Обзор защищенных и анонимных Linux-дистрибутивов

Хакерский инструмент

Мы уже рассказывали про некоторые анонимные операционные системы из этого Сравнения.Часть их из более ранних Сравне­ний успели отпасть, поэтому здесь мы оцениваем дистрибутивы еще и по графику выхода релизов.

Еще по теме: Анонимность в Linux с помощью Tor и Proxychains

Кроме того, мы рассмотрим их механизмы обеспечения конфиденциальности оценим их в зависимости от обес­печиваемых аспектов безопасности: например, дистрибутив с защитой только от утечек в системе безопас­ности во время вашего пребывания онлайн будет оценен ниже, чем тот, что защищает вашу конфиденциальность оффлайн.

Документация и поддержка также сильно повысят шансы подоб­ного спец-дистрибутива, как и простота в использовании, это мы тоже протес­тируем. И, наконец, поскольку целью является постоянное использование этих дистрибутивов в качестве настоль­ных, мы протестируем их пригодность как повседневных дистрибутивов для выполнения обычных задач.

Анонимный Linux дистрибутив

Приватность — одна из про­блем, постоянно привлекаю­щих наше внимание: на страницах нашего сайта вы уже читали о дистрибутивах, укрепляющих вашу кон­фиденциальность . И мы возвра­щаемся к ним снова. Наша одержимость этой темой сравнима с той ситуацией, ко­гда Боб Марли явился на концерт через два дня после стрельбы в него и произнес зна­менитую фразу:

«У тех, кто старается сде­лать этот мир хуже, нет выходных. Так поче­му они должны быть у меня?».

Точно так же, нет недостатка в любителях отследить все наши действия онлайн, и нам приходится предпринимать профилактические меры и задействовать все ресурсы, чтобы пресечь их попытки нарушить на­шу конфиденциальность.

Все дистрибу­тивы в этом Сравнении были созданы спе­циально, чтобы снабдить вас средствами защиты вашей приватности и предотвра­щения случайных утечек.

Подходы у них могут быть разные, и у каждого — свои достоинства и недостатки. Одни использу­ют направление вашего WEB-­трафика через хорошо известные сети анонимности типа Tor; другие применяют новаторские мето­ды, такие, как безопасность посредством разбиения на части.

Кроме того, посколь­ку безопасность и анонимность идут рука об руку, использование этих дистрибутивов поможет защитить ваш компьютер от хакеров и других заинтересованных деанонимизировать вас или взломать ваш компьютер.

Защита

У Trusted End Node Security, как и у его коллег, модифицированное ядро вместе с другими инструментами, например, DNSCrypt, для предотвращения имитации имени домена через аутентифи­кацию коммуникаций между компьютером и DNS-­преобразователем.

TENS еще вклю­чает приложение для шифрования и де­шифрации отдельных файлов и целых ди­ректорий, и работает со смарт-­картами Common Access Card (CAC) [Карта Обще­го Доступа] и Personal Identity Verification (PIV) [Удостоверения Личности] от Мини­стерства обороны США для доступа к от­крытым не для всех сайтам правительства.

Tails построен вокруг Tor, открытой сети анонимных серверов для прикрытия вашей личности.

Tails также содержит инструменты, помогающие настроить сеть, и браузер с расширениями защиты конфиденциальности с солидной репутацией, плюс ряд ценных криптографических инструментов для шифрования дисков и онлайн-коммуникаций.

Whonix эксплуатирует концепцию безопасности через изоляцию и поставляется в виде двух виртуальных машин. Смысл подобной формы в том, чтобы изолировать среду, в которой вы работаете, от точки доступа к Интернету.

Вдобавок Whonix направляет весь интернет-­трафик через Tor. Благодаря подобной структуре, даже если один из компьютеров окажется скомпрометирован, выяснить ваш реальный IP­-адрес будет невозможно.

Subgraph OS позиционируется как «компьютерная платформа для защиты от злоумышленника» и анонимизирует весь ваш интернет­ трафик, направляя его через сеть Tor. Ядро дистрибутива усиленно заплатками от проекта Grsecurity, что делает Subgraph OS более устойчивой к уязвимостям системы безопасности.

Помимо всего этого, дистрибутив запускает многие настольные приложения внутри песочницы, чтобы сократить риск в случае наличия бреши.

Аналогичный уровень всесторонней защиты вы найдете и в Linux Kodachi: он тоже сначала направляет все соединения с Ин­тернетом через VPN, а затем передает их в сеть Tor. Kodachi также снабжен ря­дом инструментов для легкой замены иден­тификационной информации, например, страны выхода из Tor и перенастройки ва­ших DNS­-серверов и прочего одним щелч­ком.

Дистрибутив шифрует соединение с DNS­-преобразователем и включает хо­рошо известные инструменты шифрова­ния и конфиденциальности для шифрова­ния всех ваших локальных файлов, писем электронной почты и мгновенных сообще­ний. По окончании использования Kodachi удаляет следы этого использования с ком­пьютера при выключении.

Гибкость развертывания

Персистентное хранение и конфи­денциальность не слишком хоро­шо сочетаются друг с другом. Хо­тя все дистрибутивы в нашем Сравнении тщательно избегают взаимодействия с жесткими дисками на компьютере, некоторые дают вам возможность закрепить их, если, по ­вашему, преимущества постоянной ус­тановки перевешивают ее недостатки.

Единственным исключением является TENS, который вообще нельзя установить. Отсутствует механизм установки также и для Whonix. Проект предлагает несколько механизмов развертывания, самый удоб­ный из которых — скачать виртуальные машины, которые функционируют как лю­бой другой установленный дистрибутив.

Linux Kodachi включает скрипт установки, который помогает поставить дистрибутив на жесткий диск, как любой обычный ди­стрибутив Linux. Однако этот установщик весьма рудиментарен и использует GParted для нарезки диска. Вы также не можете из­менить имя пользователя по умолчанию, иначе многие индивидуальные скрипты по­сле установки работать не будут.

Tails особо заботится о том, чтобы не ис­пользовать жесткие диски компьютера, даже если на них есть место для свопинга, но включает программу установки, чтобы создать постоянный раздел на том же уст­ройстве USB, с которого вы загружаетесь, или на другом USB­-хранилище. Программа установки позволяет выбрать тип данных, которые вы хотите сохранить с помощью таких опций, как ключи SSH, настройки Pidgin, конфигурация Icedove и электрон­ной почты, пакеты APT и т. д. У вас также есть опция создать папку для хранения лю­бых персональных документов. Даже если вы создали постоянный том, Tails дает воз­можность загрузиться в первоначальную среду, если вам в данный момент не нужен доступ к вашим личным данным.

Простота в работе

Приватность и анонимность — две разных концепции, которые часто путают. При­ватность — это возможность придержать некоторые вещи исключительно за собой; и наобо­рот, анонимность — это когда вы не возражаете против того, чтобы другие видели ваши действия, но пусть никто не знает, что это именно вы.

Сохранение анонимности без нарушения кон­фиденциальности в Интернете требует опреде­ленного компромисса. Во ­первых, стоит ожидать меньшей скорости работы, поскольку пакеты дан­ных кружат по всему миру, прежде чем прибыть на ваш компьютер. Во вторых, некоторые дистри­бутивы придерживаются более строгой политики паролей, например, для сокрытия вашей инфор­мации для входа в систему или шифрования ва­ших файлов. Всё это не должно порочить удобство работы в Сети или на компьютере. Мы будем искать те дистрибутивы, которые обеспечивают максимальную безопасность при минимальных неудобствах.

Linux Kodachi

Дистрибутив загружает сильно измененный рабочий стол Xfce, который ото­бражает полезную информацию о системе прямо на рабочем столе, в том чис­ле состояние и IP­адрес VPN, MAC­адрес, IP­адрес Tor, потребление CPU, дан­ные памяти и трафика. Как только Kodachi установит соединение с Интернетом, вы сможете запустить Kodachi VPN, который также установит автоматическое соединение с Tor.

Анонимный Linux дистрибутив
Анонимный Linux дистрибутив Linux Kodachi

Опытные пользователи могут подключиться через собствен­ный VPN. Дистрибутив также позволяет выбрать узлы выхода по странам с по­мощью опции инструментов Tor в доке. В доке имеются все приложения и ин­струменты частого пользования, например, Tor browser, инструменты VPN, инструменты DNS и приложения безопасности.

Пункт дока, отмеченный, как Pain Room, обеспечивает доступ к некоторым полезным инструментам конфи­денциальности, таким, как возможность создавать новый MAC­адрес, очищать ОЗУ и освобождать место.

Subgraph OS

Простота в использовании — одна из целей дистрибутива, в частности, для его инструментов конфиденциальности, но без ущерба их эффективности. С этой целью он использует рабочий стол Gnome 3. Подключившись к Интернету, ди­стрибутив устанавливает соединение с сетью Tor. После подключения можно запускать Tor browser из Activities Overview. Subgraph не включает Tor browser по умолчанию, но скачает его, как только вы его запустите в первый раз.

Анонимный Linux дистрибутив
Анонимный Linux дистрибутив Subgraph OS

На пер­вый взгляд дистрибутив выглядит, как любой другой рабочий стол Gnome. Од­нако набор приложений по умолчанию раскрывает его истинные намерения. Вместо обычных приложений для общения Subgraph предлагает их альтерна­тивы, способствующие защите конфиденциальности, которые направляют всё общение через сеть Tor. Другое важное отличие в том, что разные приложения работают внутри изолированных песочниц, и вы можете отслеживать их с по­мощью значка с песочницей в меню состояния на верхней панели.

Tails

При запуске дистрибутива Tails показывает приветствие. Вы может выбрать использование Tails без каких­-либо изменений. Но в таком случае програм­ма приветствия позволит вам указать пароль для пользователя root и отклю­чить спуфинг MAC­-адреса, что на некоторых компьютерах вызовет проблемы при подключении к Интернету.

tails
Анонимный Linux дистрибутив Tails

Когда вы выйдете онлайн, Tails автоматически подключится к сети Tor. Можно щелкнуть по значку Tor в строке состояния, чтобы просмотреть каналы и потоки. После подключения можете использо­вать Tor browser.

Еще одна сеть анонимности, которая периодически проти­вопоставляется Tor — I2P (Invisible Internet Project). Вы можете подключить­ся к I2P из Tails, передав загрузочный параметр i2p при загрузке. Дистрибутив подключится к сети I2P в фоне. Когда это будет сделано, запустите прилагаю­щийся I2P Browser, который переместит вас в панель управления I2P на осно­ве браузера.

Whonix

Как мы уже упоминали ранее, Whonix является парой виртуальных устройств на основе Debian, и их нужно запускать одновременно на двух отдельных вирту­альных машинах. Правила iptables на Whonix-Workstation вынуждают его под­ключаться только к виртуальной интернет­ LAN и перенаправлять весь трафик на шлюз Whonix­-Gateway. Эта схема вообще не позволяет приложениям узнать реальный IP-­адрес пользователя или получить доступ к любой информации на физическом оборудовании.

Анонимный Linux дистрибутив
Анонимный Linux дистрибутив: Whonix

При первом запуске оба устройства проведут вас через краткий мастер настройки, чтобы вы познакомились с проектом и на­строили некоторые компоненты, например, репозитории. В дистрибутиве име­ется значок для Tor browser, но он не предлагается по умолчанию; вместо этого значок выводит скрипт для его скачивания из списка стабильных, новых и укрепленных релизов. И, наконец, WhonixCheck сканирует текущую установку и проверяет подключение Tor.

Trusted End Node Security

После загрузки TENS первым делом, еще до входа в рабочий стол, попросит вас принять лицензионное соглашение. Хотя дистрибутив использует рабо­чий стол Xfce 4, он напоминает Windows XP. Всё — от структуры рабочего сто­ла, дополненной кнопкой Windows Start, и до украшений окон — разработано так, чтобы копировать проприетарную ОС.

Trusted End Node Security
Анонимный Linux дистрибутив Trusted End Node Security

Использование TENS довольно ин­туитивное. Одной из отличительных особенностей дистрибутива является приложение Encryption Wizard. После запуска вы можете перетаскивать фай­лы и создавать пароли для их защиты. Все файлы впоследствии шифруются, и их можно пересылать по электронной почте с помощью Thunderbird и Davmail, которые доступны через опцию Secure Email в меню приложений.

Меню также подверглось изменениям, оно группирует приложения по их функции, напри­мер, Security and Configuration [Безопасность и Настройка], что удобно для на­чинающих пользователей.

Документация и поддержка

Что делать когда случается неизбежное?

Полезная документация и активные каналы поддержки играют важ­ную роль в освоении любой про­граммы. Особенно это верно для дистри­бутивов для защиты приватности, которые частенько нас огорчают, предполагая необ­ходимость обучения даже для тех, кто уже знаком с Linux.

Tails предлагает конечному пользова­телю углубленную документацию на раз­ных языках с общей информацией, первы­ми шагами, часто задаваемыми вопросами и подробными объяснениями, чтобы выбыли в курсе всех общих вопросов, отно­сящихся к конфиденциальности и важ­ности шифрования. Здесь даже есть чат-­рум XMPP, список рассылки по поддержке и форма для запроса функций.

Whonix тоже не бросит вас на произвол судьбы: его Wiki содержит подробную доку­ментацию. Дистрибутив также предлагает не сколько опций поддержки и имеет очень активный форум. Для помощи новым поль­зователям сайт TENS содержит несколько очень подробных FAQ, краткое руководство пользователя и справочник пользователя.

Linux Kodachi тоже имеет всю необходимую информацию для знакомства с дистрибу­тивом, включая руководство по установ­ке и полезные советы по использованию.

Сайт Subgraph OS подробно объясняет разные функции, ориентированные на кон­фиденциальность, и имеется также иллю­стрированный справочник в форматах ODF и HTML. Однако среди недостатков то, что TENS, Kodachi и Subgraph не имеют офици­альных средств поддержки — ни форумов, ни IRC. Иными словами, Subgraph пока что находится на самом начальном этапе.

Состояние разработки

Горькая правда о модели разработ­ки открытого кода в том, что про­екты выдыхаются и умирают. Это относится и к дистрибутивам безопасности и приватности, и уже было несколько весь­ма серьезных претендентов, которые либо погибли, либо впали в анабиоз.

Хотя обычно мы не оцениваем спец-ди­стрибутивы по состоянию их разработки, оно сыграет важную роль при оценке ди­стрибутивов в данном Сравнении. В конце концов, край не важно, чтобы выбранный вами дистрибутив не отставал от постоянно возникающих и развивающихся угроз ва­шей конфиденциальности — как онлайн, так и оффлайн.

Если вы с подозрением относитесь к но­вым проектам, вы, возможно, решите дер­жаться подальше от Subgraph, несмотря на его прекрасную функциональность, по­скольку проект находится на очень ранней стадии развития.

TENS, ранее известный как Lightweight Portable Security, обновля­ется регулярно, обычно посредством квар­тальных корректировочных версий. Ана­логично, Linux Kodachi, разрабатываемый провайдером профессиональных ИТ-­услуг в области безопасности, впервые вышел в 2013 г., но пребывал в состоянии спячки до 2016 г., и сейчас мы видим его релизы и обновления, выходящие регулярно.

Who­nix выпускает свои релизы весьма активно с самого своего появления в 2012 г. и полу­чает обновления каждые несколько меся­цев. Далее идет Tails, являющийся одним из дистрибутивов безопасности с луч­шей поддержкой, с быстрым темпом раз­работки и появлением новых релизов раз в несколько месяцев.

Приложения для защиты

В TENS есть инструменты, позволяю­щие проводить аутентификацию со смарт­-картами, выпущенными Министерством обороны США, и он вклю­чает публичную редакцию Encryption Wizard, созданного Исследовательской лаборато­рией ВВС США для шифрования докумен­тов и директорий.

Tails, помимо Tor, имеет AppArmor для изоляции приложений; PWGen для созда­ния сильных паролей; KeePassX для управ­ления ими и AirCrackNG для аудита беспро­водных сетей. Кроме того, в Tails имеются кошелек Electrum Bitcoin, Nautilus Wipe для безопасного удаления файлов и MAT для затирания метаданных в файлах. Менед­жер обмена мгновенными сообщениями Pidgin снабжен плагином Off­The­Record (OTR), и для защиты от технологий восста­новления информации дистрибутив ис­пользует скрипты для очистки ОЗУ при пе­резагрузке или выключении.

Whonix тоже использует Tor для сокры­тия вашего IP­адреса и обхода цензуры и включает MAT. Он использует аноним­ный одноранговый IM, Ricochet и удоб­ное с точки зрения конфиденциальности сочетание клиентов электронной почты Thunderbird с TorBirdy. Однако Whonix куда менее забывчив, чем Tails, и дист­рибутив не предпринимает никаких спе­циальных мер для ограничения записи на диск и по умолчанию не шифрует со­храненные документы.

Linux Kodachi предусматривает па­кет инструментов защиты конфиденци­альности, и помимо Tor и VPN, там есть DNSCrypt, VeraCrypt, Peer Guardian, инст­рументы для очистки ОЗУ, Enigmail, Pidgin OTR и много чего еще.

Subgraph OS запускает множество настольных приложений в песочнице безопасности Oz. Дистрибутив включа­ет CoyIM для сквозного шифрования чатов Jabber с помощью OTR. Subgraph использу­ет Ricochet и OnionShare, приложение ано­нимной одноранговой выдачи общего до­ступа к файлам. Далее имеется SubgraphFirewall, который применяет для каждого приложения политику фильтрования ис­ходящих соединений и удобен для мо­ниторинга непредвиденных соединений от приложений.

Вердикт

Пока Эдвард Сноуден не выступил со своими разоблачениями, по­давляющее большинство счита­ло тех, кто атаковал конфиденциальность, кем-­то вроде цифровых преступников, на­ходящихся как бы вне закона. Однако сей­час стало понятно, что мы находимся в са­мом разгаре информационной эры, когда нарушение нашей конфиденциальности яв­ляется не только популярной бизнес­-моде­лью, но и государственной практикой.

С учетом практики правительства США, касающейся конфиденциальности, трудно рекомендовать дистрибутив TENS, тем бо­лее при наличии куда лучших альтернатив. Одной из них является Whonix, который использует уникальный подход к обеспе­чению конфиденциальности, заключаю­щийся в разбиении на категории. И хотя мы вполне можем себе представить опыт­ных пользователей, осиливающих его на­стройку, нельзя ожидать того же от начи­нающих, которые, вероятно, даже не вполне осознают все связанные с этим проблемы.

Именно техническое превосходство дист­рибутива идет вразрез с удобством в ра­боте, предлагаемым такими его сотовари­щами, как Tails, одним из самых известных в плане обеспечения конфиденциальности и безопасности дистрибутивов. Он основан на сети Tor, регулярно обновляется и пре­доставляет вам все необходимые инстру­менты для того, чтобы замести свои сле­ды онлайн.

Однако и Linux Kodachi, и Subgraph OS затмевают остальных предлагаемой обо­ими защитой конфиденциальности. Оба используют среду песочницы для изоля­ции приложений друг от друга и ограни­чения отпечатка в системе, что размещает их среди лучших средств защиты вас и ва­ших данных. Оба дистрибутива также ис­пользуют сеть Tor, но Subgraph превосходит Kodachi по предлагаемым программам.

Над Subgraph OS трудится команда разработчиков, имеющих опыт разработ­ки приложений безопасности, и его одоб­рил даже Сноуден. Более того, не так давно Subgraph получил годичную поддержку разработки от Фонда открытых технологий [Open Technology Fund]. Не смотря на ран­нюю стадию разработки, Subgraph хорошо работает, но всё же победителем становит­ся не он, поскольку даже его разработчики пока не рекомендуют его для промышлен­ного применения.

И у нас остается Linux Kodachi, который мы и рекомендуем. Дистрибутив не отли­чается простотой установки, но предла­гаемые им приложения и использование маршрутизации трафика через VPN перед направлением его в сеть Tor добавляет еще один уровень защиты и позволяет склонить чашу весов в его пользу.

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся аналитикой компьютерных угроз. Анонсы новых статей в Телеграме.

Добавить комментарий

  1. Anon

    Отличная статья.
    Дополнить бы BackBox.

    Ответить
    1. Alirpofi

      BackBox больше для нападения, чем для защиты, кажется, нет?

  2. Me

    В Разве Linux не предназначен для технарей, новичку будет некомфортно?

    Ответить
    1. ALALALALA

      Linux Mint для обычного пользователя.

  3. prostolinux

    Кодачи однозначно лучший из всех.

    Ответить
  4. BES

    Спасибо! Я тоже за кодачи!

    Ответить
  5. legioneroff

    У Kodachi есть минус — архитектура х64, в отличии от Tails, Whonix.

    Ответить
  6. Tooezz

    Я юзаю Tails с флешки. По факту, юзая любой ПК я могу быть анонимным.
    За статью спасибо, интересно читать.
    PS Если кому интересно, то от «хакеров» есть инструкция по установке и настройке Tails на флешке:

    Ответить
  7. Семён

    Да, но мы не знаем, через какие VPN (и кому подконтрольные) гоняет наш трафик Linux Kodachi перед тем, как направить его в TOR…

    Ответить
  8. Михаил

    Согласен, но все же, им пользуются довольно много человек, думаю доверять можно.

    Ответить
  9. R

    Дай наводку на инструкцию

    Ответить