with high anonymity, proxying the traffic of all applications through Tor, etc.);
- implementation of anonymous communication channels (chats, mail, file sharing);
- bypassing regional locks (automatic configuration of using public DNS servers, free VPNs, fast proxies, Tor, I2P, Freenet).
We will not discuss the human factor that negates the reliability of any system. We confine ourselves to technical aspects and simply recall that there are no means that completely prohibit people from making mistakes.
Private Kodachi Operating System
Once we talked about the best distributions for forensic analysis, and Kodachi positioned as anti-forensic development , complicating the forensic analysis of your drives and RAM. Technically, this is another Debian fork focused on privacy. In some ways, it is even more thought out than the popular Tails.
The latest stable version of Kodachi 3.7 was written last January. The private operating system hails from Oman (where they are familiar with Internet censorship firsthand), which adds color to it.
Xfce was chosen as the desktop environment for Kodachi, and the general interface of the operating system is stylized for macOS. The status of connection to Tor and VPN, as well as most of the current system boot parameters, are displayed in real time and displayed directly on the desktop.
Private Operating System | Kodachi GUI
Among the key features of Kodachi is the forced tunneling of traffic through Tor and VPN, with a free VPN already configured.
Plus, Kodachi integrates DNScrypt support - it is a protocol and the eponymous utility that encrypts requests to OpenDNS servers using elliptic cryptography methods. It eliminates a number of typical problems, such as DNS leak and leaving traces of network activity on the provider's servers.
Another difference of Kodachi is the integrated Multi Tor for quick change of output nodes with the choice of a specific country and PeerGuardian for hiding its IP address in P2P networks (as well as blocking network nodes from a long black list).
In addition to PeerGuardian, the Uncomplicated Firewall (uwf) with the guwf graphical shell is used as a firewall.
Applications in Kodachi are easily isolated using the built-in Firejail sandbox. It is especially recommended to do this for the browser, mail and messenger.
The operating system is densely stuffed with cryptography tools (TrueCrypt, VeraCrypt, KeePass, GnuPG, Enigmail, Seahorse, GNU Privacy Guard Assistant) and tracing marks (BleachBit, Nepomuk Cleaner, Nautilus-wipe).
Kodachi implements cold-reset attack protection. During a cold boot attack, you can partially recover data that was recently (seconds ago) stored in RAM. To avoid this, Kodachi overwrites random access memory with random data when you turn off the computer.
Quick response tools are collected in the Panic room section. It has programs for wiping data on disk and in RAM, restarting network connections, locking the screen (xtrlock), and even a command to completely destroy the operating system.
Private Operating System | Paranoid set
Kodachi works with USB-Flash as a typical Live distribution (so as not to leave traces on the local computer), but if you wish, you can run it in a virtual machine (if you trust the main OS). In any case, by default you log in as a user with the name kodachi and password r @@ t00. To use sudo, enter username root and the same password r @@ t00.
Private operating system MOFO Linux
It is a fast-paced and solidly stuffed OS based on ubuntu. Out of the box, it offers SoftEther VPN and OpenVPN with automatic detection of the fifteen fastest (not necessarily closest to you) free servers. Their ping is indicated to you, to google.com and the bandwidth of the channel.
Private Operating System | Configure OpenVPN
In addition to Tor and VPN, MOFO supports I2P plus Lantern and Psiphon, like smart proxies. True, now Psiphon is buggy, and Lantern has no speed limit on a free tariff, only 500 MB per month is available, but you can always buy a paid account.
A Freenet client, a peer-to-peer anonymous network with distributed storage of encrypted data, is installed directly from the graphical menu in a couple of clicks. It has its own sites and forums, which are almost impossible to censor.
A link has been added to MOFO for installing the IPFS (Interplanetary File System) distributed file system support package based on P2P technologies. Thanks to IPFS, you can share local files and create sites that will not disappear due to locks. MOFO also supports the Cjdns network protocol. Using it, you can create a virtual IPv6 network with traffic encryption.
The cryptographic protection of personal data in MOFO is provided by eCryptfs, a multi-level file system with encryption on the fly. It works on top of the existing FS (ext3, ext4 or XFS) and does not require the creation of a special partition.
Additionally, a utility with support for TrueCrypt and VeraCrypt cryptocontainer formats is preinstalled in MOFO.
Private Operating System | ZuluCrypt - encrypted volume options
At the time of testing, mofolinux-6.0 version dated February 18, 2018 was available. By default, the administrator password is not set.
Private operating system Subgraph OS
About this operating system we wrote back in 2016, and since then, little has changed. This is still a very crude fork of Debian, which once praised Snowden for the idea, but not for the implementation. The only thing that has noticeably changed in Subgraph is a list of preinstalled software.
Private Operating System | Integrated Utilities in Subgraph OS
The latest version now is September Alpha 2017. It can be launched in live mode, but for full operation it involves installation on a hard drive.
A key feature of Subgraph OS is the Oz sandbox application launcher. It isolates the selected applications from each other and from the main system using namespaces and imposes restrictions using seccomp-bpf, just as the already mentioned Firejail does.
The Subgraph OS kernel is compiled with PaX / Grsecurity patches. They restrict access to / proc files, use more stringent chroot () isolation, include a more advanced ASLR address space randomization system, mark the stack as non-executable and control the allocation of network sockets.
Subgraph OS is installed on an encrypted partition, has the means to enable / disable access to applications on the network, supports YubiKey hardware keys with one-time passwords.
Private Operating System | YubiKey PT on Subgraph OS
Email is protected using PGP, and the built-in firewall routes all outgoing connections through the anonymous Tor network.
Integrated Subgraph OS Instant Messenger is a fork of CoyIM with XMPP support, which also works through Tor by default.
Creating an anonymous ball file is available through OnionShare, but the utility works in other versions of Linux in the same way.
Private Operating System | OnionShare on Subgraph OS
At first glance, it might seem that in Subgraph OS everything is fine and it is really a decent OS, but in fact, everything is much more complicated. In the built-in sandbox, only certain applications are launched. There is a list of applications that automatically fall into the sandbox, the rest, including the GNOME desktop, run like regular applications on any other Linux distribution.
This architecture opens up many ways to compromise the OS. For example, Tor Browser runs in the sandbox, but has full access to the ~ / Downloads directory (to save downloaded files). If a hole is found in the browser and the cracker finds a way to use it to launch an exploit, he will be able to record whatever he wants in ~ / Downloads, including, for example, a .desktop file. Any script can be placed in such a file, and it will be executed when the user goes to the ~ / Downloads directory and clicks on it. Since Subgraph OS uses the Nautilus file manager working outside the sandbox to navigate through the FS, the script will have access to the entire system.
In April 2017, Micah Lee and Joanna Rutkowska (creator of Qubes OS) took advantage of this misunderstanding, performing a demonstrative hack Subgraph OS.
Private operating system heads
A relatively new OS is called just that - heads with a lowercase letter. A brief explanation of the developer is written in the FAQ on this subject: "because I said so." The remaining answers in it are no more meaningful. The project is young, it develops on bare enthusiasm, and therefore the documentation is not enough.
At the time of writing, official website version 0.4 dated March 26, 2018 was available. Technically, it is a Devuan-based fork, which in turn is a Debian fork with the SysVinit initialization daemon instead of SystemD.
Heads only supports processor architectures i386, x86_64, so it is not suitable for use on mobile devices with ARM processors. As a graphical shell in the heads, the Awesome tile window manager is proposed, which implements quick control of windows from the keyboard. Openbox is available as a more familiar alternative.
The set of utilities in heads is very modest. There is a browser, mail, chat, cryptocurrency wallet and a pair of programs for working with different types of files.
Private Operating System | Minimalism heads
On the other hand, due to its lightness, Tor starts very quickly, and the browser can be used almost immediately.
Key features of heads - deep integration with Tor and the use of only free software. All traffic (not just browser) in heads goes through Tor. The heads website is also available on Tor.
Additionally, heads can replace the MAC address at startup, and the Permakey kernel module automatically shuts down the OS when a bootable USB flash drive is removed (useful in case of a hasty departure). You can disable this behavior by checking the corresponding boxes at the start of the operating system. There, at startup, the administrator password is set.
Private Operating System | Launch heads
By default, external drives are not connected. In Openbox, they are mounted by clicking on the udiskie utility icon in the lower panel on the right. The OS is at an early stage of development, so there are enough deficiencies in it. Problems arise already with the search for drivers for video cards, network adapters and other hardware. If you are lucky with the config, then heads will quickly start in Live mode and start up the traffic of all applications through Tor.
However, this is not always necessary. For example, when using HexChat you cannot connect to many popular channels. They see an attempt to log in through the Tor output nodes and automatically kick you.
The heads have a very short list of resources in Tor, but they are easy to find on your own.
Private operating system Whonix
OS Whonix The least trivial OS in today's review. It comes in the form of off-the-shelf virtual machines (.ova) and consists of two interconnected parts.
The back end is called the Whonix-Gateway, and the back end is called the Whonix Workstation. The latest stable release was released on May 31, 2016. By default, Whonix is set to the user name user and password changeme.
To use Whonix, you need to download both virtual machines, import their configs using VirtualBox, and start them one by one, starting with Gateway. They do not need a lot of resources. Optimum parameters are already set.
Further customization is performed using the wizard in a few clicks. Conjuring in the console is not required.
Private Operating System | Configure Whonix-Gateway
The server side will take over routing through Tor and VPN, processing DNS queries and filtering network packets.
This approach allows you to hide all user data in one virtual machine, while another is exposed to attacks - Gateway. At the same time, the well-known problem of deanonymization is solved in this way. There is no risk of a real IP leak due to DNS leak and routing glitches.
Even if the server side of Whobix is hacked, the attacker will not calculate your IP address and will not get to your documents and bitcoins, since they are stored in another (client) virtual machine.
Whonix's list of pre-installed programs is pretty standard: Tor browser, Tor Messenger, Tox and Ricochet messengers, Mozilla Thunderbird and TorBirdy email clients with PGP support, secure file transfer via SCP (RCP via SSH) and system utilities.
Like any virtual machine, Whonix reliability depends on the degree of security of the main operating system. It can be run on computers with Windows, macOS or Linux.
One of the most reliable options is the launch of Whonix in Qubes OS on a trusted hardware with reference firmware. This is a fork of Fedora from Joanna Rutkowska using the Xen hypervisor. This OS does not apply to Live-distributions and therefore is not considered in the current review.
Source
Original message
Приватные ОС для обхода блокировок и защиты от слежки
Возможно, вы уже пользовались дистрибутивом Tails или даже запускаете его ежедневно. Но это не единственная операционная система, способная скрыть ваше присутствие в сети и помогающая обойти региональные блокировки. В этой статье мы изучим пять конкурентов Tails, каждый — со своими интересными особенностями.
Имейте ввиду! Длительная и полная анонимность практически недостижима на практике. Более того, настойчивые попытки ее добиться гарантированно привлекут к вам внимание.
Приватность операционной системы
Опытный хакер-линуксоид самостоятельно сделает приватную операционную систему под свои нужды, нафарширует ее любимыми инструментами и зашифрует каждый бит. Однако это займет уйму времени, а потому данный способ подходит лишь самым красноглазым. Для всех остальных есть готовые варианты, в которых уже продуманы тысячи мелочей, собраны и настроены проверенные средства защиты приватности.
При внешнем разнообразии эти дистрибутивы имеют много общих черт, поскольку сохранение тайны личной жизни построено на одинаковых подходах. Обеспечение приватности состоит из следующих этапов, которые решаются на локальном и сетевом уровне:
Мы не будем рассуждать о человеческом факторе, который сводит на нет надежность любой системы. Ограничимся техническими аспектами и просто напомним, что не существует средств, полностью запрещающих людям совершать ошибки.
Приватная операционная система Kodachi
Когда-то мы уже рассказывали про лучшие дистрибутивы для криминалистического анализа, а Kodachi позиционируется как anti-forensic-разработка, затрудняющая криминалистический анализ ваших накопителей и оперативной памяти. Технически это еще один форк Debian, ориентированный на приватность. В чем-то он даже более продуман, чем популярный Tails.
Последняя стабильная версия Kodachi 3.7 была написана в январе прошлого года. Приватная операционная система родом из Омана (где с интернет-цензурой знакомы не понаслышке), что добавляет ей колорита.
В качестве среды рабочего стола для Kodachi была выбрана Xfce, а общий интерфейс операционной системы стилизован под macOS. Статус подключения к Tor и VPN, а также большинство текущих параметров загрузки системы выводятся в режиме реального времени и отображаются прямо на рабочем столе.
Приватная операционная система | Графический интерфейс Kodachi
Среди ключевых особенностей Kodachi — принудительное туннелирование трафика через Tor и VPN, причем бесплатный VPN уже настроен.
Плюс в Kodachi интегрирована поддержка DNScrypt — это протокол и одноименная утилита, шифрующая запросы к серверам OpenDNS методами эллиптической криптографии. Она устраняет целый ряд типичных проблем, вроде DNS leak и оставления следов работы в сети на серверах провайдера.
Другое отличие Kodachi — интегрированный Multi Tor для быстрой смены выходных узлов с выбором определенной страны и PeerGuardian для сокрытия своего IP-адреса в Р2Р-сетях (а также блокировки сетевых узлов из длинного черного списка).
Помимо PeerGuardian, в качестве брандмауэра используется Uncomplicated Firewall (uwf) с графической оболочкой guwf.
Приложения в Kodachi легко изолировать при помощи встроенной песочницы Firejail. Особенно рекомендуется делать это для браузера, почты и мессенджера.
Операционная система плотно нафарширована средствами криптографии (TrueCrypt, VeraCrypt, KeePass, GnuPG, Enigmail, Seahorse, GNU Privacy Guard Assistant) и заметания следов (BleachBit, Nepomuk Cleaner, Nautilus-wipe).
B Kodachi реализована защита от атаки методом холодной перезагрузки. Во время cold boot attack можно частично восстановить данные, недавно (секунды назад) хранившиеся в оперативной памяти. Чтобы этого избежать, Kodachi затирает оперативную память случайными данными при выключении компьютера.
Инструменты быстрого реагирования собраны в разделе Panic room. В нем есть программы затирания данных на диске и в оперативной памяти, перезапуска сетевых подключений, блокировки экрана (xtrlock) и даже команда полного уничтожения операционной системы.
Приватная операционная система | Набор параноика
Kodachi работает с USB-Flash как типичный Live-дистрибутив (чтобы не оставлять следов на локальном компьютере), но при желании вы можете запустить ее в виртуалке (если доверяете основной ОС). В любом случае по умолчанию вы логинитись как пользователь с именем kodachi и паролем r@@t00. Чтобы использовать sudo, введите username root и такой же пароль r@@t00.
Приватная операционная система MOFO Linux
Это быстро развивающаяся и солидно нафаршированная ОС на базе Ubuntu. Прямо «из коробки» она предлагает SoftEther VPN и OpenVPN с автоматическим определением пятнадцати самых быстрых (не обязательно ближайших к вам) бесплатных серверов. Указывается их пинг до вас, до сайта google.com и пропускная способность канала.
Приватная операционная система | Настройка OpenVPN
Помимо Tor и VPN, MOFO поддерживает I2P плюс Lantern и Psiphon, как шустрые прокси. Правда, сейчас Psiphon глючит, а у Lantern без ограничения скорости на бесплатном тарифе доступно только 500 Мбайт в месяц, но всегда можно купить платный аккаунт.
Прямо из графического меню в пару кликов устанавливается клиент Freenet — одноранговой анонимной сети с распределенным хранением зашифрованных данных. В ней есть свои сайты и форумы, которые практически невозможно цензурировать.
В MOFO добавлена ссылка на установку пакета поддержки распределенной файловой системы IPFS (Interplanetary File System), созданной на основе технологий P2P. Благодаря IPFS можно расшаривать локальные файлы и создавать сайты, которые не исчезнут из-за блокировок. MOFO также поддерживает сетевой протокол Cjdns. С его помощью можно создать виртуальную IPv6-сеть с шифрованием трафика.
Криптографическую защиту личных данных в MOFO обеспечивает eCryptfs — многоуровневая файловая система с шифрованием на лету. Она работает поверх существующей ФС (ext3, ext4 или XFS) и не требует создания специального раздела.
Дополнительно в MOFO предустановлена утилита с поддержкой формата криптоконтейнеров TrueCrypt и VeraCrypt.
Приватная операционная система | ZuluCrypt — варианты зашифрованных томов
На момент тестирования была доступна версия mofolinux-6.0 от 18 февраля 2018 года. По умолчанию пароль администратора не задан.
Приватная операционная система Subgraph OS
Об этой операционный системе мы писали в далеком 2016 году, и с тех пор мало что изменилось. Это все еще очень сырой форк Debian, который однажды похвалил Сноуден за идею, но не за реализацию. Единственное, что в Subgraph заметно изменилось, — это перечень предустановленного софта.
Приватная операционная система | Интегрированные утилиты в Subgraph OS
Последняя версия сейчас — сентябрьская альфа 2017 года. Она может запускаться в Live-режиме, но для полноценной работы предполагает установку на жесткий диск.
Ключевая особенность Subgraph OS — система запуска приложений в песочницах Oz. Она изолирует выбранные приложения друг от друга и от основной системы с помощью пространств имен и накладывает ограничения с помощью seccomp-bpf, так же как это делает уже упомянутый Firejail.
Ядро Subgraph OS собрано с патчами PaX/Grsecurity. Они ограничивают доступ к файлам /proc, применяют более жесткую изоляцию chroot(), включают в себя более продвинутую систему рандомизации адресного пространства ASLR, помечают стек как неисполняемый и контролируют выделение сетевых сокетов.
Subgraph OS устанавливается на зашифрованный раздел, имеет средства для разрешения/запрета доступа приложений к сети, поддерживает аппаратные ключи YubiKey с одноразовыми паролями.
Приватная операционная система | YubiKey PT в Subgraph OS
Электронная почта защищена с помощью PGP, а встроенный брандмауэр маршрутизирует все исходящие соединения через анонимную сеть Tor.
Интегрированный Subgraph OS Instant Messenger — это форк CoyIM с поддержкой XMPP, который также работает через Tor по умолчанию.
Создание анонимных файловых шар доступно через OnionShare, но точно так же утилита работает и в других версиях Linux.
Приватная операционная система | OnionShare в Subgraph OS
На первый взгляд может показаться, что в Subgraph OS все хорошо и это действительно достойная ОС, но на самом деле все намного сложнее. Во встроенной песочнице запускаются только определенные приложения. Есть список приложений, которые автоматически попадают в sandbox, остальные, включая рабочую среду GNOME, запускаются как обычные приложения в любом другом дистрибутиве Linux.
Такая архитектура открывает множество путей для компрометации ОС. Например, Tor Browser запускается в песочнице, но имеет полный доступ к каталогу ~/Downloads (для сохранения загруженных файлов). Если в браузере будет обнаружена дыра и взломщик найдет способ ее использовать для запуска эксплоита, он сможет записать в ~/Downloads все, что захочет, включая, например, файл формата .desktop. В такой файл можно поместить любой скрипт, и он будет исполнен, когда пользователь перейдет в каталог ~/Downloads и кликнет по нему. А так как для навигации по ФС в Subgraph OS используется работающий вне песочницы файловый менеджер Nautilus, то скрипт будет иметь доступ ко всей системе.
В апреле 2017 года этим недоразумением воспользовалась Micah Lee и Joanna Rutkowska (создательница Qubes OS), выполнив показательный хакSubgraph OS.
Приватная операционная система heads
Сравнительно новая операционка называется именно так — heads со строчной буквы. В FAQ по этому поводу написано краткое пояснение разработчика: «потому что я так сказал». Остальные ответы в нем не более содержательные. Проект молодой, развивается на голом энтузиазме, и потому документации не хватает.
На момент написания статьи на официальном сайте была доступна версия 0.4 от 26 марта 2018 года. Технически это форк на основе Devuan, который, в свою очередь, форк Debian с демоном инициализации SysVinit вместо SystemD.
Heads поддерживает только процессорные архитектуры i386, x86_64, поэтому не подойдет для использования на мобильных девайсах с процессорами ARM. В качестве графической оболочки в heads предлагается тайловый оконный менеджер Awesome, в котором реализовано быстрое управление окнами с клавиатуры. В качестве более привычной альтернативы доступен Openbox.
Набор утилит в heads очень скромный. Есть браузер, почта, чат, криптовалютный кошелек и по паре программ для работы с разными типами файлов.
Приватная операционная система | Минимализм heads
С другой стороны, из-за легковесности Tor запускается очень быстро, а браузером можно пользоваться практически сразу.
Ключевые особенности heads — глубокая интеграция с Tor и использование только свободного программного обеспечения. Весь трафик (а не только браузерный) в heads идет через Tor. Сайт heads также доступен в Tor.
Дополнительно heads может подменять MAC-адрес при старте, а модуль ядра Permakey автоматически завершает работу ОС при изъятии загрузочной флешки (полезно на случай спешного ухода). Отключить такое поведение можно, отметив соответствующие флажки при старте операционный системы. Там же при старте задается пароль администратора.
Приватная операционная система | Запуск heads
По умолчанию внешние накопители не подключаются. В Openbox они монтируются по клику на значке утилиты udiskie в нижней панели справа. Операционка находится на раннем этапе развития, поэтому недоделок в ней хватает. Проблемы возникают уже с поиском драйверов для видеокарт, сетевых адаптеров и другого железа. Если вам повезло с конфигом, то heads быстро запустится в Live-режиме и пустит трафик всех приложений через Tor.
Однако это не всегда нужно. Например, при использовании HexChat нельзя подключиться ко многим популярным каналам. Они видят попытку залогиниться через выходные узлы Tor и автоматически кикают вас.
В heads есть очень краткий список ресурсов в Tor, но их легко найти самостоятельно.
Приватная операционная система Whonix
ОС Whonix наименее тривиальная операционка в сегодняшнем обзоре. Она поставляется в виде готовых виртуальных машин (.ova) и состоит из двух взаимосвязанных частей.
Серверная часть называется Whonix-Gateway, а клиентская — Whonix Workstation . Последний стабильный релиз был выпущен 31 мая 2016 года. По умолчанию в Whonix задано имя пользователя user и пароль changeme.
Для использования Whonix нужно скачать обе виртуалки, импортировать их конфиги средствами VirtualBox и поочередно запустить, начиная с Gateway. Много ресурсов им не требуется. Оптимальные параметры уже заданы.
Дальнейшая настройка выполняется при помощи мастера в несколько кликов. Колдовать в консоли не потребуется.
Приватная операционная система | Настройка Whonix-Gateway
Серверная часть возьмет на себя маршрутизацию через Tor и VPN, обработку запросов DNS и фильтрацию сетевых пакетов.
Такой подход позволяет скрыть все данные пользователя на одной виртуальной машине, в то время как атакам подвергается другая — Gateway. Заодно так решается известная проблема деанонимизации. Нет риска утечки реального айпишника из-за DNS leak и глюков маршрутизации.
Даже если серверную часть Whobix взломают, атакующий не вычислит ваш IP-адрес и не доберется до ваших документов и биткойнов, поскольку они хранятся в другой (клиентской) виртуалке.
Список предустановленных программ у Whonix довольно стандартен: браузер Tor, мессенджеры Tor Messenger, Tox и Ricochet, почтовые клиенты Mozilla Thunderbird и TorBirdy с поддержкой PGP, безопасная передача файлов через SCP (RCP через SSH) и системные утилиты.
Как и у всякой виртуалки, надежность Whonix зависит от степени защищенности основной операционной системы. Ее можно запустить на компьютерах с Windows, macOS или Linux.
Одним из самых надежных вариантов считается запуск Whonix в Qubes OS на доверенном железе с эталонной прошивкой. Это форк Fedora от Йоанны Рутковской, использующий гипервизор Xen. Данная операционка не относится к Live-дистрибутивам и потому не рассматривается в текущем обзоре.
Источник
Возможно, вы уже пользовались дистрибутивом Tails или даже запускаете его ежедневно. Но это не единственная операционная система, способная скрыть ваше присутствие в сети и помогающая обойти региональные блокировки. В этой статье мы изучим пять конкурентов Tails, каждый — со своими интересными особенностями.
Имейте ввиду! Длительная и полная анонимность практически недостижима на практике. Более того, настойчивые попытки ее добиться гарантированно привлекут к вам внимание.
Приватность операционной системы
Опытный хакер-линуксоид самостоятельно сделает приватную операционную систему под свои нужды, нафарширует ее любимыми инструментами и зашифрует каждый бит. Однако это займет уйму времени, а потому данный способ подходит лишь самым красноглазым. Для всех остальных есть готовые варианты, в которых уже продуманы тысячи мелочей, собраны и настроены проверенные средства защиты приватности.
При внешнем разнообразии эти дистрибутивы имеют много общих черт, поскольку сохранение тайны личной жизни построено на одинаковых подходах. Обеспечение приватности состоит из следующих этапов, которые решаются на локальном и сетевом уровне:
- гарантированное удаление следов работы и любых уникальных (а значит — потенциально компрометирующих) данных, использованных во время сеанса;
- шифрование тех данных, которые нужно сохранить (например, электронные кошельки, документы, аудиовидеозаписи, прочие личные файлы и конфиги);
- сокрытие самого факта хранения зашифрованных данных (методами стеганографии и их маскировкой среди более заметных криптоконтейнеров, заведомо не содержащих ценной информации);
- изоляция приложений и выделение некоторых сервисов в отдельные виртуальные машины (sandbox, Xen, VirtualBox и другие средства виртуализации) для снижения вероятности деанонимизации при заражении трояном;
- патчи ядра для усиленного контроля за взаимодействием процессов и сведения к минимуму риска деанонимизации через эксплоиты;
- средства экстренного завершения работы ОС с быстрым удалением наиболее компрометирующих данных на случай угрозы физического изъятия загрузочного накопителя;
- ранняя подмена MAC-адреса сетевых устройств (обычно она происходит еще на этапе загрузки);
- предотвращение раскрытия IP-адреса (контроль состояния VPN, anti DNS leak, фильтрация скриптов, использование цепочки прокси-серверов с высокой анонимностью, проксирование трафика всех приложений через Tor и т. п.);
- реализация анонимных каналов связи (чаты, почта, обмен файлами);
- обход региональных блокировок(автоматическая настройка использования публичных DNS-серверов, бесплатных VPN, быстрых прокси, Tor, I2P, Freenet).
Мы не будем рассуждать о человеческом факторе, который сводит на нет надежность любой системы. Ограничимся техническими аспектами и просто напомним, что не существует средств, полностью запрещающих людям совершать ошибки.
Приватная операционная система Kodachi
Когда-то мы уже рассказывали про лучшие дистрибутивы для криминалистического анализа, а Kodachi позиционируется как anti-forensic-разработка, затрудняющая криминалистический анализ ваших накопителей и оперативной памяти. Технически это еще один форк Debian, ориентированный на приватность. В чем-то он даже более продуман, чем популярный Tails.
Последняя стабильная версия Kodachi 3.7 была написана в январе прошлого года. Приватная операционная система родом из Омана (где с интернет-цензурой знакомы не понаслышке), что добавляет ей колорита.
В качестве среды рабочего стола для Kodachi была выбрана Xfce, а общий интерфейс операционной системы стилизован под macOS. Статус подключения к Tor и VPN, а также большинство текущих параметров загрузки системы выводятся в режиме реального времени и отображаются прямо на рабочем столе.
Приватная операционная система | Графический интерфейс Kodachi
Среди ключевых особенностей Kodachi — принудительное туннелирование трафика через Tor и VPN, причем бесплатный VPN уже настроен.
Плюс в Kodachi интегрирована поддержка DNScrypt — это протокол и одноименная утилита, шифрующая запросы к серверам OpenDNS методами эллиптической криптографии. Она устраняет целый ряд типичных проблем, вроде DNS leak и оставления следов работы в сети на серверах провайдера.
Другое отличие Kodachi — интегрированный Multi Tor для быстрой смены выходных узлов с выбором определенной страны и PeerGuardian для сокрытия своего IP-адреса в Р2Р-сетях (а также блокировки сетевых узлов из длинного черного списка).
Помимо PeerGuardian, в качестве брандмауэра используется Uncomplicated Firewall (uwf) с графической оболочкой guwf.
Приложения в Kodachi легко изолировать при помощи встроенной песочницы Firejail. Особенно рекомендуется делать это для браузера, почты и мессенджера.
Операционная система плотно нафарширована средствами криптографии (TrueCrypt, VeraCrypt, KeePass, GnuPG, Enigmail, Seahorse, GNU Privacy Guard Assistant) и заметания следов (BleachBit, Nepomuk Cleaner, Nautilus-wipe).
B Kodachi реализована защита от атаки методом холодной перезагрузки. Во время cold boot attack можно частично восстановить данные, недавно (секунды назад) хранившиеся в оперативной памяти. Чтобы этого избежать, Kodachi затирает оперативную память случайными данными при выключении компьютера.
Инструменты быстрого реагирования собраны в разделе Panic room. В нем есть программы затирания данных на диске и в оперативной памяти, перезапуска сетевых подключений, блокировки экрана (xtrlock) и даже команда полного уничтожения операционной системы.
Приватная операционная система | Набор параноика
Kodachi работает с USB-Flash как типичный Live-дистрибутив (чтобы не оставлять следов на локальном компьютере), но при желании вы можете запустить ее в виртуалке (если доверяете основной ОС). В любом случае по умолчанию вы логинитись как пользователь с именем kodachi и паролем r@@t00. Чтобы использовать sudo, введите username root и такой же пароль r@@t00.
Приватная операционная система MOFO Linux
Это быстро развивающаяся и солидно нафаршированная ОС на базе Ubuntu. Прямо «из коробки» она предлагает SoftEther VPN и OpenVPN с автоматическим определением пятнадцати самых быстрых (не обязательно ближайших к вам) бесплатных серверов. Указывается их пинг до вас, до сайта google.com и пропускная способность канала.
Приватная операционная система | Настройка OpenVPN
Помимо Tor и VPN, MOFO поддерживает I2P плюс Lantern и Psiphon, как шустрые прокси. Правда, сейчас Psiphon глючит, а у Lantern без ограничения скорости на бесплатном тарифе доступно только 500 Мбайт в месяц, но всегда можно купить платный аккаунт.
Прямо из графического меню в пару кликов устанавливается клиент Freenet — одноранговой анонимной сети с распределенным хранением зашифрованных данных. В ней есть свои сайты и форумы, которые практически невозможно цензурировать.
В MOFO добавлена ссылка на установку пакета поддержки распределенной файловой системы IPFS (Interplanetary File System), созданной на основе технологий P2P. Благодаря IPFS можно расшаривать локальные файлы и создавать сайты, которые не исчезнут из-за блокировок. MOFO также поддерживает сетевой протокол Cjdns. С его помощью можно создать виртуальную IPv6-сеть с шифрованием трафика.
Криптографическую защиту личных данных в MOFO обеспечивает eCryptfs — многоуровневая файловая система с шифрованием на лету. Она работает поверх существующей ФС (ext3, ext4 или XFS) и не требует создания специального раздела.
Дополнительно в MOFO предустановлена утилита с поддержкой формата криптоконтейнеров TrueCrypt и VeraCrypt.
Приватная операционная система | ZuluCrypt — варианты зашифрованных томов
На момент тестирования была доступна версия mofolinux-6.0 от 18 февраля 2018 года. По умолчанию пароль администратора не задан.
Приватная операционная система Subgraph OS
Об этой операционный системе мы писали в далеком 2016 году, и с тех пор мало что изменилось. Это все еще очень сырой форк Debian, который однажды похвалил Сноуден за идею, но не за реализацию. Единственное, что в Subgraph заметно изменилось, — это перечень предустановленного софта.
Приватная операционная система | Интегрированные утилиты в Subgraph OS
Последняя версия сейчас — сентябрьская альфа 2017 года. Она может запускаться в Live-режиме, но для полноценной работы предполагает установку на жесткий диск.
Ключевая особенность Subgraph OS — система запуска приложений в песочницах Oz. Она изолирует выбранные приложения друг от друга и от основной системы с помощью пространств имен и накладывает ограничения с помощью seccomp-bpf, так же как это делает уже упомянутый Firejail.
Ядро Subgraph OS собрано с патчами PaX/Grsecurity. Они ограничивают доступ к файлам /proc, применяют более жесткую изоляцию chroot(), включают в себя более продвинутую систему рандомизации адресного пространства ASLR, помечают стек как неисполняемый и контролируют выделение сетевых сокетов.
Subgraph OS устанавливается на зашифрованный раздел, имеет средства для разрешения/запрета доступа приложений к сети, поддерживает аппаратные ключи YubiKey с одноразовыми паролями.
Приватная операционная система | YubiKey PT в Subgraph OS
Электронная почта защищена с помощью PGP, а встроенный брандмауэр маршрутизирует все исходящие соединения через анонимную сеть Tor.
Интегрированный Subgraph OS Instant Messenger — это форк CoyIM с поддержкой XMPP, который также работает через Tor по умолчанию.
Создание анонимных файловых шар доступно через OnionShare, но точно так же утилита работает и в других версиях Linux.
Приватная операционная система | OnionShare в Subgraph OS
На первый взгляд может показаться, что в Subgraph OS все хорошо и это действительно достойная ОС, но на самом деле все намного сложнее. Во встроенной песочнице запускаются только определенные приложения. Есть список приложений, которые автоматически попадают в sandbox, остальные, включая рабочую среду GNOME, запускаются как обычные приложения в любом другом дистрибутиве Linux.
Такая архитектура открывает множество путей для компрометации ОС. Например, Tor Browser запускается в песочнице, но имеет полный доступ к каталогу ~/Downloads (для сохранения загруженных файлов). Если в браузере будет обнаружена дыра и взломщик найдет способ ее использовать для запуска эксплоита, он сможет записать в ~/Downloads все, что захочет, включая, например, файл формата .desktop. В такой файл можно поместить любой скрипт, и он будет исполнен, когда пользователь перейдет в каталог ~/Downloads и кликнет по нему. А так как для навигации по ФС в Subgraph OS используется работающий вне песочницы файловый менеджер Nautilus, то скрипт будет иметь доступ ко всей системе.
В апреле 2017 года этим недоразумением воспользовалась Micah Lee и Joanna Rutkowska (создательница Qubes OS), выполнив показательный хакSubgraph OS.
Приватная операционная система heads
Сравнительно новая операционка называется именно так — heads со строчной буквы. В FAQ по этому поводу написано краткое пояснение разработчика: «потому что я так сказал». Остальные ответы в нем не более содержательные. Проект молодой, развивается на голом энтузиазме, и потому документации не хватает.
На момент написания статьи на официальном сайте была доступна версия 0.4 от 26 марта 2018 года. Технически это форк на основе Devuan, который, в свою очередь, форк Debian с демоном инициализации SysVinit вместо SystemD.
Heads поддерживает только процессорные архитектуры i386, x86_64, поэтому не подойдет для использования на мобильных девайсах с процессорами ARM. В качестве графической оболочки в heads предлагается тайловый оконный менеджер Awesome, в котором реализовано быстрое управление окнами с клавиатуры. В качестве более привычной альтернативы доступен Openbox.
Набор утилит в heads очень скромный. Есть браузер, почта, чат, криптовалютный кошелек и по паре программ для работы с разными типами файлов.
Приватная операционная система | Минимализм heads
С другой стороны, из-за легковесности Tor запускается очень быстро, а браузером можно пользоваться практически сразу.
Ключевые особенности heads — глубокая интеграция с Tor и использование только свободного программного обеспечения. Весь трафик (а не только браузерный) в heads идет через Tor. Сайт heads также доступен в Tor.
Дополнительно heads может подменять MAC-адрес при старте, а модуль ядра Permakey автоматически завершает работу ОС при изъятии загрузочной флешки (полезно на случай спешного ухода). Отключить такое поведение можно, отметив соответствующие флажки при старте операционный системы. Там же при старте задается пароль администратора.
Приватная операционная система | Запуск heads
По умолчанию внешние накопители не подключаются. В Openbox они монтируются по клику на значке утилиты udiskie в нижней панели справа. Операционка находится на раннем этапе развития, поэтому недоделок в ней хватает. Проблемы возникают уже с поиском драйверов для видеокарт, сетевых адаптеров и другого железа. Если вам повезло с конфигом, то heads быстро запустится в Live-режиме и пустит трафик всех приложений через Tor.
Однако это не всегда нужно. Например, при использовании HexChat нельзя подключиться ко многим популярным каналам. Они видят попытку залогиниться через выходные узлы Tor и автоматически кикают вас.
В heads есть очень краткий список ресурсов в Tor, но их легко найти самостоятельно.
Приватная операционная система Whonix
ОС Whonix наименее тривиальная операционка в сегодняшнем обзоре. Она поставляется в виде готовых виртуальных машин (.ova) и состоит из двух взаимосвязанных частей.
Серверная часть называется Whonix-Gateway, а клиентская — Whonix Workstation . Последний стабильный релиз был выпущен 31 мая 2016 года. По умолчанию в Whonix задано имя пользователя user и пароль changeme.
Для использования Whonix нужно скачать обе виртуалки, импортировать их конфиги средствами VirtualBox и поочередно запустить, начиная с Gateway. Много ресурсов им не требуется. Оптимальные параметры уже заданы.
Дальнейшая настройка выполняется при помощи мастера в несколько кликов. Колдовать в консоли не потребуется.
Приватная операционная система | Настройка Whonix-Gateway
Серверная часть возьмет на себя маршрутизацию через Tor и VPN, обработку запросов DNS и фильтрацию сетевых пакетов.
Такой подход позволяет скрыть все данные пользователя на одной виртуальной машине, в то время как атакам подвергается другая — Gateway. Заодно так решается известная проблема деанонимизации. Нет риска утечки реального айпишника из-за DNS leak и глюков маршрутизации.
Даже если серверную часть Whobix взломают, атакующий не вычислит ваш IP-адрес и не доберется до ваших документов и биткойнов, поскольку они хранятся в другой (клиентской) виртуалке.
Список предустановленных программ у Whonix довольно стандартен: браузер Tor, мессенджеры Tor Messenger, Tox и Ricochet, почтовые клиенты Mozilla Thunderbird и TorBirdy с поддержкой PGP, безопасная передача файлов через SCP (RCP через SSH) и системные утилиты.
Как и у всякой виртуалки, надежность Whonix зависит от степени защищенности основной операционной системы. Ее можно запустить на компьютерах с Windows, macOS или Linux.
Одним из самых надежных вариантов считается запуск Whonix в Qubes OS на доверенном железе с эталонной прошивкой. Это форк Fedora от Йоанны Рутковской, использующий гипервизор Xen. Данная операционка не относится к Live-дистрибутивам и потому не рассматривается в текущем обзоре.
Источник
Zuletzt bearbeitet: