Приватные ОС для обхода блокировок и защиты от слежки

Тема в разделе "Информационная безопасность.", создана пользователем DronVR, 21 авг 2018.

  1. DronVR

    DronVR Приватный уровень доступа

    Сообщения:
    244
    Симпатии:
    215
    Баллы:
    43
    Приватные ОС для обхода блокировок и защиты от слежки

    Возможно, вы уже пользовались дистрибутивом Tails или даже запускаете его ежедневно. Но это не единственная операционная система, способная скрыть ваше присутствие в сети и помогающая обойти региональные блокировки. В этой статье мы изучим пять конкурентов Tails, каждый — со своими интересными особенностями.

    Имейте ввиду! Длительная и полная анонимность практически недостижима на практике. Более того, настойчивые попытки ее добиться гарантированно привлекут к вам внимание.

    Приватность операционной системы
    Опытный хакер-линуксоид самостоятельно сделает приватную операционную систему под свои нужды, нафарширует ее любимыми инструментами и зашифрует каждый бит. Однако это займет уйму времени, а потому данный способ подходит лишь самым красноглазым. Для всех остальных есть готовые варианты, в которых уже продуманы тысячи мелочей, собраны и настроены проверенные средства защиты приватности.

    При внешнем разнообразии эти дистрибутивы имеют много общих черт, поскольку сохранение тайны личной жизни построено на одинаковых подходах. Обеспечение приватности состоит из следующих этапов, которые решаются на локальном и сетевом уровне:

    • гарантированное удаление следов работы и любых уникальных (а значит — потенциально компрометирующих) данных, использованных во время сеанса;
    • шифрование тех данных, которые нужно сохранить (например, электронные кошельки, документы, аудиовидеозаписи, прочие личные файлы и конфиги);
    • сокрытие самого факта хранения зашифрованных данных (методами стеганографии и их маскировкой среди более заметных криптоконтейнеров, заведомо не содержащих ценной информации);
    • изоляция приложений и выделение некоторых сервисов в отдельные виртуальные машины (sandbox, Xen, VirtualBox и другие средства виртуализации) для снижения вероятности деанонимизации при заражении трояном;
    • патчи ядра для усиленного контроля за взаимодействием процессов и сведения к минимуму риска деанонимизации через эксплоиты;
    • средства экстренного завершения работы ОС с быстрым удалением наиболее компрометирующих данных на случай угрозы физического изъятия загрузочного накопителя;
    • ранняя подмена MAC-адреса сетевых устройств (обычно она происходит еще на этапе загрузки);
    • предотвращение раскрытия IP-адреса (контроль состояния VPN, anti DNS leak, фильтрация скриптов, использование цепочки прокси-серверов с высокой анонимностью, проксирование трафика всех приложений через Tor и т. п.);
    • реализация анонимных каналов связи (чаты, почта, обмен файлами);
    • обход региональных блокировок(автоматическая настройка использования публичных DNS-серверов, бесплатных VPN, быстрых прокси, Tor, I2P, Freenet).
    Разумеется, каждый конкретный дистрибутив имеет свои ограничения и не предоставляет все перечисленные выше инструменты в одной сборке, но это и не требуется на практике. Многие пункты в данном списке дублируют функциональность друг друга либо вовсе взаимоисключающи.

    Мы не будем рассуждать о человеческом факторе, который сводит на нет надежность любой системы. Ограничимся техническими аспектами и просто напомним, что не существует средств, полностью запрещающих людям совершать ошибки.

    Приватная операционная система Kodachi
    Когда-то мы уже рассказывали про лучшие дистрибутивы для криминалистического анализа, а

    Вы не можете просматривать внешние ссылки, что-бы просмотреть зарегистрируйтесь или авторизуйтесь на форуме !

    , затрудняющая криминалистический анализ ваших накопителей и оперативной памяти. Технически это еще один форк Debian, ориентированный на приватность. В чем-то он даже более продуман, чем популярный Tails.

    Последняя стабильная версия Kodachi 3.7 была написана в январе прошлого года. Приватная операционная система родом из Омана (где с интернет-цензурой знакомы не понаслышке), что добавляет ей колорита.

    В качестве среды рабочего стола для Kodachi была выбрана Xfce, а общий интерфейс операционной системы стилизован под macOS. Статус подключения к Tor и VPN, а также большинство текущих параметров загрузки системы выводятся в режиме реального времени и отображаются прямо на рабочем столе.

    001.jpg
    Приватная операционная система | Графический интерфейс Kodachi


    Среди ключевых особенностей Kodachi — принудительное туннелирование трафика через Tor и VPN, причем бесплатный VPN уже настроен.

    Плюс в Kodachi интегрирована поддержка DNScrypt — это протокол и одноименная утилита, шифрующая запросы к серверам OpenDNS методами эллиптической криптографии. Она устраняет целый ряд типичных проблем, вроде DNS leak и оставления следов работы в сети на серверах провайдера.

    Другое отличие Kodachi — интегрированный Multi Tor для быстрой смены выходных узлов с выбором определенной страны и PeerGuardian для сокрытия своего IP-адреса в Р2Р-сетях (а также блокировки сетевых узлов из длинного черного списка).

    Помимо PeerGuardian, в качестве брандмауэра используется Uncomplicated Firewall (uwf) с графической оболочкой guwf.

    Приложения в Kodachi легко изолировать при помощи встроенной песочницы Firejail. Особенно рекомендуется делать это для браузера, почты и мессенджера.

    Операционная система плотно нафарширована средствами криптографии (TrueCrypt, VeraCrypt, KeePass, GnuPG, Enigmail, Seahorse, GNU Privacy Guard Assistant) и заметания следов (BleachBit, Nepomuk Cleaner, Nautilus-wipe).

    B Kodachi реализована защита от атаки методом холодной перезагрузки. Во время cold boot attack можно частично восстановить данные, недавно (секунды назад) хранившиеся в оперативной памяти. Чтобы этого избежать, Kodachi затирает оперативную память случайными данными при выключении компьютера.

    Инструменты быстрого реагирования собраны в разделе Panic room. В нем есть программы затирания данных на диске и в оперативной памяти, перезапуска сетевых подключений, блокировки экрана (xtrlock) и даже команда полного уничтожения операционной системы.

    002.jpg
    Приватная операционная система | Набор параноика

    Kodachi работает с USB-Flash как типичный Live-дистрибутив (чтобы не оставлять следов на локальном компьютере), но при желании вы можете запустить ее в виртуалке (если доверяете основной ОС). В любом случае по умолчанию вы логинитись как пользователь с именем kodachi и паролем r@@t00. Чтобы использовать sudo, введите username root и такой же пароль r@@t00.

    Приватная операционная система MOFO Linux
    Это быстро развивающаяся и

    Вы не можете просматривать внешние ссылки, что-бы просмотреть зарегистрируйтесь или авторизуйтесь на форуме !

    на базе Ubuntu. Прямо «из коробки» она предлагает SoftEther VPN и OpenVPN с автоматическим определением пятнадцати самых быстрых (не обязательно ближайших к вам) бесплатных серверов. Указывается их пинг до вас, до сайта google.com и пропускная способность канала.

    003.jpg
    Приватная операционная система | Настройка OpenVPN

    Помимо Tor и VPN, MOFO поддерживает I2P плюс Lantern и Psiphon, как шустрые прокси. Правда, сейчас Psiphon глючит, а у Lantern без ограничения скорости на бесплатном тарифе доступно только 500 Мбайт в месяц, но всегда можно купить платный аккаунт.

    Прямо из графического меню в пару кликов устанавливается клиент Freenet — одноранговой анонимной сети с распределенным хранением зашифрованных данных. В ней есть свои сайты и форумы, которые практически невозможно цензурировать.

    В MOFO добавлена ссылка на установку пакета поддержки распределенной файловой системы IPFS (Interplanetary File System), созданной на основе технологий P2P. Благодаря IPFS можно расшаривать локальные файлы и создавать сайты, которые не исчезнут из-за блокировок. MOFO также поддерживает сетевой протокол Cjdns. С его помощью можно создать виртуальную IPv6-сеть с шифрованием трафика.

    Криптографическую защиту личных данных в MOFO обеспечивает eCryptfs — многоуровневая файловая система с шифрованием на лету. Она работает поверх существующей ФС (ext3, ext4 или XFS) и не требует создания специального раздела.

    Дополнительно в MOFO предустановлена утилита с поддержкой формата криптоконтейнеров TrueCrypt и VeraCrypt.

    004.jpg
    Приватная операционная система | ZuluCrypt — варианты зашифрованных томов

    На момент тестирования была доступна версия mofolinux-6.0 от 18 февраля 2018 года. По умолчанию пароль администратора не задан.

    Приватная операционная система Subgraph OS
    Об этой

    Вы не можете просматривать внешние ссылки, что-бы просмотреть зарегистрируйтесь или авторизуйтесь на форуме !

    мы писали в далеком 2016 году, и с тех пор мало что изменилось. Это все еще очень сырой форк Debian, который однажды похвалил Сноуден за идею, но не за реализацию. Единственное, что в Subgraph заметно изменилось, — это перечень предустановленного софта.

    005.jpg
    Приватная операционная система | Интегрированные утилиты в Subgraph OS

    Последняя версия сейчас — сентябрьская альфа 2017 года. Она может запускаться в Live-режиме, но для полноценной работы предполагает установку на жесткий диск.

    Ключевая особенность Subgraph OS — система запуска приложений в песочницах Oz. Она изолирует выбранные приложения друг от друга и от основной системы с помощью пространств имен и накладывает ограничения с помощью seccomp-bpf, так же как это делает уже упомянутый Firejail.

    Ядро Subgraph OS собрано с патчами PaX/Grsecurity. Они ограничивают доступ к файлам /proc, применяют более жесткую изоляцию chroot(), включают в себя более продвинутую систему рандомизации адресного пространства ASLR, помечают стек как неисполняемый и контролируют выделение сетевых сокетов.

    Subgraph OS устанавливается на зашифрованный раздел, имеет средства для разрешения/запрета доступа приложений к сети, поддерживает аппаратные ключи YubiKey с одноразовыми паролями.



    006.jpg
    Приватная операционная система | YubiKey PT в Subgraph OS

    Электронная почта защищена с помощью PGP, а встроенный брандмауэр маршрутизирует все исходящие соединения через анонимную сеть Tor.

    Интегрированный Subgraph OS Instant Messenger — это форк CoyIM с поддержкой XMPP, который также работает через Tor по умолчанию.

    Создание анонимных файловых шар доступно через OnionShare, но точно так же утилита работает и в других версиях Linux.


    007.jpg
    Приватная операционная система | OnionShare в Subgraph OS

    На первый взгляд может показаться, что в Subgraph OS все хорошо и это действительно достойная ОС, но на самом деле все намного сложнее. Во встроенной песочнице запускаются только определенные приложения. Есть список приложений, которые автоматически попадают в sandbox, остальные, включая рабочую среду GNOME, запускаются как обычные приложения в любом другом дистрибутиве Linux.

    Такая архитектура открывает множество путей для компрометации ОС. Например, Tor Browser запускается в песочнице, но имеет полный доступ к каталогу ~/Downloads (для сохранения загруженных файлов). Если в браузере будет обнаружена дыра и взломщик найдет способ ее использовать для запуска эксплоита, он сможет записать в ~/Downloads все, что захочет, включая, например, файл формата .desktop. В такой файл можно поместить любой скрипт, и он будет исполнен, когда пользователь перейдет в каталог ~/Downloads и кликнет по нему. А так как для навигации по ФС в Subgraph OS используется работающий вне песочницы файловый менеджер Nautilus, то скрипт будет иметь доступ ко всей системе.

    В апреле 2017 года этим недоразумением воспользовалась Micah Lee и Joanna Rutkowska (создательница Qubes OS), выполнив показательный хакSubgraph OS.

    Приватная операционная система heads
    Сравнительно новая операционка называется именно так — heads со строчной буквы. В FAQ по этому поводу написано краткое пояснение разработчика: «потому что я так сказал». Остальные ответы в нем не более содержательные. Проект молодой, развивается на голом энтузиазме, и потому документации не хватает.

    На момент написания статьи на

    Вы не можете просматривать внешние ссылки, что-бы просмотреть зарегистрируйтесь или авторизуйтесь на форуме !

    была доступна версия 0.4 от 26 марта 2018 года. Технически это форк на основе Devuan, который, в свою очередь, форк Debian с демоном инициализации SysVinit вместо SystemD.

    Heads поддерживает только процессорные архитектуры i386, x86_64, поэтому не подойдет для использования на мобильных девайсах с процессорами ARM. В качестве графической оболочки в heads предлагается тайловый оконный менеджер Awesome, в котором реализовано быстрое управление окнами с клавиатуры. В качестве более привычной альтернативы доступен Openbox.

    Набор утилит в heads очень скромный. Есть браузер, почта, чат, криптовалютный кошелек и по паре программ для работы с разными типами файлов.

    008.jpg
    Приватная операционная система | Минимализм heads

    С другой стороны, из-за легковесности Tor запускается очень быстро, а браузером можно пользоваться практически сразу.

    Ключевые особенности heads — глубокая интеграция с Tor и использование только свободного программного обеспечения. Весь трафик (а не только браузерный) в heads идет через Tor. Сайт heads также доступен в Tor.

    Дополнительно heads может подменять MAC-адрес при старте, а модуль ядра Permakey автоматически завершает работу ОС при изъятии загрузочной флешки (полезно на случай спешного ухода). Отключить такое поведение можно, отметив соответствующие флажки при старте операционный системы. Там же при старте задается пароль администратора.

    009.jpg
    Приватная операционная система | Запуск heads

    По умолчанию внешние накопители не подключаются. В Openbox они монтируются по клику на значке утилиты udiskie в нижней панели справа. Операционка находится на раннем этапе развития, поэтому недоделок в ней хватает. Проблемы возникают уже с поиском драйверов для видеокарт, сетевых адаптеров и другого железа. Если вам повезло с конфигом, то heads быстро запустится в Live-режиме и пустит трафик всех приложений через Tor.

    Однако это не всегда нужно. Например, при использовании HexChat нельзя подключиться ко многим популярным каналам. Они видят попытку залогиниться через выходные узлы Tor и автоматически кикают вас.

    В heads есть очень краткий список ресурсов в Tor, но их легко найти самостоятельно.

    Приватная операционная система Whonix

    Вы не можете просматривать внешние ссылки, что-бы просмотреть зарегистрируйтесь или авторизуйтесь на форуме !

    наименее тривиальная операционка в сегодняшнем обзоре. Она поставляется в виде готовых виртуальных машин (.ova) и состоит из двух взаимосвязанных частей.

    Серверная часть называется Whonix-Gateway, а клиентская — Whonix Workstation . Последний стабильный релиз был выпущен 31 мая 2016 года. По умолчанию в Whonix задано имя пользователя user и пароль changeme.

    Для использования Whonix нужно скачать обе виртуалки, импортировать их конфиги средствами VirtualBox и поочередно запустить, начиная с Gateway. Много ресурсов им не требуется. Оптимальные параметры уже заданы.

    Дальнейшая настройка выполняется при помощи мастера в несколько кликов. Колдовать в консоли не потребуется.

    010.jpg
    Приватная операционная система | Настройка Whonix-Gateway

    Серверная часть возьмет на себя маршрутизацию через Tor и VPN, обработку запросов DNS и фильтрацию сетевых пакетов.

    Такой подход позволяет скрыть все данные пользователя на одной виртуальной машине, в то время как атакам подвергается другая — Gateway. Заодно так решается известная проблема деанонимизации. Нет риска утечки реального айпишника из-за DNS leak и глюков маршрутизации.

    Даже если серверную часть Whobix взломают, атакующий не вычислит ваш IP-адрес и не доберется до ваших документов и биткойнов, поскольку они хранятся в другой (клиентской) виртуалке.

    Список предустановленных программ у Whonix довольно стандартен: браузер Tor, мессенджеры Tor Messenger, Tox и Ricochet, почтовые клиенты Mozilla Thunderbird и TorBirdy с поддержкой PGP, безопасная передача файлов через SCP (RCP через SSH) и системные утилиты.

    Как и у всякой виртуалки, надежность Whonix зависит от степени защищенности основной операционной системы. Ее можно запустить на компьютерах с Windows, macOS или Linux.

    Одним из самых надежных вариантов считается запуск Whonix в Qubes OS на доверенном железе с эталонной прошивкой. Это форк Fedora от Йоанны Рутковской, использующий гипервизор Xen. Данная операционка не относится к Live-дистрибутивам и потому не рассматривается в текущем обзоре.

    Вы не можете просматривать внешние ссылки, что-бы просмотреть зарегистрируйтесь или авторизуйтесь на форуме !

     
    Последнее редактирование: 21 авг 2018

Поделиться этой страницей

Яндекс.Метрика
  1. Этот сайт использует файлы cookie, чтобы персонализировать контент и сохранить вход в систему, если Вы зарегистрируетесь.
    Продолжая использовать этот сайт, Вы соглашаетесь на использование файлов cookie.
    Скрыть объявление