После около года разработки доступен (https://help.github.com/en/articles/about-two-factor-authent...) релиз дистрибутива Whonix 15 (https://www.whonix.org/), нацеленного на предоставление гарантированной анонимности, безопасности и защиты частной информации. Загрузочные образы Whonix сформированы (https://www.whonix.org/wiki/Download) для VirtualBox (https://www.whonix.org/wiki/VirtualBox), KVM (https://www.whonix.org/wiki/KVM) и для использования в операционной системе Qubes (https://www.whonix.org/wiki/Qubes). Образ (https://www.whonix.org/download/) гостевой системы CLI занимает 1.1 GB, а c рабочим столом Xfce - 1.3 GB. Наработки проекта распространяются (https://github.com/adrelanos/Whonix) под лицензией GPLv3.
Дистрибутив основан на Debian GNU/Linux и использует Tor для обеспечения анонимности. Особенностью Whonix является разделение дистрибутива на два отдельно устанавливаемых компонента - Whonix-Gateway с реализацией сетевого шлюза для анонимных коммуникаций и Whonix-Workstation с рабочим столом. Выход в сеть из окружения Whonix-Workstation производится только через шлюз Whonix-Gateway, что изолирует рабочее окружение от прямого взаимодействия с внешним миром и допускает использование только фиктивных сетевых адресов. Подобный подход позволяет защитить пользователя от утечки реального IP-адреса в случае взлома web-браузера и даже при эксплуатации уязвимости, дающей атакующему root-доступ к системе.Взлом Whonix-Workstation позволят атакующему получить только фиктивные сетевые параметры, так как реальный IP и параметры DNS скрыты за границей сетевого шлюза, который направляет трафик только через Tor. При этом следует учитывать, что компоненты Whonix рассчитаны на запуск в форме гостевых систем, т.е. не исключена возможность эксплуатации критических 0-day уязвимостей в платформах виртуализации, которые могут предоставить доступ к хост-системе. В связи с этим, не рекомендуется запускать Whonix-Workstation на том же компьютере, что и Whonix-Gateway.
В Whonix-Workstation по умолчанию предоставляется пользовательское окружение Xfce. В поставку включены такие программы (https://www.whonix.org/wiki/Software), как VLC, Tor Browser (Firefox), Thunderbird+TorBirdy, Pidgin и т.д. В поставке Whonix-Gateway можно найти набор серверных приложений, в том числе Apache httpd, ngnix и IRC-серверы, которые могут использоваться для организации работы скрытых сервисов Tor. Возможен проброс поверх Tor туннелей для Freenet, i2p, JonDonym, SSH и VPN. Сравнение Whonix с Tails, Tor Browser, Qubes OS TorVM и corridor можно найти на данной странице (https://www.whonix.org/wiki/Comparison_with_Others). При желании, пользователь может обойтись только Whonix-Gateway и подключить через него свои обычные системы, в том числе Windows, что даёт возможность обеспечить анонимный выход для уже находящихся в обиходе рабочих станций.
Основные новшества (https://www.whonix.org/wiki/Whonix_Release_Notes#Whonix_.E2....):
- Пакетная база дистрибутива обновлена до Debian 10 (buster);
- Вместо KDE по умолчанию задействован рабочий стол Xfce;
- Активированы настройки ядра Linux для усиления защищённости:
- "kernel.kptr_restrict=1" (символы ядра /proc/kallsyms отдаются только root),
- "kernel.dmesg_restrict=1" (ограничивает доступ к логам ядра),
- "kernel.unprivileged_bpf_disabled=1" (запрещает непривилегированный доступ к BPF),
- "net.core.bpf_jit_harden=2" (усиливает защиту JIT-компилятора),
- "vm.mmap_rnd_bits=32" и "vm.mmap_rnd_compat_bits=16" (улучшает рандомизацию адресов для mmap),
- Включен загрузочный параметр "slab_nomerge" (отключает слияние slabs одинакового размера).
- Раздел /proc примонтирован с опцией "hidepid=2" в /etc/fstab (скрытие информации о процессах других пользователей);
- В чёрный список блокировки загрузки модулей ядра добавлены обработчики редкоиспользуемых сетевых протоколов DCCP, SCTP, RDS и TIPC, в которых ранее находили опасные уязвимости;
- В systemd по умолчанию включены настройки sandbox-изоляции unit-ов (PrivateTmp=true и PrivateHome=true);- Улучшен сбор энтропии для генератора псевдослучайных чисел (установлен пакет jitterentropy-rngd);
- Добавлена защита от атак Spectre, Meltdown и L1 Terminal Fault;
- В состав включена утилита kloak для блокирования идентификации пользователя по характеру ввода с клавиатуры;
- Реализована поддержка работы в Live-режиме (https://www.whonix.org/wiki/Whonix_Live) с размещением данных в оперативной памяти, а не на диске. Доступно два режима загрузки grub-live и ro-mode-init (автоматически включает Live-режим, если накопитель доступен только для чтения);- Сокращён размер образов для систем виртуализации (проведена оптимизация при помощи zerofree). Образ Whonix-Gateway уменьшен 1.7 до 1.1 GB, а Whonix-Workstation c 2 до 1.3 GB.
- Для пользователей VirtualBox подготовлена CLI-сборка (https://www.whonix.org/wiki/VirtualBox/CLI) без графического интерфейса. Компоненты Whonix-Gateway и Whonix-Workstation унифицированы в форме единого ova-образа;
- Упрощена установка компонентов для ОС Qubes;
- В Whonix KVM добавлена поддержка консоли через последовательный порт;
- Добавлен порт для ARM64 и Raspberry Pi;
- В основной состав включены приложения zulucrypt, qtox, onionshare, keepassxc и firejail. Добавлены прослойки для scurlget, curlget, pwchange, upgrade-nonroot, apt-get-noninteractive и apt-get-update-plus. Удалены mixmaster и ricochet;
- Добавлена поддержка P2P-сети Bisq (https://www.whonix.org/wiki/Bisq).
URL: https://forums.whonix.org/t/whonix-15-has-been-released/7616
Новость: https://www.opennet.me/opennews/art.shtml?num=51009
> редкоиспользуемых
> SCTPO, Rlly?
Вот и я об этом подумал.fixed: O, Really?
>O`Reillydouble fixed
> Вместо KDE по умолчанию задействован рабочий стол Xfce;Печалька и боль! *удалил нaxep со всех своих виртуалок*
держи нас в курсе
Так дистр позиционируется в разделе безопасность!А KDE со своим QML с JIT это другой раздел, несовместимы с безопасностью...
Крыса вместо Кед по умлочаннию это регресс, но это можно изменить.В остальном это основная рабочая система. Почёт и уважение челокеку, которые в одно жало тянет этот (один из лучших) проект.
Для использования в Qubes XFCE даже лучше.
Ну хотя бы уж LXQt.
Для VirtualBox Xfce тоже лучше.
> Крыса вместо Кед по умлочаннию это регресс, но это можно изменить.Регрессии в безопасности это использования QML с JIT в кедых.
Хорошая штука. Но нужно быть слишком наивным, чтобы полагать, что она спасёт в случае серьёзной охоты. (А неуловимые Джо могут и без неё обойтись).
> в случае серьёзной охотыС ружьями и собаками?
С медовой ловушкой и девочками.
"Серьёзная охота" это крайность. Между ней и "неуловимым Джо" целая пропасть возможных вариантов, для части которых этот Whonix вполне подходит.
Например?
Например, самообман.
Мамкины хацкеры, не забудьте задонатить проект. Взрослые дядьки ради вас стараются.
Угу, и Усама Бин Ладен пользуется...
Еще Бин Ладен пользуется туалетной бумагой и режет ножом колбасу.
Все это нужно срочно запретить.
В whonix-gateway утилита arm теперь называется nyx
Не только в нём. Torproject её в своих репах переименовал ещё полтора года назад. https://blog.torproject.org/meet-nyx-command-line-tor-relay-...
>Добавлен порт для ARM64 и Raspberry Pi;О, да, Raspberry Pi с VideoCore-блобом - комп для обеспечения анонимных коммуникаций.
Не понял, как реализовано скрытие реального айпи рабочей станции "even malware with root privileges"?
Клиентская ОС выходит в интернет только через другую ОС (whonix-gateway).
На whonix-gateway запущен Tor и весь трафик от клиентов перенаправляется в него.Таким образом, даже если клиентскую ОС поломают (например через браузер, а далее получат root через локальную уязвимость), то единственное что они смогут делать, это общаться по сети с whonix-gateway.
Весь трафик адресованный в whonix-gateway будет заворачиваться в Тор, таким образом реальный IP не будет раскрыт.Конечно такая схема не идеальна:
1) Теоретический можно взломать whonix-gateway через клиентскую ОС (если она уже взломана), но тут гораздо меньше векторов атаки
2) Тайминг-атаки (ну это проблемы тора вообще)
Не, никаких тор, интернет только по паспортам!!!
В беларусии вроде ужо так давно, каменты под рил нейм.
В России вещь крайне необходимая.
Угу, инсталлируй выходной узел, и посмотрим как тебя посодють.
А зачем "инсталлировать выходной узел"? Для использования тора не обязательно включать exit node. Более того, такое поведение отключено по-умолчанию.
Я к тому что парня показательно чуть не посадили.
Ладно, извиняюсь перед дистрибутивов, я не хотел антирекламы. Пилите ребята. Просто мир сложнее.
Мальчик, изучи матчасть!
Ну так зачем держать его дома? Анонимно оплачивать и обслуживать VPS не есть большая проблема.
А эти параметры для ядра можно прописать в обычном Debian?
Параноикам как я все можно:)
Шютка.
> А эти параметры для ядра можно прописать в обычном Debian?А какие могут быть проблемы с этим? Берёшь ядро и пересобираешь, как тебе хочется.
Эт, ребят, whonix не обеспечивает полной анонимности. Скачиваем и пользуем майорОС: новая ОС ориентированная на безопасность, анонимность, уважения прав верующих и народность. Безопасность достигается за счёт авторизации по гражданским паспортам и пропусканием всего траффика через серверы ФСБ и замены сертификатов на народные. Для анонимности используются отечественные технологи записи видео и аудио с вебкамеры и микрофона, а так же сбор данных с устройств ввода эвм
Сравнил... МайорОС написана не теми майорами :) Надо чтобы когда тебя посодют - это была страна сбычи мечт. Там когда на допросах бьют, звучит "Everybody wats Kung-fu fighting, Hu! Ha!", а у этих майоров до сих пор "Владимирский Централ". Неприятно.
Анонимные анонимы подскажите анонимно сферу применения этого чуда науки и техники. Без криминала. И заведомо мутных движений?
Если у тебя только одно на уме, то видимо это судьба.
так поделись что у тебя на уме?
У меня на уме то что в твои штаны майор залез.
Аниме смотреть
То то и оно)
- Согласование побегов женщин (добровольных!) из Ирана/Саудовской Аравии/ОАЭ в условиях чуть ли не маячков на руках у Саудитов, целые организации правозащитников этим занимаются в Европе.
- Согласование протестных акций, особенно в странах где они формально полностью легальны - из последнего Гонконг и Грузия. Никакого криминала, это законно, несмотря на как раз-таки незаконные обрывания связи и мониторинг сети.
- Согласование финансов, финансирование бизнеса/инвестиции в санкционные страны (Крым/Иран/etc) бизнесами из США и Европы (вполне актуально), абстрагирование бизнес-интересов от политики.
Неоправдано забыто такое применение, как торговля оружием и наркотой госструктурами разных стран + шпионская деятельность
Так попросили без криминала и мутных движений)Стреляет не оружие, стреляет человек. Технология не ставится негативной, если вы видите лишь ее негативные применения.
> В Whonix-Workstation по умолчанию предоставляется пользовательское окружение Xfce.Опаньки! Я видно, что-то пропустил - а давно ли автор добавил XFCE в Whonix?
Из-за монстроидального KDE я неохотно использовал Whonix, а теперь, c XFCE стало намного интереснее!> В связи с этим, не рекомендуется запускать Whonix-Workstation на том же компьютере, что и Whonix-Gateway.
А это совсем непонятно... Раньше таких официальных рекомендаций не было, да и сейчас нет - чья это отсебятина?
Где же тогда запускать Whonix-Workstation - еще на одном компе, где запущен еще один VirtualBox или KVM, а уже в нем Whonix-Workstation ?
Жирновато будет, однако :(
Блин, как срач устроить в опеннете - так пожалуйста, как ответить на грамотный вопрос - так языки в одно место!
Такая рекомендация была всегда. В манах как раньше так и сейчас
Ну и когда запилили XFCE вместо сраных кедов?
По новостям офсайта эту красную дату установить не удалось.
С 14.0.0.9.9
О, круто, сейчас скачаю пойду свергать режим Трампа.
Whonix-Gateway с графическим интерфейсом?