ОС максимальной секретности. Выбираем дистрибутив для обхода блокировок и защиты от слежки

Portret

Опытный
Регистрация
2/1/17
Сообщения
2.327
Репутация
8.135
Реакции
11.449
RUB
0
Сделок через гаранта
3
Возможно, ты уже пользовался дистрибутивом Tails или даже запускаешь его ежедневно. Но это не единственная операционка, способная скрыть твое присутствие в сети и помогающая обойти региональные блокировки. В этой статье мы изучим пять конкурентов Tails, каждый — со своими интересными особенностями.

Длительная и полная анонимность практически недостижима на практике. Более того, настойчивые попытки ее добиться гарантированно привлекут к тебе внимание. Подробнее см. проект XKeyscore. О нем и его наследии в NSA и GCHQ можно почитать на onion-ресурсах.


Составляющие приватности
Опытный хакер-линуксоид самостоятельно сделает операционку под свои нужды, нафарширует ее любимыми инструментами и зашифрует каждый бит. Однако это займет уйму времени, а потому данный способ подходит лишь самым красноглазым. Для всех остальных есть готовые варианты, в которых уже продуманы тысячи мелочей, собраны и настроены проверенные средства защиты приватности.

При внешнем разнообразии эти дистрибутивы имеют много общих черт, поскольку сохранение тайны личной жизни построено на одинаковых подходах. Обеспечение приватности состоит из следующих этапов, которые решаются на локальном и сетевом уровне:

  • гарантированное удаление следов работы и любых уникальных (а значит — потенциально компрометирующих) данных, использованных во время сеанса;
  • шифрование тех данных, которые нужно сохранить (например, электронные кошельки, документы, аудиовидеозаписи, прочие личные файлы и конфиги);
  • сокрытие самого факта хранения зашифрованных данных (методами стеганографии и их маскировкой среди более заметных криптоконтейнеров, заведомо не содержащих ценной информации);
  • изоляция приложений и выделение некоторых сервисов в отдельные виртуальные машины (sandbox, Xen, VirtualBox и другие средства виртуализации) для снижения вероятности деанонимизации при заражении трояном;
  • патчи ядра для усиленного контроля за взаимодействием процессов и сведения к минимуму риска деанонимизации через эксплоиты;
  • средства экстренного завершения работы ОС с быстрым удалением наиболее компрометирующих данных на случай угрозы физического изъятия загрузочного накопителя;
  • ранняя подмена MAC-адреса сетевых устройств (обычно она происходит еще на этапе загрузки);
  • предотвращение раскрытия IP-адреса (контроль состояния VPN, anti DNS leak, фильтрация скриптов, использование цепочки прокси-серверов с высокой анонимностью, проксирование трафика всех приложений через Tor и т. п.);
  • реализация анонимных каналов связи (чаты, почта, обмен файлами);
  • обход региональных блокировок (автоматическая настройка использования публичных DNS-серверов, бесплатных VPN, быстрых прокси, Tor, I2P, Freenet).
Разумеется, каждый конкретный дистрибутив имеет свои ограничения и не предоставляет все перечисленные выше инструменты в одной сборке, но это и не требуется на практике. Многие пункты в данном списке дублируют функциональность друг друга либо вовсе взаимоисключающи.

Мы не будем рассуждать о человеческом факторе, который сводит на нет надежность любой системы. Ограничимся техническими аспектами и просто напомним, что не существует средств, полностью запрещающих людям совершать ошибки.


Kodachi
В прошлом выпуске мы разбирали дистрибутивы для форензики, а Kodachi позиционируется как anti-forensic-разработка, затрудняющая криминалистический анализ твоих накопителей и оперативной памяти. Технически это еще один форк Debian, ориентированный на приватность. В чем-то он даже более продуман, чем популярный Tails.

Последняя стабильная версия Kodachi 3.7 была написана в январе прошлого года. Операционка родом из Омана (где с интернет-цензурой знакомы не понаслышке), что добавляет ей колорита.

В качестве среды рабочего стола для Kodachi была выбрана Xfce, а общий интерфейс операционки стилизован под macOS. Статус подключения к Tor и VPN, а также большинство текущих параметров загрузки системы выводятся в режиме реального времени и отображаются прямо на рабочем столе.

Графический интерфейс KodachiСреди ключевых особенностей Kodachi — принудительное туннелирование трафика через Tor и VPN, причем бесплатный VPN уже настроен.
1.jpg
Запуск Kodachi VPNПлюс в Kodachi интегрирована поддержка DNScrypt — это протокол и одноименная утилита, шифрующая запросы к серверам OpenDNS методами эллиптической криптографии. Она устраняет целый ряд типичных проблем, вроде DNS leak и оставления следов работы в сети на серверах провайдера.
2.jpg
Kodachi DNS toolsДругое отличие Kodachi — интегрированный Multi Tor для быстрой смены выходных узлов с выбором определенной страны и PeerGuardian для сокрытия своего IP-адреса в Р2Р-сетях (а также блокировки сетевых узлов из длинного черного списка).

PeerGuardianПомимо PeerGuardian, в качестве брандмауэра используется Uncomplicated Firewall (uwf) с графической оболочкой guwf.

Приложения в Kodachi легко изолировать при помощи встроенной песочницы Firejail. Особенно рекомендуется делать это для браузера, почты и мессенджера.

Firejail sandboxОперационка плотно нафарширована средствами криптографии (TrueCrypt, VeraCrypt, KeePass, GnuPG, Enigmail, Seahorse, GNU Privacy Guard Assistant) и заметания следов (BleachBit, Nepomuk Cleaner, Nautilus-wipe).

Встроенные системные приложенияВ Kodachi реализована защита от атаки методом холодной перезагрузки. Во время cold boot attack можно частично восстановить данные, недавно (секунды назад) хранившиеся в оперативной памяти. Чтобы этого избежать, Kodachi затирает оперативную память случайными данными при выключении компьютера.
Инструменты быстрого реагирования собраны в разделе Panic room. В нем есть программы затирания данных на диске и в оперативной памяти, перезапуска сетевых подключений, блокировки экрана (xtrlock) и даже команда полного уничтожения операционки.

Набор параноикаKodachi работает с USB-Flash как типичный Live-дистрибутив (чтобы не оставлять следов на локальном компьютере), но при желании ты можешь запустить ее в виртуалке (если доверяешь основной ОС). В любом случае по умолчанию ты логинишься как пользователь с именем kodachi и паролем r@@t00. Чтобы использовать sudo, введи username root и такой же пароль r@@t00.



MOFO Linux
Это быстро развивающаяся и солидно нафаршированная ОС на базе Ubuntu. Прямо «из коробки» она предлагает SoftEther VPN и OpenVPN с автоматическим определением пятнадцати самых быстрых (не обязательно ближайших к тебе) бесплатных серверов. Указывается их пинг до тебя, до сайта google.com и пропускная способность канала.

Настройка OpenVPNПомимо Tor и VPN, MOFO поддерживает I2P плюс Lantern и Psiphon, как шустрые прокси. Правда, сейчас Psiphon глючит, а у Lantern без ограничения скорости на бесплатном тарифе доступно только 500 Мбайт в месяц, но всегда можно купить платный аккаунт.

Lantern в MOFOПрямо из графического меню в пару кликов устанавливается клиент Freenet — одноранговой анонимной сети с распределенным хранением зашифрованных данных. В ней есть свои сайты и форумы, которые практически невозможно цензурировать.
3.jpg
В MOFO добавлена ссылка на установку пакета поддержки распределенной файловой системы IPFS (Interplanetary File System), созданной на основе технологий P2P. Благодаря IPFS можно расшаривать локальные файлы и создавать сайты, которые не исчезнут из-за блокировок . MOFO также поддерживает сетевой протокол Cjdns. С его помощью можно создать виртуальную IPv6-сеть с шифрованием трафика.

Установка IPFSКриптографическую защиту личных данных в MOFO обеспечивает eCryptfs — многоуровневая файловая система с шифрованием на лету. Она работает поверх существующей ФС (ext3, ext4 или XFS) и не требует создания специального раздела.

Включаем шифрованиеДополнительно в MOFO предустановлена утилита ZuluCrypt с поддержкой формата криптоконтейнеров TrueCrypt и VeraCrypt.
4.jpg
ZuluCrypt — варианты зашифрованных томовНа момент тестирования была доступна версия mofolinux-6.0 от 18 февраля 2018 года. По умолчанию пароль администратора не задан.



Subgraph OS
Это все еще очень сырой форк Debian, который однажды похвалил Сноуден за идею, но не за реализацию. Единственное, что в Subgraph заметно изменилось, — это перечень предустановленного софта.

Интегрированные утилиты в Subgraph OSПоследняя версия сейчас — сентябрьская альфа 2017 года. Она может запускаться в Live-режиме, но для полноценной работы предполагает установку на жесткий диск.

Ключевая особенность Subgraph OS — система запуска приложений в песочницах Oz. Она изолирует выбранные приложения друг от друга и от основной системы с помощью пространств имен и накладывает ограничения с помощью seccomp-bpf, так же как это делает уже упомянутый Firejail.

Ядро Subgraph OS собрано с патчами PaX/Grsecurity. Они ограничивают доступ к файлам /proc, применяют более жесткую изоляцию chroot(), включают в себя более продвинутую систему рандомизации адресного пространства ASLR, помечают стек как неисполняемый и контролируют выделение сетевых сокетов.

Subgraph OS устанавливается на зашифрованный раздел, имеет средства для разрешения/запрета доступа приложений к сети, поддерживает аппаратные ключи YubiKey с одноразовыми паролями.

YubiKey PT в Subgraph OSЭлектронная почта защищена с помощью PGP, а встроенный брандмауэр маршрутизирует все исходящие соединения через анонимную сеть Tor.

Интегрированный Subgraph OS Instant Messenger — это форк CoyIM с поддержкой XMPP, который также работает через Tor по умолчанию.

Анонимный мессенджер Subgraph OSСоздание анонимных файловых шар доступно через OnionShare, но точно так же утилита работает и в других версиях Linux.

OnionShare в Subgraph OSНа первый взгляд может показаться, что в Subgraph OS все хорошо и это действительно достойная ОС, но на самом деле все намного сложнее. Во встроенной песочнице запускаются только определенные приложения. Есть список приложений, которые автоматически попадают в sandbox, остальные, включая рабочую среду GNOME, запускаются как обычные приложения в любом другом дистрибутиве Linux.

Такая архитектура открывает множество путей для компрометации ОС. Например, Tor Browser запускается в песочнице, но имеет полный доступ к каталогу ~/Downloads (для сохранения загруженных файлов). Если в браузере будет обнаружена дыра и взломщик найдет способ ее использовать для запуска эксплоита, он сможет записать в ~/Downloads все, что захочет, включая, например, файл формата .desktop. В такой файл можно поместить любой скрипт, и он будет исполнен, когда пользователь перейдет в каталог ~/Downloads и кликнет по нему. А так как для навигации по ФС в Subgraph OS используется работающий вне песочницы файловый менеджер Nautilus, то скрипт будет иметь доступ ко всей системе.

В апреле 2017 года этим недоразумением воспользовалась Micah Lee и Joanna Rutkowska (создательница Qubes OS), выполнив показательный хак Subgraph OS.



heads
Сравнительно новая операционка называется именно так — heads со строчной буквы. В FAQ по этому поводу написано краткое пояснение разработчика: «потому что я так сказал». Остальные ответы в нем не более содержательные. Проект молодой, развивается на голом энтузиазме, и потому документации не хватает.

На момент написания статьи на официальном сайте была доступна версия 0.4 от 26 марта 2018 года. Технически это форк на основе Devuan, который, в свою очередь, форк Debian с демоном инициализации SysVinit вместо SystemD.

Heads поддерживает только процессорные архитектуры i386, x86_64, поэтому не подойдет для использования на мобильных девайсах с процессорами ARM. В качестве графической оболочки в heads предлагается тайловый оконный менеджер Awesome, в котором реализовано быстрое управление окнами с клавиатуры. В качестве более привычной альтернативы доступен Openbox.

Набор утилит в heads очень скромный. Есть браузер, почта, чат, криптовалютный кошелек и по паре программ для работы с разными типами файлов.

Минимализм headsС другой стороны, из-за легковесности Tor запускается очень быстро, а браузером можно пользоваться практически сразу.

Tor-браузерКлючевые особенности heads — глубокая интеграция с Tor и использование только свободного программного обеспечения. Весь трафик (а не только браузерный) в heads идет через Tor. Сайт heads также доступен в Tor.

Дополнительно heads может подменять MAC-адрес при старте, а модуль ядра Permakey автоматически завершает работу ОС при изъятии загрузочной флешки (полезно на случай спешного ухода). Отключить такое поведение можно, отметив соответствующие флажки при старте операционки. Там же при старте задается пароль администратора.

Запуск headsПо умолчанию внешние накопители не подключаются. В Openbox они монтируются по клику на значке утилиты udiskie в нижней панели справа. Операционка находится на раннем этапе развития, поэтому недоделок в ней хватает. Проблемы возникают уже с поиском драйверов для видеокарт, сетевых адаптеров и другого железа. Если тебе повезло с конфигом, то heads быстро запустится в Live-режиме и пустит трафик всех приложений через Tor.

Однако это не всегда нужно. Например, при использовании HexChat нельзя подключиться ко многим популярным каналам. Они видят попытку залогиниться через выходные узлы Tor и автоматически кикают тебя.
5.jpg
Локи не рад ТоруВ heads есть очень краткий список ресурсов в Tor, но их легко найти самостоятельно.



Tails
Tails (The Amnesiac Incognito Live System), пожалуй, самая известная операционка для анонимного веб-серфинга и обхода интернет-цензуры. Мы не раз писали о ней, поэтому не будем сейчас уделять ей много внимания. Сейчас в обзор попала свежая версия 3.6.2 от 11 апреля 2018 года.

Технически Tails — это ирландский форк Debian (на основе стабильной ветки) с GNOME в качестве графической среды. Tails поддерживает русский язык, умеет настраивать разные способы подключения к Tor и подменять MAC-адрес сразу при старте.

Параметры запуска TailsАвтоматическая настройка Tor занимает несколько минут, но зато легко контролируется через Onion Circuits.

Наглядная луковичная маршрутизацияОбновления Tails выходят регулярно, и в основном это патчи безопасности. В каждой версии обнаруживается масса уязвимостей, и быстро выпускают новую — все в традициях циклической разработки.

Примечательно, что Tails детектит запуск в виртуалке и предупреждает, что в таком случае не гарантирует анонимность, поскольку не может ручаться за безопасность основной ОС.

Набор предустановленных программ в Tails средний по размеру (когда-то он был совсем минималистичным), но ты всегда можешь доустановить любой софт из репозиториев Debian. Но это займет много времени (из-за его загрузки через Tor), а после завершения сеанса все изменения пропадут (если, конечно, ты не создашь зашифрованный раздел на флешке с помощью встроенной утилиты).

Все данные хранятся в оперативке и не сохраняются на диске, чтобы не оставлять следов (опять же если ты не используешь зашифрованный раздел). При выключении Tails забьет ОЗУ случайными данными, чтобы не допустить их считывания при атаке методом холодной перезагрузки. Защита от внезапного выдергивания флешки, рандомизация MAC-адреса сетевухи (работает и для внешних сетевых карт) также присутствуют. Весь трафик, в том числе DNS-запросы, идет исключительно через Tor.

Для совместной анонимной работы в режиме реального времени в Tails интегрирована утилита Gobby. Она поддерживает Unicode, подсветку синтаксиса популярных языков программирования и выделение цветом фрагментов текста, добавленных разными пользователями. Ее версии также доступны для Windows и macOS.

Совместная анонимная работа в TailsНесмотря на солидный возраст (проекту уже почти девять лет), Tails до сих пор подвержена странным глюкам. Например, при чтении новостей через Liferea временами с экрана пропадает ее поисковая выдача или вовсе завершаются все приложения. Происходит это не постоянно, и отловить взаимосвязь с какими-то определенными действиями нам пока не удалось


Whonix

Пожалуй, это наименее тривиальная операционка в сегодняшнем обзоре. Она поставляется в виде готовых виртуальных машин (.ova) и состоит из двух взаимосвязанных частей.

Серверная часть называется Whonix-Gateway, а клиентская — Whonix Workstation. Последний стабильный релиз был выпущен 31 мая 2016 года. По умолчанию в Whonix задано имя пользователя user и пароль changeme.

Для использования Whonix нужно скачать обе виртуалки, импортировать их конфиги средствами VirtualBox и поочередно запустить, начиная с Gateway. Много ресурсов им не требуется. Оптимальные параметры уже заданы.

Импортируем виртуалки WhonixДальнейшая настройка выполняется при помощи мастера в несколько кликов. Колдовать в консоли не потребуется.

Настройка Whonix-GatewayСерверная часть возьмет на себя маршрутизацию через Tor и VPN, обработку запросов DNS и фильтрацию сетевых пакетов.

Раздвоение виртуальной личности с WhonixТакой подход позволяет скрыть все данные пользователя на одной виртуальной машине, в то время как атакам подвергается другая — Gateway. Заодно так решается известная проблема деанонимизации. Нет риска утечки реального айпишника из-за DNS leak и глюков маршрутизации.

Статус подключения к TorДаже если серверную часть Whonix взломают, атакующий не вычислит твой айпишник и не доберется до твоих документов и биткойнов, поскольку они хранятся в другой (клиентской) виртуалке.

Список предустановленных программ у Whonix довольно стандартен: браузер Tor, мессенджеры Tor Messenger, Tox и Ricochet, почтовые клиенты Mozilla Thunderbird и TorBirdy с поддержкой PGP, безопасная передача файлов через SCP (RCP через SSH) и системные утилиты. Полный список с разбивкой по категориям смотри здесь.

Как и у всякой виртуалки, надежность Whonix зависит от степени защищенности основной операционной системы. Ее можно запустить на компьютерах с Windows, macOS или Linux.

Варианты запуска WhonixОдним из самых надежных вариантов считается запуск Whonix в Qubes OS на доверенном железе с эталонной прошивкой. Это форк Fedora от Йоанны Рутковской, использующий гипервизор Xen. Данная операционка не относится к Live-дистрибутивам и потому не рассматривается в текущем обзоре.



Выводы
Среди дистрибутивов для анонимного веб-серфинга и обхода интернет-цензуры есть как очень разрекламированные (Tails, Subgraph OS), но не слишком удобные, так и менее известные, но более функциональные (MOFO, Kodachi). Именно на последние я советую обратить внимание при выборе Live OS.

В данный обзор не попали дистрибутивы, разработка которых была приостановлена два года назад или более. Это JonDo, Sabayon Linux, благословленный АНБ TENS, Discreete Linux, IprediaOS и многие другие. Это не значит, что они плохие, просто сейчас появились более актуальные, а свой форк анонимного линукса не делал только ленивый.
 
Сверху Снизу