Мы уже рассказывали про некоторые анонимные операционные системы из этого Сравнения.Часть их из более ранних Сравнений успели отпасть, поэтому здесь мы оцениваем дистрибутивы еще и по графику выхода релизов.
Еще по теме: Анонимность в Linux с помощью Tor и Proxychains
Кроме того, мы рассмотрим их механизмы обеспечения конфиденциальности оценим их в зависимости от обеспечиваемых аспектов безопасности: например, дистрибутив с защитой только от утечек в системе безопасности во время вашего пребывания онлайн будет оценен ниже, чем тот, что защищает вашу конфиденциальность оффлайн.
Документация и поддержка также сильно повысят шансы подобного спец-дистрибутива, как и простота в использовании, это мы тоже протестируем. И, наконец, поскольку целью является постоянное использование этих дистрибутивов в качестве настольных, мы протестируем их пригодность как повседневных дистрибутивов для выполнения обычных задач.
Анонимный Linux дистрибутив
Приватность — одна из проблем, постоянно привлекающих наше внимание: на страницах нашего сайта вы уже читали о дистрибутивах, укрепляющих вашу конфиденциальность . И мы возвращаемся к ним снова. Наша одержимость этой темой сравнима с той ситуацией, когда Боб Марли явился на концерт через два дня после стрельбы в него и произнес знаменитую фразу:
«У тех, кто старается сделать этот мир хуже, нет выходных. Так почему они должны быть у меня?».
Точно так же, нет недостатка в любителях отследить все наши действия онлайн, и нам приходится предпринимать профилактические меры и задействовать все ресурсы, чтобы пресечь их попытки нарушить нашу конфиденциальность.
Все дистрибутивы в этом Сравнении были созданы специально, чтобы снабдить вас средствами защиты вашей приватности и предотвращения случайных утечек.
Подходы у них могут быть разные, и у каждого — свои достоинства и недостатки. Одни используют направление вашего WEB-трафика через хорошо известные сети анонимности типа Tor; другие применяют новаторские методы, такие, как безопасность посредством разбиения на части.
Кроме того, поскольку безопасность и анонимность идут рука об руку, использование этих дистрибутивов поможет защитить ваш компьютер от хакеров и других заинтересованных деанонимизировать вас или взломать ваш компьютер.
Защита
У Trusted End Node Security, как и у его коллег, модифицированное ядро вместе с другими инструментами, например, DNSCrypt, для предотвращения имитации имени домена через аутентификацию коммуникаций между компьютером и DNS-преобразователем.
TENS еще включает приложение для шифрования и дешифрации отдельных файлов и целых директорий, и работает со смарт-картами Common Access Card (CAC) [Карта Общего Доступа] и Personal Identity Verification (PIV) [Удостоверения Личности] от Министерства обороны США для доступа к открытым не для всех сайтам правительства.
Tails построен вокруг Tor, открытой сети анонимных серверов для прикрытия вашей личности.
Tails также содержит инструменты, помогающие настроить сеть, и браузер с расширениями защиты конфиденциальности с солидной репутацией, плюс ряд ценных криптографических инструментов для шифрования дисков и онлайн-коммуникаций.
Whonix эксплуатирует концепцию безопасности через изоляцию и поставляется в виде двух виртуальных машин. Смысл подобной формы в том, чтобы изолировать среду, в которой вы работаете, от точки доступа к Интернету.
Вдобавок Whonix направляет весь интернет-трафик через Tor. Благодаря подобной структуре, даже если один из компьютеров окажется скомпрометирован, выяснить ваш реальный IP-адрес будет невозможно.
Subgraph OS позиционируется как «компьютерная платформа для защиты от злоумышленника» и анонимизирует весь ваш интернет трафик, направляя его через сеть Tor. Ядро дистрибутива усиленно заплатками от проекта Grsecurity, что делает Subgraph OS более устойчивой к уязвимостям системы безопасности.
Помимо всего этого, дистрибутив запускает многие настольные приложения внутри песочницы, чтобы сократить риск в случае наличия бреши.
Аналогичный уровень всесторонней защиты вы найдете и в Linux Kodachi: он тоже сначала направляет все соединения с Интернетом через VPN, а затем передает их в сеть Tor. Kodachi также снабжен рядом инструментов для легкой замены идентификационной информации, например, страны выхода из Tor и перенастройки ваших DNS-серверов и прочего одним щелчком.
Дистрибутив шифрует соединение с DNS-преобразователем и включает хорошо известные инструменты шифрования и конфиденциальности для шифрования всех ваших локальных файлов, писем электронной почты и мгновенных сообщений. По окончании использования Kodachi удаляет следы этого использования с компьютера при выключении.
Гибкость развертывания
Персистентное хранение и конфиденциальность не слишком хорошо сочетаются друг с другом. Хотя все дистрибутивы в нашем Сравнении тщательно избегают взаимодействия с жесткими дисками на компьютере, некоторые дают вам возможность закрепить их, если, по вашему, преимущества постоянной установки перевешивают ее недостатки.
Единственным исключением является TENS, который вообще нельзя установить. Отсутствует механизм установки также и для Whonix. Проект предлагает несколько механизмов развертывания, самый удобный из которых — скачать виртуальные машины, которые функционируют как любой другой установленный дистрибутив.
Linux Kodachi включает скрипт установки, который помогает поставить дистрибутив на жесткий диск, как любой обычный дистрибутив Linux. Однако этот установщик весьма рудиментарен и использует GParted для нарезки диска. Вы также не можете изменить имя пользователя по умолчанию, иначе многие индивидуальные скрипты после установки работать не будут.
Tails особо заботится о том, чтобы не использовать жесткие диски компьютера, даже если на них есть место для свопинга, но включает программу установки, чтобы создать постоянный раздел на том же устройстве USB, с которого вы загружаетесь, или на другом USB-хранилище. Программа установки позволяет выбрать тип данных, которые вы хотите сохранить с помощью таких опций, как ключи SSH, настройки Pidgin, конфигурация Icedove и электронной почты, пакеты APT и т. д. У вас также есть опция создать папку для хранения любых персональных документов. Даже если вы создали постоянный том, Tails дает возможность загрузиться в первоначальную среду, если вам в данный момент не нужен доступ к вашим личным данным.
Простота в работе
Приватность и анонимность — две разных концепции, которые часто путают. Приватность — это возможность придержать некоторые вещи исключительно за собой; и наоборот, анонимность — это когда вы не возражаете против того, чтобы другие видели ваши действия, но пусть никто не знает, что это именно вы.
Сохранение анонимности без нарушения конфиденциальности в Интернете требует определенного компромисса. Во первых, стоит ожидать меньшей скорости работы, поскольку пакеты данных кружат по всему миру, прежде чем прибыть на ваш компьютер. Во вторых, некоторые дистрибутивы придерживаются более строгой политики паролей, например, для сокрытия вашей информации для входа в систему или шифрования ваших файлов. Всё это не должно порочить удобство работы в Сети или на компьютере. Мы будем искать те дистрибутивы, которые обеспечивают максимальную безопасность при минимальных неудобствах.
Linux Kodachi
Дистрибутив загружает сильно измененный рабочий стол Xfce, который отображает полезную информацию о системе прямо на рабочем столе, в том числе состояние и IPадрес VPN, MACадрес, IPадрес Tor, потребление CPU, данные памяти и трафика. Как только Kodachi установит соединение с Интернетом, вы сможете запустить Kodachi VPN, который также установит автоматическое соединение с Tor.
Опытные пользователи могут подключиться через собственный VPN. Дистрибутив также позволяет выбрать узлы выхода по странам с помощью опции инструментов Tor в доке. В доке имеются все приложения и инструменты частого пользования, например, Tor browser, инструменты VPN, инструменты DNS и приложения безопасности.
Пункт дока, отмеченный, как Pain Room, обеспечивает доступ к некоторым полезным инструментам конфиденциальности, таким, как возможность создавать новый MACадрес, очищать ОЗУ и освобождать место.
Subgraph OS
Простота в использовании — одна из целей дистрибутива, в частности, для его инструментов конфиденциальности, но без ущерба их эффективности. С этой целью он использует рабочий стол Gnome 3. Подключившись к Интернету, дистрибутив устанавливает соединение с сетью Tor. После подключения можно запускать Tor browser из Activities Overview. Subgraph не включает Tor browser по умолчанию, но скачает его, как только вы его запустите в первый раз.
На первый взгляд дистрибутив выглядит, как любой другой рабочий стол Gnome. Однако набор приложений по умолчанию раскрывает его истинные намерения. Вместо обычных приложений для общения Subgraph предлагает их альтернативы, способствующие защите конфиденциальности, которые направляют всё общение через сеть Tor. Другое важное отличие в том, что разные приложения работают внутри изолированных песочниц, и вы можете отслеживать их с помощью значка с песочницей в меню состояния на верхней панели.
Tails
При запуске дистрибутива Tails показывает приветствие. Вы может выбрать использование Tails без каких-либо изменений. Но в таком случае программа приветствия позволит вам указать пароль для пользователя root и отключить спуфинг MAC-адреса, что на некоторых компьютерах вызовет проблемы при подключении к Интернету.
Когда вы выйдете онлайн, Tails автоматически подключится к сети Tor. Можно щелкнуть по значку Tor в строке состояния, чтобы просмотреть каналы и потоки. После подключения можете использовать Tor browser.
Еще одна сеть анонимности, которая периодически противопоставляется Tor — I2P (Invisible Internet Project). Вы можете подключиться к I2P из Tails, передав загрузочный параметр i2p при загрузке. Дистрибутив подключится к сети I2P в фоне. Когда это будет сделано, запустите прилагающийся I2P Browser, который переместит вас в панель управления I2P на основе браузера.
Whonix
Как мы уже упоминали ранее, Whonix является парой виртуальных устройств на основе Debian, и их нужно запускать одновременно на двух отдельных виртуальных машинах. Правила iptables на Whonix-Workstation вынуждают его подключаться только к виртуальной интернет LAN и перенаправлять весь трафик на шлюз Whonix-Gateway. Эта схема вообще не позволяет приложениям узнать реальный IP-адрес пользователя или получить доступ к любой информации на физическом оборудовании.
При первом запуске оба устройства проведут вас через краткий мастер настройки, чтобы вы познакомились с проектом и настроили некоторые компоненты, например, репозитории. В дистрибутиве имеется значок для Tor browser, но он не предлагается по умолчанию; вместо этого значок выводит скрипт для его скачивания из списка стабильных, новых и укрепленных релизов. И, наконец, WhonixCheck сканирует текущую установку и проверяет подключение Tor.
Trusted End Node Security
После загрузки TENS первым делом, еще до входа в рабочий стол, попросит вас принять лицензионное соглашение. Хотя дистрибутив использует рабочий стол Xfce 4, он напоминает Windows XP. Всё — от структуры рабочего стола, дополненной кнопкой Windows Start, и до украшений окон — разработано так, чтобы копировать проприетарную ОС.
Использование TENS довольно интуитивное. Одной из отличительных особенностей дистрибутива является приложение Encryption Wizard. После запуска вы можете перетаскивать файлы и создавать пароли для их защиты. Все файлы впоследствии шифруются, и их можно пересылать по электронной почте с помощью Thunderbird и Davmail, которые доступны через опцию Secure Email в меню приложений.
Меню также подверглось изменениям, оно группирует приложения по их функции, например, Security and Configuration [Безопасность и Настройка], что удобно для начинающих пользователей.
Документация и поддержка
Что делать когда случается неизбежное?
Полезная документация и активные каналы поддержки играют важную роль в освоении любой программы. Особенно это верно для дистрибутивов для защиты приватности, которые частенько нас огорчают, предполагая необходимость обучения даже для тех, кто уже знаком с Linux.
Tails предлагает конечному пользователю углубленную документацию на разных языках с общей информацией, первыми шагами, часто задаваемыми вопросами и подробными объяснениями, чтобы выбыли в курсе всех общих вопросов, относящихся к конфиденциальности и важности шифрования. Здесь даже есть чат-рум XMPP, список рассылки по поддержке и форма для запроса функций.
Whonix тоже не бросит вас на произвол судьбы: его Wiki содержит подробную документацию. Дистрибутив также предлагает не сколько опций поддержки и имеет очень активный форум. Для помощи новым пользователям сайт TENS содержит несколько очень подробных FAQ, краткое руководство пользователя и справочник пользователя.
Linux Kodachi тоже имеет всю необходимую информацию для знакомства с дистрибутивом, включая руководство по установке и полезные советы по использованию.
Сайт Subgraph OS подробно объясняет разные функции, ориентированные на конфиденциальность, и имеется также иллюстрированный справочник в форматах ODF и HTML. Однако среди недостатков то, что TENS, Kodachi и Subgraph не имеют официальных средств поддержки — ни форумов, ни IRC. Иными словами, Subgraph пока что находится на самом начальном этапе.
Состояние разработки
Горькая правда о модели разработки открытого кода в том, что проекты выдыхаются и умирают. Это относится и к дистрибутивам безопасности и приватности, и уже было несколько весьма серьезных претендентов, которые либо погибли, либо впали в анабиоз.
Хотя обычно мы не оцениваем спец-дистрибутивы по состоянию их разработки, оно сыграет важную роль при оценке дистрибутивов в данном Сравнении. В конце концов, край не важно, чтобы выбранный вами дистрибутив не отставал от постоянно возникающих и развивающихся угроз вашей конфиденциальности — как онлайн, так и оффлайн.
Если вы с подозрением относитесь к новым проектам, вы, возможно, решите держаться подальше от Subgraph, несмотря на его прекрасную функциональность, поскольку проект находится на очень ранней стадии развития.
TENS, ранее известный как Lightweight Portable Security, обновляется регулярно, обычно посредством квартальных корректировочных версий. Аналогично, Linux Kodachi, разрабатываемый провайдером профессиональных ИТ-услуг в области безопасности, впервые вышел в 2013 г., но пребывал в состоянии спячки до 2016 г., и сейчас мы видим его релизы и обновления, выходящие регулярно.
Whonix выпускает свои релизы весьма активно с самого своего появления в 2012 г. и получает обновления каждые несколько месяцев. Далее идет Tails, являющийся одним из дистрибутивов безопасности с лучшей поддержкой, с быстрым темпом разработки и появлением новых релизов раз в несколько месяцев.
Приложения для защиты
В TENS есть инструменты, позволяющие проводить аутентификацию со смарт-картами, выпущенными Министерством обороны США, и он включает публичную редакцию Encryption Wizard, созданного Исследовательской лабораторией ВВС США для шифрования документов и директорий.
Tails, помимо Tor, имеет AppArmor для изоляции приложений; PWGen для создания сильных паролей; KeePassX для управления ими и AirCrackNG для аудита беспроводных сетей. Кроме того, в Tails имеются кошелек Electrum Bitcoin, Nautilus Wipe для безопасного удаления файлов и MAT для затирания метаданных в файлах. Менеджер обмена мгновенными сообщениями Pidgin снабжен плагином OffTheRecord (OTR), и для защиты от технологий восстановления информации дистрибутив использует скрипты для очистки ОЗУ при перезагрузке или выключении.
Whonix тоже использует Tor для сокрытия вашего IPадреса и обхода цензуры и включает MAT. Он использует анонимный одноранговый IM, Ricochet и удобное с точки зрения конфиденциальности сочетание клиентов электронной почты Thunderbird с TorBirdy. Однако Whonix куда менее забывчив, чем Tails, и дистрибутив не предпринимает никаких специальных мер для ограничения записи на диск и по умолчанию не шифрует сохраненные документы.
Linux Kodachi предусматривает пакет инструментов защиты конфиденциальности, и помимо Tor и VPN, там есть DNSCrypt, VeraCrypt, Peer Guardian, инструменты для очистки ОЗУ, Enigmail, Pidgin OTR и много чего еще.
Subgraph OS запускает множество настольных приложений в песочнице безопасности Oz. Дистрибутив включает CoyIM для сквозного шифрования чатов Jabber с помощью OTR. Subgraph использует Ricochet и OnionShare, приложение анонимной одноранговой выдачи общего доступа к файлам. Далее имеется SubgraphFirewall, который применяет для каждого приложения политику фильтрования исходящих соединений и удобен для мониторинга непредвиденных соединений от приложений.
Вердикт
Пока Эдвард Сноуден не выступил со своими разоблачениями, подавляющее большинство считало тех, кто атаковал конфиденциальность, кем-то вроде цифровых преступников, находящихся как бы вне закона. Однако сейчас стало понятно, что мы находимся в самом разгаре информационной эры, когда нарушение нашей конфиденциальности является не только популярной бизнес-моделью, но и государственной практикой.
С учетом практики правительства США, касающейся конфиденциальности, трудно рекомендовать дистрибутив TENS, тем более при наличии куда лучших альтернатив. Одной из них является Whonix, который использует уникальный подход к обеспечению конфиденциальности, заключающийся в разбиении на категории. И хотя мы вполне можем себе представить опытных пользователей, осиливающих его настройку, нельзя ожидать того же от начинающих, которые, вероятно, даже не вполне осознают все связанные с этим проблемы.
Именно техническое превосходство дистрибутива идет вразрез с удобством в работе, предлагаемым такими его сотоварищами, как Tails, одним из самых известных в плане обеспечения конфиденциальности и безопасности дистрибутивов. Он основан на сети Tor, регулярно обновляется и предоставляет вам все необходимые инструменты для того, чтобы замести свои следы онлайн.
Однако и Linux Kodachi, и Subgraph OS затмевают остальных предлагаемой обоими защитой конфиденциальности. Оба используют среду песочницы для изоляции приложений друг от друга и ограничения отпечатка в системе, что размещает их среди лучших средств защиты вас и ваших данных. Оба дистрибутива также используют сеть Tor, но Subgraph превосходит Kodachi по предлагаемым программам.
Над Subgraph OS трудится команда разработчиков, имеющих опыт разработки приложений безопасности, и его одобрил даже Сноуден. Более того, не так давно Subgraph получил годичную поддержку разработки от Фонда открытых технологий [Open Technology Fund]. Не смотря на раннюю стадию разработки, Subgraph хорошо работает, но всё же победителем становится не он, поскольку даже его разработчики пока не рекомендуют его для промышленного применения.
И у нас остается Linux Kodachi, который мы и рекомендуем. Дистрибутив не отличается простотой установки, но предлагаемые им приложения и использование маршрутизации трафика через VPN перед направлением его в сеть Tor добавляет еще один уровень защиты и позволяет склонить чашу весов в его пользу.
Отличная статья.
Дополнить бы BackBox.
BackBox больше для нападения, чем для защиты, кажется, нет?
В Разве Linux не предназначен для технарей, новичку будет некомфортно?
Linux Mint для обычного пользователя.
Кодачи однозначно лучший из всех.
Спасибо! Я тоже за кодачи!
У Kodachi есть минус — архитектура х64, в отличии от Tails, Whonix.
Я юзаю Tails с флешки. По факту, юзая любой ПК я могу быть анонимным.
За статью спасибо, интересно читать.
PS Если кому интересно, то от «хакеров» есть инструкция по установке и настройке Tails на флешке:
Да, но мы не знаем, через какие VPN (и кому подконтрольные) гоняет наш трафик Linux Kodachi перед тем, как направить его в TOR…
Согласен, но все же, им пользуются довольно много человек, думаю доверять можно.
Дай наводку на инструкцию