Самые безопасные операционные системы для компьютера

Блог Агронавта

«Анонимные» ОС (операционные системы) Linux предназначены для осуществления высоко защищенных и безопасных манипуляций в цифровой жизни, например при осуществлении банковских переводов в онлайн банковских системах на чужих компьютерах. Как минимум, эти ОС системы предварительно настроены, чтобы иметь их на переносном устройстве для того, чтобы сделать быстрый и безопасный веб-серфинг, не сообщая всем открытым текстом, где или кто ты на самом деле.
Мы ставим «Анонимный» Linux в кавычки по двум причинам:

  1. Во-первых, успешно скрывать свою личность online включает в себя гораздо больше внимания и дисциплины, чем просто установка соответствующего программного обеспечения или использование безопасных ОС
  2. Во-вторых, и иногда, во-первых: Задумайтесь, на каких компьютерах вы работаете? Риск утечки паролей или еще хуже, возможно уже зараженные троянами и кейлоггерами чужие машины, которыми вы вынуждены пользоваться в данной ситуации для своей личной жизни, проверка почты или еще хуже проверки финансовых средств, могут выудить вашу личную информацию и в дальнейшем ею пользоваться. Я надеюсь, что эта статья поможет вам справиться с подобными ситуациями.

Ниже (в серии этих статей), вы найдете пять безопасных ОС разработаны для анонимности и общей защиты частной жизни в качестве основной цели.

Пять самых безопасных ОС:

Итак, ваш выбор для безопасной ОС, определенно должен быть сделан в сторону Linux, на это есть несколько причин:

  1. Во-первых: ОС Windows ни когда не разрабатывался для таких целей, она всегда была закрыта от внешних глаз (весь код Windows зашифрован, мы не можем знать, что там внутри). В теории Windows можно подготовить для безопасного использования, но этим еще никто не занимался, а если даже и вы займетесь, то потратите на это огромное количество времени. А Linux, в силу своей открытости позволяет делать с ним все, что заблагорассудится. Тем более такие люди уже нашлись и сделали специальные версии ОС Linux, которые абсолютно безопасные и делают из вас анонима, прямо «набор для шпиона».
  2. Во-вторых: Технология Live CD — Linux умеет очень быстро запускаться и развертываться без установки на жесткий диск. Такую безопасную ОС вы можете записать на оптический диск или usb-накопитель (флешку) и носить ее в кармане. «По мгновению ока» вы сможете получить операционную систему с готовым рабочим столом и сопутствующими приложениями для работы в интернете, в не зависимости от установленной основной операционной системе в компьютере, которым Вам придется пользоваться.

Что в коробке? Какие основные особенности каждого специального дистрибутива Linux для анонимного и безопасного пребывания в интернете? (2 часть)

О том как работают эти «анонимные» и безопасные ОС Linux

Как бы ни было важно, тщательный подбор и настройка приложений является не первоначальной задачей для Linux — разработчиков. Вначале очень важно определить и ограничить, насколько это возможно то, как система должна взаимодействовать с оборудованием, с помощью которого она будет работать с интернетом. Важным аспектом анонимности, безопасности и эффективной работе в Интернете этих ОС, является то, что они должны создавать с нуля каждый раз свое рабочее состояние, когда вы их используете, и уничтожать все свои следы жизнедеятельности, как только ваш сеанс будет окончен. Это гарантирует, что никакие файлы cookie или вредоносные программы, которые вы можете подцепить, не смогут наносить больше урона в следующий раз, когда вы выйдете в Интернет.


Все, кроме одного из дистрибутивов, рассмотренных здесь, используют это в качестве основного подхода: они доступны в виде бинарного образа, которые можно и нужно записывать непосредственно на CD диски или еще лучше на USB — накопители (флешки).


В этих безопасных ОС работает специальное сконфигурированное ядро Linux со всеми GP-патчами безопасности. Их функция заключается в том, чтобы дать каждому процессу пользователя только абсолютно низкие привилегии, которые будут работать должным образом.

Дистрибутив Libert? также как и Whonix доступен в качестве виртуализации (OVA файл вы можете скачать на веб-сайте разработчика) готовый к загрузке внутри VirtualBox-а.
I2P P2P анонимные сети такие же, как и Tor, обеспечивающие шифрование переписки.

IprediaOS построен на Fedora Foundation, чтобы использовать все возможности I2P.


Privatix и Tails построены на основе Debian. Они оба имеют, как и Libert?, утилиты для очистки оперативной памяти при каждом выключении и инструменты, которые облегчают подключение каталогов содержащих зашифрованные файлы на USB — накопителях.

Уникум безопасной ОС— Двойная виртуализация

Whonix один и в тоже время очень разный. Он состоит из пары дистрибутивов основанных на базе Debian созданных для виртуальных устройств, которые необходимо загрузить и запустить одновременно на двух виртуальных машинах. Первый шлюз — Whonix-Gateway: его задачей является фильтровать и маршрутизировать через сеть Tor (анонимизирующая сеть) весь интернет-трафик из другого шлюза, так называемого Whonix-Workstation рабочей станции.

Whonix-Workstation — это рабочий стол, который вы будете видеть и использовать: помимо того, что все ее приложения настроены на максимальную конфиденциальность, он построена таким образом, что может выходить в Интернет только через первый дистрибутив Whonix-Gateway.
Whonix запускает не пробиваемую защиту путем создания в VirtualBox несколько независимых рабочих станций, прикрепленный к одному шлюзу.

В результате получается вот такая двойная безопасная ОС состоящая из двух дистрибутивов Linux, в которых IP и DNS утечки невозможны. Вредоносные программы, запущенные на рабочей станции не могут выяснить реальное местоположение пользователя, потому что ни одна из частей этой системы не знает его настоящий IP-адрес.
Можно также запускать эти два компонента, которые образуют Whonix на разных компьютерах или использовать только первый шлюз Whonix-Gateway для изоляции, таким же образом подключить, как к нему подключена рабочая станция Whonix-Workstation, другие операционные системы.
Такая высокая безопасность достигается путем изоляции пользовательской станции от рабочей станции, что и предотвращает многие угрозы исходящих от вредоносного программного обеспечения, нежелательных приложений или ошибок пользователя. Whonix умеет делать все то- же самое, что и другие устанавливаемые или запускаемые в виде ISO — образов другие дистрибутивы. Whonix как описано выше имеет безопасную конфигурацию в лучшую сторону.
Недостатком является то, что Whonix не переносная (не портативная) операционная система, она не готова к запуску на других компьютерах с USB — брелков.

Самые безопасные Linux дистрибутивы

Приватность и безопасность всё больше интересуют пользователей интернета, не в последнюю очередь из-за усиленной слежки правительствами или массовым сбором данных корпорациями об этих пользователях, а также длинным списком уже известных публике взломов, при которых были похищены пользовательские данные. В то время, как в Windows и macOS есть некоторые средства защиты, и существуют такие опции, как VPN, или браузер Tor, существует множество дистрибутивов Linux с упором именно на безопасность и защиту от слежки.

Конечно, если вы знаете Linux на достаточном уровне, то вы можете так же настроить свой любимый дистрибутив, как представленные здесь, но в противном случае лучше выбрать что-то готовое. Самые безопасные дистрибутивы Linux защищают вас от кибер-угроз, от вредоносных программ и попыток вторжения хакеров.

1. Qubes OS

Рабочий стол по умолчанию — XFCE | qubes-os.org

Один из самых безопасных дистрибутивов точно не подходит новичкам. При установке ваш диск будет зашифрован. Qubes OS использует гипервизор Xen для запуска множества виртуальных машин, разделяя ваше взаимодействие с компьютером на «личное», «работу», «интернет» и так далее во имя безопасности.

Это означает, что если вы случайно скачаете вредоносную программу на вашу рабочую машину, например, то ваши личные файлы не будут скомпрометированы. Главный рабочий стол использует разноцветные окна для отображения разных виртуальных машин, чтобы вам было удобнее различать их.

  • Рискованные приложения заключены в разные виртуальные машины.
  • Также использует песочницы для защиты системных компонентов.
  • Может быть сложна в первоначальной настройке управлении.

2. Tails

Так выглядит Tails после загрузки | distrowatch.com

Tails (The Amnesiac Incognito Live System) — возможно, самая известная система, ориентированная на приватность. Её можно запустить с флешки в Live-режиме, в котором она полностью загружается в оперативную память и не оставляет следов своей активности. ОС может также использоваться в постоянном режиме, где ваши настройки и файлы могут быть сохранены на зашифрованной USB-флешке.

Все соединения маршрутизируются через анонимную сеть Tor, которая скрывает ваше положение. Приложения в Tails также были тщательно подобраны для улучшения вашей приватности — например, менеджер паролей KeePassX или PaperKey, консольный инструмент для экспорта секретных ключей OpenPGP и печати их на бумаге. Эта самый безопасный дистрибутив Linux.

  • Все соединения маршрутизируются через есть Tor.
  • Можно работать в Live-режиме.
  • Ограниченный набор приложений по умолчанию.

3. SubgraphOS

Gnome в SGOS | subgraph.com

Основанная на Debian и сфокусированная на безопасности операционная система, нацеленная на более лёгкое отражения хакерских атак, даже на довольно слабых компьютерах. В SubgraphOS все опции приватности и безопасности настроены автоматически, избавляя пользователя от ручной настройки.

Ядро с набором патчей «hardened», брандмауэр приложений для блокирования доступа к сети для выбранных приложений и маршрутизация всего трафика через сеть Tor. Файловый менеджер предоставляет инструменты для удаления мета-данных из файлов и включает в себя интергированное приложение OnionShare для обмена файлами. Почтовый клиент IceDove настроен работать автоматически с Eningmail для шифрования писем.

  • Не требует настройки.
  • Система давно не обновлялась.
  • В данный момент вообще не доступна для загрузки.

4. Whonix

Загрузка Live-образа операционной системы — это неудобно, так как вам надо перезагрузить машину, а установка ОС на диск — это риск быть скомпрометировать свои данные. Whonix предлагает элегантный компромисс, будучи спроектированным, как виртуальная машина для бесплатной программы VirtualBox (поддерживаются и другие варианты виртуализации). Whonix разделён на две части. Первая — «шлюз» — переправляет весь трафик через сеть Tor для второй части — «рабочей станции».

Читайте также  Как настроить видеорегистратор на движение?

Это сильно уменьшает шанс утечки DNS, которая может быть использована для отслеживания сайтов, которые вы посещаете. Whonix совместим со всеми операционными системами, на которых можно запустить виртуальную машину, поддерживаемую Whonix. Виртуальные машины немного медленнее реальной системы, в некоторых моментах — незначительно, в некоторых есть значительное падение производительности, как в операциях ввода-вывода или обработке графики.

  • Соединения всё также маршрутизируются через сеть Tor.
  • Виртуальная машина добавляет дополнительный слой безопасности.
  • Скорость работы виртуальной машины не столь быстра, как у реальной.

5. Discreete Linux

Основанная на ОС Debian, специализирующаяся на защите данных от хакерских атак и троянов. Дружелюбна к пользователю и разработана для использования людьми без углублённых знаний о компьютерах, но с серьёзными требованиями к безопасности ОС.

Главная особенность Discreete — это изолированное, локальное рабочее окружение, которое не доступно для шпионского ПО, так что чувствительные данные могут быть обработаны, зашифрованы, сохранены и защищены от вредоносных программ и хакерских атак. В дистрибутиве полностью отключена сеть и отсутствует возможность установки на жёсткий диск.

  • Нет сети — нет проблем.
  • Нет сети.
  • Не обновляется с 2016 года, может не работать с новым железом.

6. IpderiaOS

IpderiaOS — ориентированная на приватность ОС на основе Fedora Linux, которая может работать в live-режиме или быть установлена на ваш диск. Также, как и Tails маршрутизирует все соединения через сеть Tor для анонимности, Ipderia шлёт весь трафик через сеть I2P. Это называется «Garlic Routing» — чесночная маршрутизация — это процесс, где I2P устанавливает однонаправленные зашифрованные туннели для защиты ваших данных.

В теории это намного безопаснее, чем «луковая маршрутизация» в Tor, которая отправляет данные через установленные «цепи», что подвергает эти данные опасности рассекречивания. Дистрибутив включает в себя анонимный почтовый клиент, torrent-клиент и доступ к eepsites (специальные домены с расширением .i2p).

В отличие от Tor, I2P не работает, как шлюз в обычный интернет, поэтому Ipderia не может безопасно соединяться с обычными веб-сайтами. Преимущество доступа к eepsites в том, что ваше соединение не возможно отследить. I2P разработана специально для «скрытых» сервисов и соединений.

  • Малый риск рассекретить ваш реальный IP онлайн.
  • Проект скорее мёртв, чем жив, не обновляется с 2013 года.
  • Нет лёгкого способа получить доступ к обычным веб-сайтам.

7. Heads OS

Рабочий стол Heads с AwesomeWM | distrowatch.com

Также, как и Tails, использует сеть Тor для анонимизации трафика, но основан на Devuan — буквально Debian без системы инициализации systemd. Из ядра удалена возможность использовать бинарные драйверы или закрытые прошивки для открытых драйверов.

  • Если вам нужен Tails без systemd.
  • С 2018 года не обновляется.

8. Linux Kodachi

Kodachi основан на Debian GNU/Linux и включает в себя современное окружение рабочего стола GNOME. Это безопасная, анонимная ОС, противодействующая форензике (поиску каких-либо криминальных улик на компьютере — метаданных, например), включает в себя многие программы и настройки, необходимые тому, кто озабочен своей приватностью и безопасностью. ОС также работает в Live-режиме, с работающими сервисами VPN, Tor и DNScrypt. В Live-режиме ОС не оставляет следов своей работы после выключения.

XFCE в Kodachi | Distrowatch.com

9. TENS

Рабочий стол TENS | distrowatch.com

Trusted End Node Security — ОС на LiveCD с целью позволить пользователям работать на компьютере без риска раскрыть свои логины/пароли и личные данные для вредоносного ПО, кейлоггеров и других болячек интернет-эры. В нём есть минимальный набор приложений и утилит, таких, как веб-браузер Firefox, или помощник по шифрованию/расшифрованию ваших персональных файлов. LiveCD создан департаментом обороны Соединённых Штатов Америки и является частью инициативы защиты программного обеспечения этой организации.

  • Разработан правительством США.
  • Удобное ПО для шифрования и передачи данных

10. JonDo

Незатейливый интерфейс JonDo | anonymous-proxy-servers.net

Ещё один LiveCD-дистрибутив, специализирующийся на анонимизации вашего пребывания в интернете. Как и Tails, JonDo использует сеть Tor. Всё ПО настроено для анонимности, включая JonDoBrowser (основанный на Tor Browser), JonDo Ip Changer для построения цепей прокси-серверов и чат-клиент pidgin. Некоторые особенности дистрибутива доступны только в платной версии, например дополнительная настройка цепей прокси, опций анонимизации.

  • Давно не обновлялся.
  • Платные дополнения.
  • JonDoFox немного более гибок, чем Tor Browser.

Заключение

Наша статься самые безопасные Linux дистрибутивы подошла к завершению. Когда дело доходит до безопасности и приватности, лучше перестраховаться сначала, чем жалеть об этом после. Каждый день появляются новые эксплоиты, способы взлома, вредоносное ПО.

Существует множество хакеров, желающих увести ваши личные данные — от посещаемых веб-сайтов до данных кредитных карт. А если вы журналист — то за вами ещё и может следить ваше любимое государство. Самый простой выбор здесь — это популярный Tails, но, возможно, что-то из предоставленного списка вам подойдёт больше.

10 лучших дистрибутивов для безопасности и конфиденциальности в 2020 году

Поскольку многие популярные операционные системы, которым мы доверяем нашу информацию, защищают нашу конфиденциальность, следя за нами.

Поэтому, если вас беспокоит ваша конфиденциальность или вы считаете, что ваша операционная система крадет ваши личные данные в Интернете без вашего разрешения, – тогда пришло время отбросить эти ОС.

  • Добавление сети TOR, брандмауэров, VPN..и т.д. помогает сделать анонимный трафик
  • Добавляет дополнительные уровни безопасности для обеспечения безопасных вычислений
  • Утечки DNS невозможны, и даже вредоносное ПО с привилегиями root не может найти реальный IP-адрес пользователя

Фактически операционные системы с открытым исходным кодом, я имею в виду дистрибутивы Linux становятся все более популярными среди пользователей по многим причинам.

Одной из особенностей дистрибутивов Linux является защита и конфиденциальность.

Почти все операционные системы Linux созданы, чтобы обслуживать пользователей, а не следить за личной жизнью пользователей.

Таким образом, если вы являетесь специалистом по технической технологии, вы можете начать защищать свою онлайн-конфиденциальность, просто установив любой простой дистрибутив Linux.

И если вы действительно серьезно относитесь к конфиденциальности в Интернете, тогда вы должны использовать одну из этих систем безопасности Linux, ориентированных на безопасность.

Поскольку эти операционные системы не подходят для замены настольных систем, большинству пользователей, вероятно, также потребуется использовать «обычную» операционную систему для повседневного использования, и в этом случае обязательно выполнять конфиденциальные задачи только в защищенной среде Linux.

  1. 1. Tails
  2. 2. Whonix
  3. 3. Linux Kodachi
  4. 4. TENS
  5. 5. IprediaOS
  6. 6. Subgraph OS
  7. 7. heads
  8. 8. Qubes OS
  9. 9. Alpine Linux
  10. 10. Discreete Linux

1. Tails

Amnesic Incognito Live System (Tails) – это ориентированный на безопасность дистрибутив Linux на базе Debian.

Основным мотивом этой ОС Linux является полная анонимность Интернета для пользователей.

Tails – это действующая в режиме реального времени операционная система Linux, которую можно запускать практически на любом компьютере с DVD, USB-накопителя или SD-карты и не оставлять следов на компьютере, который вы используете, если вы не зададите его явно.

Важной особенностью Tails является то, что все исходящие соединения вынуждены проходить через Tor, а не анонимные соединения блокируются.

Проект Tor обеспечил финансовую поддержку для его развития.

Продукт поставляется с несколькими интернет-приложениями, включая веб-браузер, IRC-клиент, почтовый клиент и мессенджер, все предварительно настроенные с учетом безопасности и со всеми анонимизированными трафиками.

2. Whonix

Whonix – это другой дистрибутив Linux, основанный на конфиденциальности и безопасности, основанный на Debian GNU / Linux, который работает в сети анонимности Tor.

Операционная система состоит из двух виртуальных машин: один исключительно управляет Tor и действует как шлюз, который называется Whonix-Gateway.

Другой, который называется Whonix-Workstation, находится в полностью изолированной сети.

Whonix помогает любому, кто делает чувствительную работу на своем рабочем компьютере или в Интернете.

Возможны только соединения через Tor.

С Whonix вы можете использовать приложения и запускать серверы анонимно через Интернет.

Утечки DNS невозможны, и даже вредоносные программы с привилегиями root не могут найти реальный IP-адрес пользователя.

В отличие от Tails, Whonix не является «амнезией»; как Gateway, так и рабочая станция сохраняют свое прошлое состояние при перезагрузках.

3. Linux Kodachi

Linux Kodachi основан на операционной системе Debian GNU / Linux и построен вокруг современной среды рабочего стола GNOME.

Он предоставит вам безопасную, анти-криминалистическую и анонимную операционную систему, учитывая все функции, которые должны быть у человека, который обеспокоен неприкосновенностью частной жизни.

Kodachi также является оперативной системой защиты частной жизни с установленным подключением VPN + Tor Connection + DNScrypt.

Вся ОС функцирует от вашей временной RAM памяти, поэтому, как только вы ее отключите, никаких следов не останется, все ваши действия будут уничтожены.

4. TENS

Trusted End Node Security (TENS) – это лайв CD на базе Linux, который позволяет пользователям работать на компьютере без риска подвергать свои учетные данные и личные данные вредоносным программам, регистраторам ключей и другим проблемам интернет-времени.

Он включает в себя минимальный набор приложений и утилит, таких как веб-браузер Firefox или мастер шифрования и дешифрования личных файлов.

Л айв CD – это продукт, выпущенный Министерством обороны Соединенных Штатов Америки и является частью Инициативы по защите программного обеспечения этой организации.

5. IprediaOS

IprediaOS – это быстрая, мощная и стабильная операционная система на базе Linux, которая обеспечивает анонимную среду.

Весь сетевой трафик автоматически и прозрачно зашифрован и анонимен через I2P.

I2P – это анонимная сеть, предлагающая простой уровень, который приложения, чувствительные к идентификации, могут использовать для надежной связи.

Все данные обернуты несколькими уровнями шифрования, а сеть распределена и динамична, без доверенных сторон.

Многие приложения доступны в IprediaOS, включая почту, peer-peer, bittorrent, IRC-чат и другие.

6. Subgraph OS

Subgraph OS – основанная на Debian операционная система Linux, ориентированная на безопасность, которая направлена на борьбу с хакерскими атаками, даже на довольно маломощных компьютерах и ноутбуках.

Читайте также  Как увеличить дальность Wifi роутера своими руками?

Subgraph OS поставляется со всеми параметрами конфиденциальности и безопасности, настроенными автоматически, что исключает настройку руководства пользователя.

Защищенный дистрибутив Linux предоставляет несколько функций безопасности, анонимного просмотра веб-страниц и упрощения.

Subgraph OS использует упрочненное ядро Linux, брандмауэр приложения, чтобы блокировать определенные исполняемые файлы от доступа к сети и заставляет весь интернет-трафик через сеть Tor.

Диспетчер файлов дистрибутива имеет инструменты для удаления метаданных из файлов и интегрируется с приложением для обмена файлами OnionShare.

Клиент электронной почты Icedove настроен на автоматическую работу с Enigmail для шифрования электронной почты.

7. heads

heads – это идеальный дистрибутив Linux, который контролирует анонимность в Интернете с использованием сети Tor.

Одна из его важных особенностей заключается в том, что он использует только бесплатное программное обеспечение – это означает, что вы можете в любой момент получить доступ к любому исходному коду, который включен.

В heads все ваши интернет-трафик отправляются по Tor по умолчанию, а также есть возможность отключить его, если хотите.

8. Qubes OS

Qubes OS – это ОС на основе Fedora операционная система Linux, ориентированная на безопасность.

В отличие от других безопасных дистрибутивов Linux, Qube OS реализует подход Security by Isolation, поэтому, когда какое-либо вредоносное ПО компрометирует один из компонентов системы, оно получит доступ только к данным внутри этой среды.

Qubes использует защиту гипервизора Xen, то же программное обеспечение, на которое ссылаются многие крупные хостинг-провайдеры, изолирует веб-сайты и службы друг от друга.

Чтобы улучшить вашу конфиденциальность и анонимность в Интернете, Qube использует Whonix и Tor для фильтрации всего сетевого трафика.

Qube OS – рекомендуемый ориентированный на безопасность Linux дистрибутив многих экспертов – Эдвард Сноуден, использовал его.

9. Alpine Linux

Alpine Linux базируется на musl и BusyBox, и это единственный независимый дистрибутив Linux с ограниченным доступом для общего назначения в списке.

Он был разработан с учетом безопасности; он имеет проактивные функции безопасности, такие как PaX и SSP, которые предотвращают использование дыр в безопасности у программного обеспечения.

Кроме того, это один из самых легких дистрибутивов Linux, который требует всего не более 8 МБ, а минимальная установка на диск требует хранения около 130 МБ.

10. Discreete Linux

Discreete Linux – операционная система на базе Debian, созданная с целью защиты данных и системы от атак с помощью троянских программ.

Это один из удобных для пользователя ориентированных на безопасность Linux-дистрибутивов, предназначенных для простоты использования людьми без глубоких компьютерных знаний, но с высокими требованиями к безопасности.

Главная особенность Discreete Linux заключается в том, что она обеспечивает изолированную локальную рабочую среду, недоступную для шпионских программ, так что конфиденциальные данные могут быть обработаны, зашифрованы и сохранены надежно и защищены от таких наблюдений и шпионских атак.

ОС максимальной секретности. Выбираем дистрибутив для обхода блокировок и защиты от слежки

Содержание статьи

  • Составляющие приватности
  • Kodachi
  • MOFO Linux
  • Subgraph OS
  • heads
  • Tails
  • Whonix
  • Выводы

WARNING

Длительная и полная анонимность практически недостижима на практике. Более того, настойчивые попытки ее добиться гарантированно привлекут к тебе внимание. Подробнее см. проект XKeyscore. О нем и его наследии в NSA и GCHQ можно почитать на onion-ресурсах.

Составляющие приватности

Опытный хакер-линуксоид самостоятельно сделает операционку под свои нужды, нафарширует ее любимыми инструментами и зашифрует каждый бит. Однако это займет уйму времени, а потому данный способ подходит лишь самым красноглазым. Для всех остальных есть готовые варианты, в которых уже продуманы тысячи мелочей, собраны и настроены проверенные средства защиты приватности.

При внешнем разнообразии эти дистрибутивы имеют много общих черт, поскольку сохранение тайны личной жизни построено на одинаковых подходах. Обеспечение приватности состоит из следующих этапов, которые решаются на локальном и сетевом уровне:

  • гарантированное удаление следов работы и любых уникальных (а значит — потенциально компрометирующих) данных, использованных во время сеанса;
  • шифрование тех данных, которые нужно сохранить (например, электронные кошельки, документы, аудиовидеозаписи, прочие личные файлы и конфиги);
  • сокрытие самого факта хранения зашифрованных данных (методами стеганографии и их маскировкой среди более заметных криптоконтейнеров, заведомо не содержащих ценной информации);
  • изоляция приложений и выделение некоторых сервисов в отдельные виртуальные машины (sandbox, Xen, VirtualBox и другие средства виртуализации) для снижения вероятности деанонимизации при заражении трояном;
  • патчи ядра для усиленного контроля за взаимодействием процессов и сведения к минимуму риска деанонимизации через эксплоиты;
  • средства экстренного завершения работы ОС с быстрым удалением наиболее компрометирующих данных на случай угрозы физического изъятия загрузочного накопителя;
  • ранняя подмена MAC-адреса сетевых устройств (обычно она происходит еще на этапе загрузки);
  • предотвращение раскрытия IP-адреса (контроль состояния VPN, anti DNS leak, фильтрация скриптов, использование цепочки прокси-серверов с высокой анонимностью, проксирование трафика всех приложений через Tor и т. п.);
  • реализация анонимных каналов связи (чаты, почта, обмен файлами);
  • обход региональных блокировок (автоматическая настройка использования публичных DNS-серверов, бесплатных VPN, быстрых прокси, Tor, I2P, Freenet).

Разумеется, каждый конкретный дистрибутив имеет свои ограничения и не предоставляет все перечисленные выше инструменты в одной сборке, но это и не требуется на практике. Многие пункты в данном списке дублируют функциональность друг друга либо вовсе взаимоисключающи.

Мы не будем рассуждать о человеческом факторе, который сводит на нет надежность любой системы. Ограничимся техническими аспектами и просто напомним, что не существует средств, полностью запрещающих людям совершать ошибки.

Kodachi

В прошлом выпуске мы разбирали дистрибутивы для форензики, а Kodachi позиционируется как anti-forensic-разработка, затрудняющая криминалистический анализ твоих накопителей и оперативной памяти. Технически это еще один форк Debian, ориентированный на приватность. В чем-то он даже более продуман, чем популярный Tails.

Последняя стабильная версия Kodachi 3.7 была написана в январе прошлого года. Операционка родом из Омана (где с интернет-цензурой знакомы не понаслышке), что добавляет ей колорита.

В качестве среды рабочего стола для Kodachi была выбрана Xfce, а общий интерфейс операционки стилизован под macOS. Статус подключения к Tor и VPN, а также большинство текущих параметров загрузки системы выводятся в режиме реального времени и отображаются прямо на рабочем столе.

Графический интерфейс Kodachi

Среди ключевых особенностей Kodachi — принудительное туннелирование трафика через Tor и VPN, причем бесплатный VPN уже настроен.

Запуск Kodachi VPN

Плюс в Kodachi интегрирована поддержка DNScrypt — это протокол и одноименная утилита, шифрующая запросы к серверам OpenDNS методами эллиптической криптографии. Она устраняет целый ряд типичных проблем, вроде DNS leak и оставления следов работы в сети на серверах провайдера.

Kodachi DNS tools

Другое отличие Kodachi — интегрированный Multi Tor для быстрой смены выходных узлов с выбором определенной страны и PeerGuardian для сокрытия своего IP-адреса в Р2Р-сетях (а также блокировки сетевых узлов из длинного черного списка).

PeerGuardian

Помимо PeerGuardian, в качестве брандмауэра используется Uncomplicated Firewall (uwf) с графической оболочкой guwf .

Приложения в Kodachi легко изолировать при помощи встроенной песочницы Firejail (о ней мы уже рассказывали). Особенно рекомендуется делать это для браузера, почты и мессенджера.

Firejail sandbox

Операционка плотно нафарширована средствами криптографии (TrueCrypt, VeraCrypt, KeePass, GnuPG, Enigmail, Seahorse, GNU Privacy Guard Assistant) и заметания следов (BleachBit, Nepomuk Cleaner, Nautilus-wipe).

Набор предустановленных утилит
Встроенные системные приложения

В Kodachi реализована защита от атаки методом холодной перезагрузки. Во время cold boot attack можно частично восстановить данные, недавно (секунды назад) хранившиеся в оперативной памяти. Чтобы этого избежать, Kodachi затирает оперативную память случайными данными при выключении компьютера.

Инструменты быстрого реагирования собраны в разделе Panic room . В нем есть программы затирания данных на диске и в оперативной памяти, перезапуска сетевых подключений, блокировки экрана (xtrlock) и даже команда полного уничтожения операционки.

Набор параноика

Kodachi работает с USB-Flash как типичный Live-дистрибутив (чтобы не оставлять следов на локальном компьютере), но при желании ты можешь запустить ее в виртуалке (если доверяешь основной ОС). В любом случае по умолчанию ты логинишься как пользователь с именем kodachi и паролем r@@t00 . Чтобы использовать sudo, введи username root и такой же пароль r@@t00 .

MOFO Linux

Это быстро развивающаяся и солидно нафаршированная ОС на базе Ubuntu. Прямо «из коробки» она предлагает SoftEther VPN и OpenVPN с автоматическим определением пятнадцати самых быстрых (не обязательно ближайших к тебе) бесплатных серверов. Указывается их пинг до тебя, до сайта google.com и пропускная способность канала.

Настройка OpenVPN

Помимо Tor и VPN, MOFO поддерживает I2P плюс Lantern и Psiphon, как шустрые прокси. Правда, сейчас Psiphon глючит, а у Lantern без ограничения скорости на бесплатном тарифе доступно только 500 Мбайт в месяц, но всегда можно купить платный аккаунт.

Lantern в MOFO

Прямо из графического меню в пару кликов устанавливается клиент Freenet — одноранговой анонимной сети с распределенным хранением зашифрованных данных. В ней есть свои сайты и форумы, которые практически невозможно цензурировать.

Freenet

В MOFO добавлена ссылка на установку пакета поддержки распределенной файловой системы IPFS (Interplanetary File System), созданной на основе технологий P2P. Благодаря IPFS можно расшаривать локальные файлы и создавать сайты, которые не исчезнут из-за блокировок (об IPFS мы тоже уже писали). MOFO также поддерживает сетевой протокол Cjdns. С его помощью можно создать виртуальную IPv6-сеть с шифрованием трафика.

Установка IPFS

Криптографическую защиту личных данных в MOFO обеспечивает eCryptfs — многоуровневая файловая система с шифрованием на лету. Она работает поверх существующей ФС (ext3, ext4 или XFS) и не требует создания специального раздела.

Включаем шифрование

Дополнительно в MOFO предустановлена утилита ZuluCrypt с поддержкой формата криптоконтейнеров TrueCrypt и VeraCrypt.

ZuluCrypt — варианты зашифрованных томов

На момент тестирования была доступна версия mofolinux-6.0 от 18 февраля 2018 года. По умолчанию пароль администратора не задан.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Читайте также  В каких случаях включается эвакуационное освещение?

Лучшие дистрибутивы Linux для приватности

Обновл. 15 Мар 2021 |

Конфиденциальность, безопасность и приватность становятся все большими вопросами для пользователей Интернета. Не в последнюю очередь это связано с усилением государственного мониторинга и корпоративным сбором пользовательских данных, а также с длинной чередой широко разрекламированных хакерских атак, в ходе которых эти пользовательские данные были украдены и использованы не по назначению.

В то время как на компьютерах с Windows и macOS проблемы безопасности и конфиденциальности частично решаются использованием Tor Browser или VPN (а в лучшем случае и того, и другого одновременно), в ряде дистрибутивов Linux существуют те, которые изначально разрабатывались с целью обеспечения максимальной конфиденциальности и безопасности пользователей.

В некоторых дистрибутивах Linux защита осуществляется использованием по умолчанию определенных инструментов, в то время как другие дистрибутивы позиционируются рабочими инструментами для специалистов по кибербезопасности для проведения пентестов (англ. «pentests» от «penetration tests»).

В этом руководстве мы рассмотрим самые популярные и надежные дистрибутивы Linux, которые используются для защиты конфиденциальности пользователей и обеспечении безопасности во время работы в Интернете.

  • Linux Kodachi
  • Qubes OS
  • Tails
  • Whonix
  • TENS (Trusted End Node Security)

Linux Kodachi

Лучший выбор для десктопа

Маршрутизация соединений через VPN и Tor

Большая коллекция различных программ и утилит

Подходит для повседневного использования

Linux Kodachi — это один из самых лучших и крутых security-дистрибутивов Linux. Он стремится предоставить пользователям доступ к широкому набору инструментов обеспечения анонимности и безопасности, оставаясь при этом интуитивно понятным. Для этого в дистрибутиве реализован механизм маршрутизации всех ваших подключений к Интернету через встроенный VPN, а затем в сеть Tor. При этом вы можете настроить страну, из которой ваш траффик будет попадать во всемирную паутину, а для продвинутых пользователей есть возможность подключить свой собственный VPN. Чтобы обеспечить защиту данных и сохранность вашей конфиденциальной информации, в состав дистрибутива добавлен целый набор хорошо известных криптографических инструментов шифрования автономных файлов, электронной почты и мгновенных сообщений: VeraCrypt, zuluCrypt, KeePassXC, а также Metadata Anonymisation Toolkit (MAT) для удаления метаданных из файлов.

Помимо этого, в Kodachi содержится много других полезных приложений, таких как: интернет-мессенджер Pidgin, торрент-клиент Transmission, система виртуализации VirtualBox, IDE Geany, ftp-клиент FileZilla и многие другие.

Для изоляции приложений дистрибутив применяет решение под названием AppArmor — модуль ядра Linux, позволяющий администратору ограничивать возможности программ, используя специальные профили, контролирующие доступ к ресурсам компьютера: доступ к сети, доступ к RAW-сокетам, разрешение на чтение, запись или выполнение файлов по соответствующим путям и пр.

Отдельно стоит отметить раздел Panic Room (Убежище) — различные инструменты конфиденциальности, включая, например, инструмент для очистки оперативной памяти или возможность создать пароль, который при вводе надежно сотрет всё содержимое вашего зашифрованного раздела с Kodachi.

Qubes OS


Security-дистрибутив, предлагающий инновационный пользовательский опыт

Безопасность через изоляцию

Радикально отличается от других дистрибутивов

Qubes OS — это операционная система на базе Fedora, которая изолирует основные элементы системы внутри различных виртуальных машин, называемых кубами (от англ. «qubes») или доменами, гарантируя тем самым, что вредоносное программное обеспечение не заразит другие части ОС. Каждый экземпляр приложения ограничен рамками своего собственного куба. Кубы имеют разные уровни безопасности, зависящие от целевой активности пользователя. Благодаря подобной схеме, вы, например, можете запускать Firefox для посещения ненадежных веб-сайтов в одном кубе, а другой экземпляр браузера, например, для совершения транзакций в интернете, — в другом кубе. Тем самым, вредоносный веб-сайт в ненадежном кубе, является изолированном от всех остальных, и не повлияет на вашу банковскую сессию в другом кубе.

В качестве рабочего окружения используется Xfce, но вместо списка приложений в его меню приложений перечислены несколько кубов, таких как work (работа), personal (личное), untrusted (ненадежный), каждый из которых включает в себя отдельные экземпляры приложений. Qubes OS отображает все кубы на одном экране, каждый куб идентифицируется цветом, связанным с уровнем его безопасности.

Стоит отметить, что сам Эдвард Сноуден упоминал Qubes OS в своем твиттере: «Если вы серьезно относитесь к безопасности, то @QubesOS — лучшая ОС для этой цели, доступная на сегодняшний день. Это то, что я использую, и при этом она абсолютно бесплатна. Никто не осуществляет изоляцию с помощью виртуальной машины лучше, чем она».

Примечание: Qubes OS лучше всего подходит для продвинутых пользователей. Так что если вы новичок, то вам будет немного трудно управлять данной системой.

Tails


Любимый инструмент проекта Tor

Анонимизация соединений при помощи Tor

Может использоваться с зашифрованного USB-носителя

Firefox дополнен плагинами конфиденциальности

Tails (сокр. от «The Amnesic Incognito Live System») — это live-дистрибутив Linux (ранее известный как Incognito) на базе Debian, который, вместе с ранее упомянутой Qubes OS, считается одним из самых продвинутых дистрибутивов в области обеспечения безопасности. Он может быть запущен с DVD-диска или USB-флешки в live-режиме, поэтому вам не нужно беспокоиться о том, что на компьютере есть вирусы, потому что Tails работает независимо от другой операционной системы и никогда не использует жесткий диск. Без Tails почти всё, что вы делаете, может оставить следы на компьютере:

сайты, которые вы посещали, даже в приватном режиме;

файлы, которые вы открывали, даже если вы их удалили;

пароли, даже если вы используете менеджер паролей;

все устройства и сети Wi-Fi, которые вы использовали.

Tails же никогда ничего не записывает на жесткий диск и работает только из памяти компьютера. Когда вы завершите работу с Tails и захотите выключить компьютер, то его память автоматически полностью очистится, стирая за собой все возможные оставленные вами следы.

Есть возможность сохранить некоторые из ваших файлов и конфигурации в зашифрованном постоянном хранилище на USB-накопителе: документы, закладки браузера, ваши электронные письма и даже некоторые дополнительные программы.

Все соединения маршрутизируются через анонимную сеть Tor, которая скрывает ваше местоположение. Приложения в Tails также были тщательно отобраны для повышения вашей конфиденциальности, например:

KeePassX — менеджер паролей;

Paperkey — утилита командной строки, используемая для экспорта и последующей печати на бумаге секретных ключей OpenPGP;

Claws Mail — почтовый клиент, шифрующий ваши письма;

LUKS — специальная программа для шифрования дисков;

GnuPG — утилита шифрования информации (файлов и текстов);

Aircrack-ng — программа для аудита беспроводных сетей и другие утилиты.

Существует также небольшое количество приложений для повседневной работы, такие как: почтовый клиент Mozilla Thunderbird, графический редактор GIMP, аудиоредактор Audacity и офисный пакет LibreOffice.

Whonix

Анонимизируйте всё, что вы делаете в Интернете

Соединения проходят через анонимную сеть Tor

Множество предустановленных приложений для обеспечения конфиденциальности

Производительность виртуальной машины не так высока, как локальной установки

Если вы хотите сохранить свой IP-адрес анонимным, то загрузка операционной системы в live-режиме — не самый удобный вариант её использования, так как вам нужно перезагрузить машину, а установка системы на жесткий диск означает риск её компрометации. Whonix — это еще один security-дистрибутив Linux, основанный на Debian, который предлагает элегантный компромисс, будучи разработанным для работы в качестве виртуальной машины внутри бесплатной программы VirtualBox.

Whonix разделен на две части:

Workstation — рабочая станция, на которой работает пользователь;

Gateway — промежуточное звено между Workstation и сетью Tor.

Это значительно снижает вероятность утечки данных, которые могут быть использованы для мониторинга посещаемых вами веб-сайтов.

Для обеспечения вашей конфиденциальности в поставку системы входят Tor Browser и приложение для обмена мгновенными шифрованными сообщениями Tox.

Поскольку Whonix работает на виртуальной машине, то он совместим со всеми операционными системами, которые способны запускать VirtualBox. Виртуальные машины могут использовать только часть ресурсов вашей реальной системы, поэтому Whonix не будет работать так же быстро, как ОС, установленная на локальный жесткий диск.

TENS (Trusted End Node Security)

Продукт, предназначенный для использования Министерством обороны США

Отсутствует менеджер пакетов

TENS (Trusted End Node Security) — это live-дистрибутив на базе Linux (ранее именуемый как «LPS» от «Lightweight Portable Security»), разработанный Научно-исследовательской лабораторией ВВС Министерства Обороны США, предназначенный для того, чтобы позволить пользователям работать на компьютере без риска подвергнуть свои учетные и личные данные воздействию вредоносных программ, кейлоггеров и других угроз.

Дистрибутив использует рабочее окружение Xfce, которое настроено таким образом, чтобы имитировать Windows ХР. Макет рабочего стола, размещение и название программы запуска приложений, а также оформление окон будут выглядеть аналогично Windows.

Одним из уникальных аспектов дистрибутива является приложение Мастера Шифрования (Encryption Wizard). Вы можете перетаскивать файлы внутрь него и указывать пароль для их блокировки. Вы также можете зашифровать файлы с помощью файла сертификата или сгенерировать безопасный пароль, чтобы получить более устойчивую к дешифровке парольную фразу. Он использует 128- и 256-битное AES-шифрование и поддерживает сжатие зашифрованных архивов.

TENS выпускается в двух редакциях:

Deluxe-издание включает в себя обычные настольные приложения для повседневного использования, такие как: LibreOffice, Totem Movie Player, Evince PDF reader, Firefox, Thunderbird и другие.

Регулярный выпуск включает в себя приложение шифрования и некоторый небольшой набор дополнительных программ.

В отличие от других дистрибутивов, TENS не поддерживает установку большего количества программного обеспечения и в нем отсутствует менеджер пакетов.