ОС максимальной секретности. Выбираем дистрибутив для обхода блокировок и защиты от слежки

Zams

cYph3rp4nk
181
156
9 Ноя 2016



Длительная и полная анонимность практически недостижима на практике. Более того, настойчивые попытки ее добиться гарантированно привлекут к тебе внимание. Подробнее см. проект XKeyscore. О нем и его наследии в NSA и GCHQ можно почитать на onion-ресурсах.

Составляющие приватности
Опытный хакер-линуксоид самостоятельно сделает операционку под свои нужды, нафарширует ее любимыми инструментами и зашифрует каждый бит. Однако это займет уйму времени, а потому данный способ подходит лишь самым красноглазым. Для всех остальных есть готовые варианты, в которых уже продуманы тысячи мелочей, собраны и настроены проверенные средства защиты приватности.

При внешнем разнообразии эти дистрибутивы имеют много общих черт, поскольку сохранение тайны личной жизни построено на одинаковых подходах. Обеспечение приватности состоит из следующих этапов, которые решаются на локальном и сетевом уровне:

  • гарантированное удаление следов работы и любых уникальных (а значит — потенциально компрометирующих) данных, использованных во время сеанса;
  • шифрование тех данных, которые нужно сохранить (например, электронные кошельки, документы, аудиовидеозаписи, прочие личные файлы и конфиги);
  • сокрытие самого факта хранения зашифрованных данных (методами стеганографии и их маскировкой среди более заметных криптоконтейнеров, заведомо не содержащих ценной информации);
  • изоляция приложений и выделение некоторых сервисов в отдельные виртуальные машины (sandbox, Xen, VirtualBox и другие средства виртуализации) для снижения вероятности деанонимизации при заражении трояном;
  • патчи ядра для усиленного контроля за взаимодействием процессов и сведения к минимуму риска деанонимизации через эксплоиты;
  • средства экстренного завершения работы ОС с быстрым удалением наиболее компрометирующих данных на случай угрозы физического изъятия загрузочного накопителя;
  • ранняя подмена MAC-адреса сетевых устройств (обычно она происходит еще на этапе загрузки);
  • предотвращение раскрытия IP-адреса (контроль состояния VPN, anti DNS leak, фильтрация скриптов, использование цепочки прокси-серверов с высокой анонимностью, проксирование трафика всех приложений через Tor и т. п.);
  • реализация анонимных каналов связи (чаты, почта, обмен файлами);
  • обход региональных блокировок (автоматическая настройка использования публичных DNS-серверов, бесплатных VPN, быстрых прокси, Tor, I2P, Freenet).
Разумеется, каждый конкретный дистрибутив имеет свои ограничения и не предоставляет все перечисленные выше инструменты в одной сборке, но это и не требуется на практике. Многие пункты в данном списке дублируют функциональность друг друга либо вовсе взаимоисключающи.

Мы не будем рассуждать о человеческом факторе, который сводит на нет надежность любой системы. Ограничимся техническими аспектами и просто напомним, что не существует средств, полностью запрещающих людям совершать ошибки.

Kodachi
Как то давно мы разбирали дистрибутивы для форензики, а Kodachi позиционируется как anti-forensic-разработка, затрудняющая криминалистический анализ твоих накопителей и оперативной памяти. Технически это еще один форк Debian, ориентированный на приватность. В чем-то он даже более продуман, чем популярный Tails.

Последняя стабильная версия Для просмотра ссылки Войди или Зарегистрируйся была написана в январе прошлого года. Операционка родом из Омана (где с интернет-цензурой знакомы не понаслышке), что добавляет ей колорита.

В качестве среды рабочего стола для Kodachi была выбрана Xfce, а общий интерфейс операционки стилизован под macOS. Статус подключения к Tor и VPN, а также большинство текущих параметров загрузки системы выводятся в режиме реального времени и отображаются прямо на рабочем столе.


Графический интерфейс Kodachi
Среди ключевых особенностей Kodachi — принудительное туннелирование трафика через Tor и VPN, причем бесплатный VPN уже настроен.


Запуск Kodachi VPN
Плюс в Kodachi интегрирована поддержка DNScrypt — это протокол и одноименная утилита, шифрующая запросы к серверам OpenDNS методами эллиптической криптографии. Она устраняет целый ряд типичных проблем, вроде DNS leak и оставления следов работы в сети на серверах провайдера.


Kodachi DNS tools
Другое отличие Kodachi — интегрированный Multi Tor для быстрой смены выходных узлов с выбором определенной страны и PeerGuardian для сокрытия своего IP-адреса в Р2Р-сетях (а также блокировки сетевых узлов из длинного черного списка).


PeerGuardian
Помимо PeerGuardian, в качестве брандмауэра используется Uncomplicated Firewall (uwf) с графической оболочкой guwf.

Приложения в Kodachi легко изолировать при помощи встроенной песочницы Firejail. Особенно рекомендуется делать это для браузера, почты и мессенджера.


Firejail sandbox
Операционка плотно нафарширована средствами криптографии (TrueCrypt, VeraCrypt, KeePass, GnuPG, Enigmail, Seahorse, GNU Privacy Guard Assistant) и заметания следов (BleachBit, Nepomuk Cleaner, Nautilus-wipe).


Набор предустановленных утилит

Встроенные системные приложения
В Kodachi реализована защита от атаки методом холодной перезагрузки. Во время cold boot attack можно частично восстановить данные, недавно (секунды назад) хранившиеся в оперативной памяти. Чтобы этого избежать, Kodachi затирает оперативную память случайными данными при выключении компьютера.

Инструменты быстрого реагирования собраны в разделе Panic room. В нем есть программы затирания данных на диске и в оперативной памяти, перезапуска сетевых подключений, блокировки экрана (xtrlock) и даже команда полного уничтожения операционки.


Набор параноика
Kodachi работает с USB-Flash как типичный Live-дистрибутив (чтобы не оставлять следов на локальном компьютере), но при желании ты можешь запустить ее в виртуалке (если доверяешь основной ОС). В любом случае по умолчанию ты логинишься как пользователь с именем kodachi и паролем [email protected]@t00. Чтобы использовать sudo, введи username root и такой же пароль [email protected]@t00.

MOFO Linux
Это быстро развивающаяся и солидно нафаршированная ОС на базе Ubuntu. Прямо «из коробки» она предлагает SoftEther VPN и OpenVPN с автоматическим определением пятнадцати самых быстрых (не обязательно ближайших к тебе) бесплатных серверов. Указывается их пинг до тебя, до сайта google.com и пропускная способность канала.


Настройка OpenVPN
Помимо Tor и VPN, MOFO поддерживает I2P плюс Lantern и Psiphon, как шустрые прокси. Правда, сейчас Psiphon глючит, а у Lantern без ограничения скорости на бесплатном тарифе доступно только 500 Мбайт в месяц, но всегда можно купить платный аккаунт.


Lantern в MOFO
Прямо из графического меню в пару кликов устанавливается клиент Freenet — одноранговой анонимной сети с распределенным хранением зашифрованных данных. В ней есть свои сайты и форумы, которые практически невозможно цензурировать.


Freenet
В MOFO добавлена ссылка на установку пакета поддержки распределенной файловой системы IPFS (Interplanetary File System), созданной на основе технологий P2P. Благодаря IPFS можно расшаривать локальные файлы и создавать сайты, которые не исчезнут из-за блокировок. MOFO также поддерживает сетевой протокол Для просмотра ссылки Войди или Зарегистрируйся. С его помощью можно создать виртуальную IPv6-сеть с шифрованием трафика.


Установка IPFS
Криптографическую защиту личных данных в MOFO обеспечивает Для просмотра ссылки Войди или Зарегистрируйся — многоуровневая файловая система с шифрованием на лету. Она работает поверх существующей ФС (ext3, ext4 или XFS) и не требует создания специального раздела.


Включаем шифрование
Дополнительно в MOFO предустановлена утилита ZuluCrypt с поддержкой формата криптоконтейнеров TrueCrypt и VeraCrypt.


ZuluCrypt — варианты зашифрованных томов
На момент тестирования была доступна версия Для просмотра ссылки Войди или Зарегистрируйся от 18 февраля 2018 года. По умолчанию пароль администратора не задан.

Subgraph OS
Это все еще очень сырой форк Debian, который однажды похвалил Сноуден за идею, но не за реализацию. Единственное, что в Subgraph заметно изменилось, — это перечень предустановленного софта.


Интегрированные утилиты в Subgraph OS
Последняя версия сейчас — Для просмотра ссылки Войди или Зарегистрируйся 2017 года. Она может запускаться в Live-режиме, но для полноценной работы предполагает установку на жесткий диск.

Ключевая особенность Subgraph OS — система запуска приложений в песочницах Для просмотра ссылки Войди или Зарегистрируйся. Она изолирует выбранные приложения друг от друга и от основной системы с помощью пространств имен и накладывает ограничения с помощью seccomp-bpf, так же как это делает уже упомянутый Firejail.

Ядро Subgraph OS собрано с патчами PaX/Grsecurity. Они ограничивают доступ к файлам /proc, применяют более жесткую изоляцию chroot(), включают в себя более продвинутую систему рандомизации адресного пространства ASLR, помечают стек как неисполняемый и контролируют выделение сетевых сокетов.

Subgraph OS устанавливается на зашифрованный раздел, имеет средства для разрешения/запрета доступа приложений к сети, поддерживает аппаратные ключи YubiKey с одноразовыми паролями.


YubiKey PT в Subgraph OS
Электронная почта защищена с помощью PGP, а встроенный брандмауэр маршрутизирует все исходящие соединения через анонимную сеть Tor.

Интегрированный Subgraph OS Instant Messenger — это форк CoyIM с поддержкой XMPP, который также работает через Tor по умолчанию.


Анонимный мессенджер Subgraph OS
Создание анонимных файловых шар доступно через OnionShare, но точно так же утилита работает и в других версиях Linux.


OnionShare в Subgraph OS
На первый взгляд может показаться, что в Subgraph OS все хорошо и это действительно достойная ОС, но на самом деле все намного сложнее. Во встроенной песочнице запускаются только определенные приложения. Есть список приложений, которые автоматически попадают в sandbox, остальные, включая рабочую среду GNOME, запускаются как обычные приложения в любом другом дистрибутиве Linux.

Такая архитектура открывает множество путей для компрометации ОС. Например, Tor Browser запускается в песочнице, но имеет полный доступ к каталогу ~/Downloads (для сохранения загруженных файлов). Если в браузере будет обнаружена дыра и взломщик найдет способ ее использовать для запуска эксплоита, он сможет записать в ~/Downloads все, что захочет, включая, например, файл формата .desktop. В такой файл можно поместить любой скрипт, и он будет исполнен, когда пользователь перейдет в каталог ~/Downloads и кликнет по нему. А так как для навигации по ФС в Subgraph OS используется работающий вне песочницы файловый менеджер Nautilus, то скрипт будет иметь доступ ко всей системе.

В апреле 2017 года этим недоразумением воспользовалась Micah Lee и Joanna Rutkowska (создательница Qubes OS), выполнив Для просмотра ссылки Войди или Зарегистрируйся Subgraph OS.

heads
Сравнительно новая операционка называется именно так — heads со строчной буквы. В FAQ по этому поводу написано краткое пояснение разработчика: «потому что я так сказал». Остальные ответы в нем не более содержательные. Проект молодой, развивается на голом энтузиазме, и потому документации не хватает.

На момент написания статьи на Для просмотра ссылки Войди или Зарегистрируйся была доступна версия 0.4 от 26 марта 2018 года. Технически это форк на основе Devuan, который, в свою очередь, форк Debian с демоном инициализации SysVinit вместо SystemD.

Heads поддерживает только процессорные архитектуры i386, x86_64, поэтому не подойдет для использования на мобильных девайсах с процессорами ARM. В качестве графической оболочки в heads предлагается тайловый оконный менеджер Awesome, в котором реализовано быстрое управление окнами с клавиатуры. В качестве более привычной альтернативы доступен Openbox.

Набор утилит в heads очень скромный. Есть браузер, почта, чат, криптовалютный кошелек и по паре программ для работы с разными типами файлов.


Минимализм heads
С другой стороны, из-за легковесности Tor запускается очень быстро, а браузером можно пользоваться практически сразу.


Tor-браузер
Ключевые особенности heads — глубокая интеграция с Tor и использование только свободного программного обеспечения. Весь трафик (а не только браузерный) в heads идет через Tor. Для просмотра ссылки Войди или Зарегистрируйся также доступен в Tor.

Дополнительно heads может подменять MAC-адрес при старте, а модуль ядра Permakey автоматически завершает работу ОС при изъятии загрузочной флешки (полезно на случай спешного ухода). Отключить такое поведение можно, отметив соответствующие флажки при старте операционки. Там же при старте задается пароль администратора.


Запуск heads
По умолчанию внешние накопители не подключаются. В Openbox они монтируются по клику на значке утилиты udiskie в нижней панели справа. Операционка находится на раннем этапе развития, поэтому недоделок в ней хватает. Проблемы возникают уже с поиском драйверов для видеокарт, сетевых адаптеров и другого железа. Если тебе повезло с конфигом, то heads быстро запустится в Live-режиме и пустит трафик всех приложений через Tor.

Однако это не всегда нужно. Например, при использовании HexChat нельзя подключиться ко многим популярным каналам. Они видят попытку залогиниться через выходные узлы Tor и автоматически кикают тебя.


Локи не рад Тору
В heads есть очень краткий список ресурсов в Tor, но их легко найти самостоятельно.


Некоторые адреса в TorTails
Для просмотра ссылки Войди или Зарегистрируйся (The Amnesiac Incognito Live System), пожалуй, самая известная операционка для анонимного веб-серфинга и обхода интернет-цензуры. Мы не раз писали о ней, поэтому не будем сейчас уделять ей много внимания.

Технически Tails — это ирландский форк Debian (на основе стабильной ветки) с GNOME в качестве графической среды. Tails поддерживает русский язык, умеет настраивать разные способы подключения к Tor и подменять MAC-адрес сразу при старте.


Параметры запуска Tails
Автоматическая настройка Tor занимает несколько минут, но зато легко контролируется через Onion Circuits.


Наглядная луковичная маршрутизация
Обновления Tails выходят регулярно, и в основном это патчи безопасности. В каждой версии обнаруживается Для просмотра ссылки Войди или Зарегистрируйся, и быстро выпускают новую — все в традициях циклической разработки.

Примечательно, что Tails детектит запуск в виртуалке и предупреждает, что в таком случае не гарантирует анонимность, поскольку не может ручаться за безопасность основной ОС.

Набор предустановленных программ в Tails средний по размеру (когда-то он был совсем минималистичным), но ты всегда можешь доустановить любой софт из репозиториев Debian. Но это займет много времени (из-за его загрузки через Tor), а после завершения сеанса все изменения пропадут (если, конечно, ты не создашь зашифрованный раздел на флешке с помощью встроенной утилиты).

Все данные хранятся в оперативке и не сохраняются на диске, чтобы не оставлять следов (опять же если ты не используешь зашифрованный раздел). При выключении Tails забьет ОЗУ случайными данными, чтобы не допустить их считывания при атаке методом холодной перезагрузки. Защита от внезапного выдергивания флешки, рандомизация MAC-адреса сетевухи (работает и для внешних сетевых карт) также присутствуют. Весь трафик, в том числе DNS-запросы, идет исключительно через Tor.

Для совместной анонимной работы в режиме реального времени в Tails интегрирована утилита Gobby. Она поддерживает Unicode, подсветку синтаксиса популярных языков программирования и выделение цветом фрагментов текста, добавленных разными пользователями. Ее версии также доступны для Windows и macOS.


Совместная анонимная работа в Tails
Несмотря на солидный возраст (проекту уже почти девять лет), Tails до сих пор подвержена странным глюкам. Например, при чтении новостей через Liferea временами с экрана пропадает ее поисковая выдача или вовсе завершаются все приложения. Происходит это не постоянно, и отловить взаимосвязь с какими-то определенными действиями нам пока не удалось.


Новости без цензурыWhonix
Пожалуй, это наименее тривиальная операционка в сегодняшнем обзоре. Она поставляется в виде готовых виртуальных машин (.ova) и состоит из двух взаимосвязанных частей.

Серверная часть называется Для просмотра ссылки Войди или Зарегистрируйся, а клиентская — Для просмотра ссылки Войди или Зарегистрируйся. Последний стабильный релиз был выпущен 31 мая 2016 года. По умолчанию в Whonix задано имя пользователя user и пароль changeme.

Для использования Whonix нужно скачать обе виртуалки, импортировать их конфиги средствами VirtualBox и поочередно запустить, начиная с Gateway. Много ресурсов им не требуется. Оптимальные параметры уже заданы.


Импортируем виртуалки Whonix
Дальнейшая настройка выполняется при помощи мастера в несколько кликов. Колдовать в консоли не потребуется.


Настройка Whonix-Gateway
Серверная часть возьмет на себя маршрутизацию через Tor и VPN, обработку запросов DNS и фильтрацию сетевых пакетов.


Раздвоение виртуальной личности с Whonix
Такой подход позволяет скрыть все данные пользователя на одной виртуальной машине, в то время как атакам подвергается другая — Gateway. Заодно так решается известная проблема деанонимизации. Нет риска утечки реального айпишника из-за DNS leak и глюков маршрутизации.


Статус подключения к Tor
Даже если серверную часть Whonix взломают, атакующий не вычислит твой айпишник и не доберется до твоих документов и биткойнов, поскольку они хранятся в другой (клиентской) виртуалке.

Список предустановленных программ у Whonix довольно стандартен: браузер Tor, мессенджеры Tor Messenger, Tox и Ricochet, почтовые клиенты Mozilla Thunderbird и TorBirdy с поддержкой PGP, безопасная передача файлов через SCP (RCP через SSH) и системные утилиты. Полный список с разбивкой по категориям смотри Для просмотра ссылки Войди или Зарегистрируйся.

Как и у всякой виртуалки, надежность Whonix зависит от степени защищенности основной операционной системы. Ее можно запустить на компьютерах с Windows, macOS или Linux.


Варианты запуска Whonix
Одним из самых надежных вариантов считается запуск Whonix в Для просмотра ссылки Войди или Зарегистрируйся на доверенном железе с эталонной прошивкой. Это форк Fedora от Йоанны Рутковской, использующий гипервизор Xen. Данная операционка не относится к Live-дистрибутивам и потому не рассматривается в текущем обзоре.

Выводы
Среди дистрибутивов для анонимного веб-серфинга и обхода интернет-цензуры есть как очень разрекламированные (Tails, Subgraph OS), но не слишком удобные, так и менее известные, но более функциональные (MOFO, Kodachi). Именно на последние я советую обратить внимание при выборе Live OS.

В данный обзор не попали дистрибутивы, разработка которых была приостановлена два года назад или более. Это Для просмотра ссылки Войди или Зарегистрируйся, Для просмотра ссылки Войди или Зарегистрируйся, благословленный АНБ Для просмотра ссылки Войди или Зарегистрируйся, Для просмотра ссылки Войди или Зарегистрируйся, Для просмотра ссылки Войди или Зарегистрируйся и многие другие. Это не значит, что они плохие, просто сейчас появились более актуальные, а свой форк анонимного линукса не делал только ленивый.