Qubes, Whonix ili Tails: koji Linux distro trebalo koristiti za anonimnost?

Whonix dokazuje anonimnost koristeći virtualizaciju
Na raspolaganju su razni operacijski sustavi usmjereni na privatnost. Većina ih je temeljena na Linuxu, a slično kao i sam Linux, može biti teško utvrditi razlike između tako širokog spektra mogućnosti. Općenito postoje dvije glavne vrste sigurnosnih / privatnih operativnih sustava: oni koji se fokusiraju na pružanje anonimnosti i oni koji sadrže alate za prodiranje za računalno istraživanje. Ovaj se članak fokusira na aspekt privatnosti i istražit će tri glavna načina da se to postigne: dva koja koriste virtualizaciju za stvaranje izolacije i stari isprobani način korištenja Live CD-a.

Live CD je CD za pokretanje (ili USB pogon) koji možete zalijepiti u računalo prije podizanja sustava. Live CD-ovi ne instaliraju ništa na host sustav i ne ostavljaju nikakve dokumente ili druge tragove kada su isključeni. To osigurava da ne postoji način da ijedan zlonamjerni softver ili softver za praćenje preživi više sesija. U ovom ćemo članku koristiti TAILS Live CD.

Za virtualizaciju gledat ćemo Qubes OS i Whonix. Qubes OS stvara niz virtualnih računala sa više povjerenja tako da aktivnosti koje se odvijaju u nepouzdanom virtualnom stroju ne mogu utjecati na aplikacije drugih. Whonix ima dvodijelni sustav u kojem sve svoje radove obavljate na radnoj stanici virtualnog stroja. On usmjerava sav vaš mrežni promet kroz drugi gateway virtualnog računala koji se povezuje na Tor mrežu.

Sve tri metode imaju svoje prednosti i nedostatke.

Tails_vs_Qubes_vs_Whonix

Qubes OS - razumno siguran operativni sustav

Qubes OS najbolje je opisan kao Xen distribucija koja pokreće virtualne Linux domene. Xen je vrlo stabilan i zreo hipervidator golog metala tipa 1. Ova vrsta virtualizacije analogna je onome što možete zamisliti kad koristite proizvod poput VirtualBoxa s jednom bitnom razlikom. Hipervizor tipa 1 nema operativni sustav ispod njega što može biti ugroženo. Xen je instaliran na goli metal i tada može kreirati i upravljati virtualnim strojevima.

Ova arhitektura omogućuje Qubesu da kreira zasebne virtualne strojeve (domene, u Xen jeziku) na kojima će pokrenuti aplikacije. To osigurava da rizične aplikacije ne mogu utjecati na pouzdane aplikacije ili čak pisati u sistem datoteka. Ovaj stupanj razdvajanja ne pruža samu anonimnost, ali pruža značajan stupanj zaštite od širenja zlonamjernog softvera. Ako ste zaraženi zlonamjernim softverom s loše web stranice ili padom plijena na e-mail prijevarama e-pošte, teško bi se taj zlonamjerni softver proširio izvan domene u kojoj se nalazi.

Qubes zove ove domene Xen domena. Stvara niz qubes-a u koje može dodijeliti instance aplikacija. Na primjer, surfanje raznim web stranicama u koje nemate razloga vjerovati vjerojatno se najbolje izvodi u nepouzdanom kubu. Radne aktivnosti vezane uz povjerene web stranice i aplikacije mogu se obavljati u pouzdanoj zoni. Poanta je u tome da svaki kub može utjecati samo na aplikacije u istoj zemlji.

Da biste olakšali održavanje kvova ravno dok ih koristite, svaki prozor ima "nezaboravnu" obrub prozora u boji koji označava razinu sigurnosti svakog kveba. Qubes tim ukazuje da su okviri prozora nezaboravni, jer su izgrađeni na nultoj (dom0) razini domene Xen, što je privilegirana domena koju Xen pokreće u vrijeme dizanja, a on upravlja svim ostalim domenama ili qubesima u ovom slučaju. Kvebovi nisu u mogućnosti komunicirati s dom0, a qubesi nisu povlašteni, što znači da ne mogu sami pristupiti funkcijama sustava niske razine.

qubes kde tri domene na djeluSlika: https://www.qubes-os.org/screenshots/

Bojanje obruba prozora pruža prilično trenutni način da se vidi razina pouzdanosti svakog prozora. Na ovom snimku zaslona možemo vidjeti crvene (nepouzdane), zelene (pouzdane) i žute (negdje u sredini) granice prozora. Također je lako vidjeti da je zahtjev za lozinkom došao iz aplikacije u pouzdanoj (zelenoj) domeni, iako se događa da je prekriven na nepouzdanom (crvenom) programu. Vrlo uobičajena tehnika krađe identiteta jest korištenje web stranice za stvaranje vrlo realističnog okvira za prijavu za neku uslugu i pokušaj navođenja ljudi da uđu u svoje vjerodajnice. Da je to slučaj ovdje, okvir lozinke imao bi crvenu obrub što bi bio vaš znak da se može dogoditi nešto rizično.

qubes prompt za lozinkuSlika: https://www.qubes-os.org/screenshots/

Izvrsni način za lijepljenje dobrog sloja anonimnosti na ionako robusni sigurnosni model je korištenje Whonixa, o kojem se kasnije raspravljalo, s Qubesom. Budući da Qubes OS pokreće svaku aplikaciju u zasebnom kubu, Whonixov gateway i radna stanica pokrenut će se u zasebnim qubesima. To ih dalje apstrahira jedni od drugih. Ako se Whonixov pristupnik ili radna stanica pokreću u vlastitom kvartu i na neki su način ugroženi, ne bi mogli pristupiti nijednoj drugoj aplikaciji na računalu. Ovdje su upute kako kreirati potrebne Qubes OS predloške za Whonix.

QubesOS profesionalci

  • Odvajanje aplikacija korištenjem virtualnih strojeva s pijeskom u obliku računala osigurava da se iskorištena aplikacija ili zlonamjerni JavaScript ne mogu prenijeti na druge aplikacije ili na operativni sustav domaćina.
  • Upotreba Whonixa unutar QubesOS-a omogućava daljnju razinu odvojenosti od interneta forsirajući sav vaš internetski promet preko portala Whonix Tor

QubesOS kontra

  • Qubes OS je teško testirati, jer ne djeluje dobro ili uopće u virtualnom stroju.
  • Na stranici za preuzimanje nalazi se nepodržani CD uživo. Može ili ne mora raditi za vaš sustav. A budući da nije podržan, on uistinu ne ispunjava posao uživo CD-a omogućavajući vam da ga upotrebite za stjecanje samopouzdanja o tome kako će raditi cjelovita instalacija. Stoga ste poprilično zaglavili s Qubes-ovim instaliranjima bez ili više ništa na vašem računalu da biste vidjeli kako prolazi.

Whonix - anonimnost u dva dijela

Whonix je dizajniran posebno za pružanje anonimnosti tijekom korištenja interneta. Sastoji se od dva virtualna stroja, pristupnika i radne stanice. Radna stanica može razgovarati samo s pristupnikom i pristupnik se povezuje s Internetom putem Tor-a. Oba su VirtualBox uređaji virtualnih računala, tako da ih možete pokrenuti na bilo kojem operativnom sustavu koji pokreće VirtualBox.

Whonix radna stanica i gateway konfigurirani su za upotrebu privatne mreže na vašem domaćem računalu. Radna stanica usmjerava sav svoj promet do pristupnika, koji koristi mrežu Tor za pristup internetu. Sve mrežne aktivnosti na radnoj stanici obavljaju se putem Tor-a.

Stroj domaćina ne sudjeluje u privatnoj mreži Whonix i stoga nastavlja koristiti svoju uobičajenu internetsku vezu.

whonix koncept rafiniranSlika: https://www.whonix.org/

Osim što putem Tor-a jednostavno pristupa svim zahtjevima radne stanice, prolaz Whonix štiti i od identifikacije pomoću Torinovih sklopova za različite aplikacije. Pristupnik implementira Stream Isolation kako bi osigurao da različite aplikacije na radnoj stanici kreću različitim putovima kroz Tor. Iako je to konfigurirano prema zadanim postavkama, možete saznati više o Torovoj izolaciji na Whonix wikiju.

Ovdje preuzmite dva uređaja s web lokacije Whonix, a zatim ih uvozite jedan po jedan u VirtualBox.

Odaberite Datoteka -> Uvozni aparat:

whonix uređaj za odabir

VirtualBox će trebati nekoliko minuta kako bi pročitao uređaj, a zatim prikazao njegove postavke. Kliknite gumb Uvezi da biste ga dovršili, a zatim kliknite gumb Start da biste pokrenuli virtualni stroj pristupnika.

postavke postavke whonix gateway virtualbox-a

Whonix Gateway

Pristupnik se može pokrenuti iz naredbenog retka. Ako vaš sustav ima manje od 2 GB RAM-a, možda će biti bolno pokretati dva potpuno ispunjena radna stola, tako da možete odlučiti pokrenuti pristupnik bez glave. Za ovaj članak koristit ću radnu površinu i za radnu stanicu i za izlaz jer je lakše demonstrirati koncepte.

Čarobnjak za prvo pokretanje prikazuje dva ekrana puna upozorenja o tome na koji se Whonixu ne treba pouzdati u anonimnosti:

Whonix je eksperimentalni softver. Ne oslanjajte se na to zbog jake anonimnosti.

To je malo uznemirujuće jer glavna stranica web stranice Whonix izričito kaže da pruža sigurnu anonimnost:

Omogućuje anonimnost na mreži putem sigurne, automatske i upotrebe mreže Tor na cijelom stolnom računalu širom svijeta.

Mislim da je osnovna poruka ovdje da postoji mnogo načina na koje možete izdati svoju identifikaciju, a koji nemaju nikakve veze s tehničkim jamstvima.

Sljedeći je korak konfiguriranje načina na koji bi se gateway trebao povezati s Tor mrežom. Ovdje prikazane mogućnosti oponašaju uobičajene mogućnosti postavljanja Tor-a u vezi s mostovima i proxyjima. Kad miša pređete preko bilo koje od tih opcija, Whonix će prikazati promjene koje su potrebne u vašoj torrc datoteci kako bi se postigla ta promjena. Neće automatski izvršiti nikakve promjene.

whonix gateway prvi čarobnjak za pokretanje

Sljedeći je korak konfiguriranje načina na koji želite da se izvršavaju nadogradnje.

postavljanje Whonix gateway repozitorija

I na kraju, upozorenje da je ovo Whonixov ulaz i da se ne smije koristiti kao radna stanica.

whonix završni ekran za prvo pokretanje

Whonix radna stanica

Sada kada je vaš Whonix gateway instaliran i povezan s Torom, vrijeme je za pokretanje radne stanice. Uvezite virtualni stroj radne stanice kao što ste napravili i pristupnik. Prikazani su isti Uvjeti i odredbe propasti i sumornosti. Tada možete konfigurirati svoje postavke ažuriranja.

whonix radna stanica postavila je spremišta

postavke postavki za whonix radne stanice

Neka se prvo ažuriranje završi i radna stanica je spremna za upotrebu:

whonix radna stanica prvo ažuriranje

Ako želite vidjeti vaš gateway u radu, pokrenite preglednik Tor na radnoj stanici, a zatim pokrenite Torino anonimni relej monitor (ARM). Vidjet ćete promet s radne stanice koji prolazi kroz vaš ulaz.

whonix gateway tor kontroler

Za osnovnu pomoć otvorite terminal terminala i samo upišite whonix. Pojavit će se zaslon pomoći koji uključuje zadane vjerodajnice korisnika. Možete ih koristiti za sudo root kako biste vidjeli svoja mrežna sučelja.

pomoć u radnoj stanici whonix

Brza provjera mrežnih sučelja pokazuje da radna stanica koristi privatnu IP adresu prema očekivanjima i usmjerava sav svoj promet kroz gateway..

whonix radna stanica i usmjeravanje kapija
Isključivanje pristupnika zaustavlja radnu stanicu uopće od mogućnosti povezivanja s internetom.

Whonix pro

  • Korištenje tehnologije VirtualBox osigurava da najširi krug ljudi može koristiti Whonix. VirtualBox dostupan je za svaki veći operativni sustav i besplatan je.
  • Zadana instalacija i upotreba izuzetno su jednostavni. Za rad vam nije potrebno posebno znanje ili konfiguracija.

Whonix kontra

  • Iako je radna stanica Whonix odvojena od glavnog računala, ne postoji daljnje odvajanje. Izvođenje i rizičnih i nerizičnih ponašanja na radnoj stanici jednako je opasno kao i obavljanje oba rada na domaćem računalu.
  • Budući da je anonimnost omogućena samo u virtualnom stroju radne stanice, lako je zaboraviti koristiti je i slučajno koristiti domaćinski stroj.

Repovi - Amnesic Incognito Live System

Tails je živi operativni sustav izgrađen na temelju Debian GNU / Linuxa. Ne postoji postupak instalacije. S njim pokrenete računalo, a ono se pokreće s privremenih medija s kojih ste podignuti sustav. Kad ga isključite, on zaboravlja (amnezično) i pomaže vam ostati anoniman dok ga koristite (anonimno).

Sve mrežne veze usmjeravaju se putem Tor mreže, a aplikacije koje pokušavaju izravno pristupiti internetu su blokirane. Tor je postavljen prema zadanim postavkama, ali Tails se također može konfigurirati za upotrebu anonimne mreže I2P.

Započnite ovdje kako biste započeli postupak preuzimanja: https://tails.boum.org/install/index.en.html. Čini se da su upute malo uključene; Nisam siguran zašto oni uključuju potrebu za više USB stickova ili mobilnog telefona za čitanje uputa. Jednostavno sam preuzeo Tails ISO datoteku i učitao je u VirtualBox kao i bilo koji drugi. Ako ćete pravilno koristiti Tails, trebat ćete snimiti taj ISO na neke medije s kojih se možete pokrenuti; obično CD / DVD ili USB stick.

Prvo boot prikazat će Tails Greeter gdje možete opcionalno konfigurirati neke opcije prije učitavanja radne površine.

repovi prvo dizanje

mogućnosti prvog pokretanja

repovi koji pokreću tor preglednik

Da biste koristili Tails s I2P umjesto Tor, morat ćete se ponovno pokrenuti. Kada se pojavi izbornik programa za pokretanje, pritisnite gumb Tab za prikaz trenutnih opcija pokretanja. Pritisnite razmaknicu, a zatim dodajte i2p postojećim opcijama. Pritisnite Enter za nastavak dizanja.

opcija za boot i2p

Ploča obavijesti na dnu radne površine reći će vam je li Tor ili I2P konfiguriran:

repovi i2p obavijest

Pokrenite preglednik I2P da biste vidjeli status vaše I2P veze odabirom aplikacije -> Opcija internetskog izbornika.

opcija i2p izbornika preglednika

Pričekajte dok se učita:

repovi i2p preglednik učitava

Kao što Tor ima interne stranice koje koriste .onion ekstenziju, I2P ima svoje skrivene usluge koje koriste .i2p proširenje.

repovi i2p bug site

Za razliku od Tor-a, I2P usmjerivač vam neće dopustiti pristup jasnim mrežnim stranicama prema zadanim postavkama. Trebat ćete konfigurirati Outproxy kako biste pristupili redovitim internetskim stranicama dok koristite I2P.

repovi nema outproxy

Dostupni su samo HTTP, HTTPS i Outproxiesi e-pošte. Ako vam treba SOCKS outproxy da biste postigli više, trebali biste se držati Tor-a.

Prosi prof

  • Live CD-ovi su općenito vrlo jednostavni. Možete snimiti jednom, koristiti bilo gdje što je vrlo zgodno ako imate više nepouzdanih računala.
  • Zadana konfiguracija za upotrebu Tor-a pruža anonimnost izvan okvira, u mjeri u kojoj mu to pruža.

Rekovi protiv

  • Tails ne šifrira dokumente stvorene tijekom sesije prema zadanim postavkama, ali ima šifriranu značajku trajnog volumena koju možete koristiti za to.
  • Svi CD-ovi uživo se ne bave monolitnim problemom; operativni sustav nema segregaciju, pa rizične aktivnosti u jednoj aplikaciji mogu utjecati na druge.

Ostali distributeri CD-a uživo

Live CD smatra se jednim od najjednostavnijih načina pružanja sigurnosti i anonimnosti. Iz tog razloga na raspolaganju je velik izbor CD-a uživo. Nekoliko drugih koji su mi zapeli za vrijeme pisanja ovog članka su IprediaOS i TENS.

IprediaOS

Ipredia OS koristi I2P anonimnu mrežu umjesto Tor mreže koja je prevladavajuća među ostalim distribucijama. I2P je dostupan za Windows, Linux, macOS i Android. IprediaOS je dostupan kao instalirani Live CD za preuzimanje pomoću Gnome radne površine ili Lakog X11 Desktop (LXDE).

Anonimnost proizlazi iz upotrebe I2P mreže kao i od unaprijed instaliranih aplikacija. Priložene aplikacije podržavaju anonimni BitTorrent, e-poštu, IRC i web preglednik. Slično kao što Tor ima interne stranice s lukom, I2P ima interna I2P mjesta nazvana eepSites s .i2p ekstenzijom.

Preuzmite live instalacijski CD sa stranice Ipredia.

TENS - Sigurnost pouzdanog krajnjeg čvora

[Sigurnost pouzdanog krajnjeg čvora [(https://www.spi.dod.mil/lipose.htm). TENS je kreiralo američko Ministarstvo obrane (DoD). Zanimljivo je da američki DoD potpisuje vlastite SSL certifikate. Vaš preglednik najvjerojatnije nema DoD naveden kao pouzdano tijelo za certifikate, tako da će vjerojatno pokušati vidjeti SSL pogreške prilikom pokušaja posjeta web mjestu. Čini mi se da je to sigurno na temelju mog istraživanja, ali vaša bi razina paranoje trebala vladati vašim postupcima.

TENS pušta u RAM, ne piše ništa na disk i zato stvara pouzdan, privremeni krajnji čvor na gotovo bilo kojem računalu. Imajte na umu da je svrha TENS-a stvoriti pouzdan END čvor; stvoreno je kako bi zaštitilo računalo na koje se povezujete; nije stvoreno da vas zaštiti po sebi.

Postoji nekoliko različitih verzija, od kojih su dvije dostupne javnosti. Public Deluxe dolazi s Libre Officeom, dok standardna Public verzija ne. Verzija Professional dostupna je samo američkom vladinom osoblju. Pojedinačni odjeli mogu zatražiti prilagođene izrade i to je jedina odobrena metoda povezivanja s DoD sustavima na nevladinoj opremi.

Vidi također: Koje su najbolje Linux VPN usluge?

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

59 − 50 =

Adblock
detector