Найдется не один "туз в рукаве", чтобы посягнуть на дорогие вам биты и байты - от фото на документы до данных кредитных карточек.

Наиболее подвержены риску атаки компьютеры, подключенные к интернету, хотя машины без выхода во внешний мир уязвимы не меньше. Призадумайтесь: что может случиться с вашим старым ноутбуком или жестким диском , которые вы выбросили? Вооружившись современными инструментами восстановления данных (многие из которых доступны для бесплатного скачивания), хакер легко восстановит информацию с вашего диска, невзирая на ОС, в которой вы работали. Если жесткий диск содержит данные (неважно, поврежденные или нет), эти данные могут быть восстановлены, банковские счета воссозданы; записанные разговоры в чатах можно реконструировать, а изображения - реставрировать.

Но не пугайтесь. Не стоит бросать пользоваться компьютером . Хотя сделать машину, подключенную к Internet, неуязвимой для атак, практически невозможно, вы можете серьезно осложнить задачу атакующему и гарантировать, что он не извлечет ничего полезного из скомпрометированной системы. Особенно греет душу то, что с помощью Linux и некоторых программ на основе защитить вашу установленную копию Linux будет совсем не сложно.

"Золотого правила" безопасности, подходящего в каждом конкретном случае, не существует (а будь на свете такое правило, его уже давно взломали бы). Над безопасностью нужно работать индивидуально. Следуя приведенным в этой статье советам и пользуясь описанными здесь инструментами, вы научитесь адаптировать их под свой дистрибутив Linux .

Защитить ваш компьютер под управлением ОС Linux помогут следующие простые рекомендации.

Обновление операционной системы

Кроме обновлений, дистрибутивы обычно имеют список рассылки по вопросам безопасности - для рассылки анонсов обнаруженных уязвимостей, а также и пакетов для исправления этих уязвимостей. Как правило, хорошей идеей будет отслеживать список рассылки вашего дистрибутива, касающийся безопасности, а также регулярно выискивать обновления безопасности к наиболее критичным для вас пакетам. Между моментом объявления об обнаружении уязвимости и закачкой пакета обновления в репозиторий обычно имеется временной зазор; списки рассылки подскажут, как скачать и установить обновления вручную.

Блокировка неиспользуемых сервисов

Не обновляйтесь каждые полгода

У большинства настольных дистрибутивов Linux новые релизы выходят раз в полгода, но это совсем не значит, что вы обязаны устанавливать последний релиз только потому, что он уже вышел. Ubuntu отмечает некоторые релизы как LTS (Long Term Support) - релизы с долговременной поддержкой: для настольной системы - три года, а для серверной - пять лет. Это намного дольше, чем 18 месяцев стандартного релиза Ubuntu.

LTS-релизы хотя и не особенный авангард, но с позиций безопасности защищены куда лучше стандартных. Их пакеты гораздо стабильнее и тщательнее протестированы, по сравнению с пакетами более новых версий, не снабженных долгосрочной поддержкой. Если вашей целью является создание именно максимально защищенной системы, остановите свой выбор на одном из стабильных релизов с долгосрочной поддержкой, не поддаваясь искушению сразу же выполнить обновление при появлении новейшей версии.

Не самая передовая, но должным образом поддерживаемая система более стабильна и надежнее защищена, чем новейший релиз.

Александр БОБРОВ

Однако у большинства Linux-решений, ориентированных на обеспечение безопасности, есть одна особенность - они предназначены для специалистов, а не обычных пользователей. И только в последнее время ситуация начала меняться - стали появляться дистрибутивы, рассчитанные на минимизацию угроз и доступные широкому кругу потребителей.

Эксперт в области Linux-решений Брюс Байфилд предлагает пользователям, для которых требования обеспечения безопасности являются критическими, рассмотреть пять дистрибутивов, разработчики которых уделяют особое внимание этому вопросу. В настоящее время они находятся в стадии активного развития, поэтому рекомендовать их для повседневного применения ещё рано. Однако знакомство с решениями лучше начать заранее.

1 Qubes OS

В системе Qubes OS применяется один из самых надёжных методов минимизации ущерба от реализации угроз - изоляция приложений. Если один из пользовательских процессов окажется под контролем злоумышленника, то это не затронет остальные процессы.

Разработкой этого дистрибутива руководит Джоанна Рутковска - специалист по информационной безопасности. Широкую известность она получила, когда создала чрезвычайно трудный в обнаружении руткит Blue Pill, за что издание eWeek в 2006 г. включила её в пятёрку лучших хакеров мира.

Дистрибутив основан на гипервизоре Xen, который применяется для запуска виртуальных Linux-машин, внутри которых работает либо одно приложение, либо группа программ. Причём для стека TCP/IP, DHCP-клиента и прочих сетевых компонентов предназначена отдельная виртуальная машина.

Все приложения в Qubes OS запускаются внутри выделенных виртуальных машин - доменов приложений (другое название - домены безопасности). По умолчанию таковых три: рабочий, личный и ненадёжный. Если этого недостаточно, то пользователь может сформировать собственные. Для некоторых операций, таких как копирование файлов, формируется временный домен, который закрывается после завершения операции.

Каждому домену соответствует собственное визуальное оформление окна. Это нужно для того, чтобы пользователь всегда видел, в каком именно окружении он работает.

Обратная стороны такой эффективной концепции - очень высокие требования к ресурсам машины. Например, для более-менее нормальной работы компьютер должен быть оснащён как минимум 8 Гб оперативной памяти.

2 Subgraph OS

Весной этого года вышла первая альфа-версия этого дистрибутива. Создаётся он группой экспертов в области ИБ из Монреаля, поставивших перед собой цель разработать максимально комфортное для пользователя окружение, соответствующее самым высоким требованиям безопасности.

В частности, шифрование файловой системы производится ещё на стадии установки и является обязательным. Разметка диска начинается с перезаписи всех разделов. Браузер по умолчанию комплектуется анонимайзером Tor, а почтовый клиент Thunderbird - модулем Enigmail для шифрования всей корреспонденции.

Изоляция приложений реализована на базе контейнеров OZ. А при помощи прослойки Xpra приложения изолируются от X-сервера.

Применение контейнеров позволило снизить требования к аппаратным ресурсам компьютера. Для комфортной работы вполне достаточно 4 Гб оперативной памяти и 20 Гб дискового пространства.

3 Tails

Дистрибутив Tails (The Amnesic Incognito Live System) основан на системе Debian и представляет собой LiveUSB-решение, позволяющее пользователю работать, не оставляя никаких следов на компьютере. Именно его применяли Эдвард Сноуден и Гленн Гринвальд при подготовке разоблачительных материалов по деятельности АНБ.

Основное предназначение решения - обеспечение анонимной работы в сети. Для этого все подключения осуществляются через Tor или I2P.

Использование технологии LiveUSB делает Tails менее универсальным, чем аналоги. Поэтому если у пользователя нет каких-то специфических задач, то применение этого решения целесообразно исключительно в учебных целях. В системе собрано много инструментов обеспечения безопасности и пособий к ним.

4 Trusted End Node Security

Как и Tails, это решение запускается с внешнего накопителя. Поскольку на диск компьютера ничего не устанавливается, то пользователю не требуются даже пароли, а действие вредоносного кода продолжается ровно одну сессию. Собственно говоря, на официальном сайте проекта явно рекомендуется перезагружать систему перед какими-то важными операциями или посещением сомнительных с точки зрения безопасности сайтов.

5 Whonix

Система Whonix основана на Debian и представляет собой решение, состоящее из двух виртуальных машин, объединённых в единую сеть. Первая машина называется Whonix-Gateway и предназначена для организации шлюза. Вторая - Whonix-Workstation с пользовательским окружением KDE, причём в сеть она может выходить только через шлюз.

Если рабочая станция будет успешно атакована, то злоумышленник сможет получить только внутренние сетевые параметры, поскольку реальный IP скрыт шлюзом, направляющим весь трафик через Tor. Тем не менее система может быть скомпрометирована через уязвимости в самой платформе виртуализации, поэтому разработчики не рекомендуют запускать Whonix-Workstation и Whonix-Gateway на одном компьютере.

Решение достаточно сложно для неподготовленного пользователя. Впрочем, его можно использовать не только для практической работы, но и с учебными целями.

Вам стало необходимо воспользоваться безопасной операционной системой, которая анонимно разместит вас в интернете? Ну, например как было сказано в для совершения банковских операций на чужом компьютере или в том случае, когда вам нужно анонимн о прибывать в интернете , но вы не может тратить много времени и возиться со сборкой специального программного обеспечения, тогда вы должны использовать специализированные дистрибутивы GNU/Linux систем.
Windows системы мало, чем помогут вам в этом ответственном деле, а общие системы Linux такие как Ubuntu, Fedora, Mint или SUSE в данном случае не подойдут. Поэтому лучше всего использовать специально разработанные операционные системы для анонимного существования в интернете. Такой дистрибутив для анонимности вы всегда сможете носить в кармане на .

Ну а если вам нужно анонимно быть в интернете не выходя из Windows, то вы можете запустить специальный дистрибутив Linux в VirtualBox, описание которого вы найдете ниже.

Так как мы делаем акцент на анонимность и безопасность в интернете это означает, что все эти системы должны включать минимально возможный код, но при этом оставались как можно больше стабильными, другими словами я хочу сказать, что почти наверняка вы не получите то ваше привычное и любимое Linux desktop окружение. Нет, нет, не подумайте, что будет, что-то не рабочее, просто рабочий стол будет иметь не самую последнюю версию со всеми сопутствующими наворотами. Ну а пользователи Windows получат вполне понятный и адекватный рабочий стол, я бы сказал адекватней, чем рабочий стол в Windows 8, для того чтобы анонимно выполнить что либо в интернете

Теперь нужно выяснить, какая система для анонимного пребывания в интернете, будет требовать меньше усилий по адаптации к рабочему столу

Давайте тогда, оценим, как выглядит каждый из этих специальных для анонимности ОС Linux.

Наверняка многие помнят Эдварда Сноудена, того самого программиста, который передал секретную информацию АНБ крупным американским изданиям. Как выяснилось позже, он использовал TAILS – дистрибутив Linux, основанный на Debian.

Tails является детищем проекта Incognito LiveCD. В 2010 году разработка этой ОС была прекращена и представлен более усовершенствованный вариант — The Amnesic Incognito Live System. Такая аббревиатура выбрана неслучайно – слово «амнезия» означает, что после каждой перезагрузки системы все действия пользователя стираются, то есть, отследить, чем занимался пользователь, невозможно.

ISO-образ дистрибутива можно записать на диск, флешку или SD-карту, затем загрузить на компьютер. ОС по умолчанию не монтирует жесткий диск ПК, вся информация хранится в оперативной памяти.

Как обеспечивается защита пользователя

Localhost

Данные о действии пользователя записываются только в оперативной памяти. Для шифрования флешек и внешних носителей используется LUKS – стандарт защиты, разработанный под Linux.

В случае, если необходимо удалить информацию, которая хранится на жестком диске или любом другом носителе, можно использовать специальную утилиту – Nautilus Wipe. Она стирает файлы без права их восстановления.

Интернет

Для защиты пользователя во всемирной паутине используется утилита Tor. В случае если какое-то приложение попытается обратиться в сеть напрямую, оно будет сразу же заблокировано. Частично функции Tor выполняет i2p – анонимное соединение, работающие поверх сети интернет. Все данные, передающиеся по сети, зашифрованы.

В системе используется Tor Browser. В нем по умолчанию установлены FoxyProxy, Adblock Plus, HTTPS-Everywhere, NoScript и т.д. HTTPS-Everywhere – утилита, которая автоматически переводит веб-сайты на протокол HTTPS вместо HTTP. В этом режиме шифруются данные, которые передаются от пользователей к сайтам. NoScript – расширение Firefox, которое блокирует опасные компоненты HTML-страниц, такие как Java, Flash.

Для работы с электронной почтой используется Сlaws Mail со стандартом шифрования OpenPGP, который кодирует электронные письма при помощи ключа, без которого их нельзя прочитать. Для хранения паролей в системе имеется утилита KeePassX. Модульный клиент Pidgin применяется для мгновенного обмена сообщениями, по типу ICQ, а электронная клавиатура – для защиты от кейлоггеров.

Вместо вывода

Tails – лучшее решение для тех, кто хочет обеспечить себе конфиденциальность на всех уровнях. Основным преимуществом этого дистрибутива является то, что пользователю не приходится выбирать между удобством и безопасностью. С Tails можно работать в любом формате: установить в качестве основной ОС, запускать с виртуальной машины либо флешки. При этом, система полностью имитирует дизайн интерфейса ОС Windows.

Безопасности в Linux-системах у нас посвящен целый курс « »!

Возможно, ты уже пользовался дистрибутивом Tails или даже запускаешь его ежедневно. Но это не единственная операционка, способная скрыть твое присутствие в сети и помогающая обойти региональные блокировки. В этой статье мы изучим пять конкурентов Tails, каждый - со своими интересными особенностями.

WARNING

Длительная и полная анонимность практически недостижима на практике. Более того, настойчивые попытки ее добиться гарантированно привлекут к тебе внимание. Подробнее см. проект XKeyscore. О нем и его наследии в NSA и GCHQ можно почитать на onion-ресурсах.

Составляющие приватности

Опытный хакер-линуксоид самостоятельно сделает операционку под свои нужды, нафарширует ее любимыми инструментами и зашифрует каждый бит. Однако это займет уйму времени, а потому данный способ подходит лишь самым красноглазым. Для всех остальных есть готовые варианты, в которых уже продуманы тысячи мелочей, собраны и настроены проверенные средства защиты приватности.

При внешнем разнообразии эти дистрибутивы имеют много общих черт, поскольку сохранение тайны личной жизни построено на одинаковых подходах. Обеспечение приватности состоит из следующих этапов, которые решаются на локальном и сетевом уровне:

• гарантированное удаление следов работы и любых уникальных (а значит - потенциально компрометирующих) данных, использованных во время сеанса;
• шифрование тех данных, которые нужно сохранить (например, электронные кошельки, документы, аудиовидеозаписи, прочие личные файлы и конфиги);
• сокрытие самого факта хранения зашифрованных данных (методами стеганографии и их маскировкой среди более заметных криптоконтейнеров, заведомо не содержащих ценной информации);
• изоляция приложений и выделение некоторых сервисов в отдельные виртуальные машины (sandbox, Xen, VirtualBox и другие средства виртуализации) для снижения вероятности деанонимизации при заражении трояном;
• патчи ядра для усиленного контроля за взаимодействием процессов и сведения к минимуму риска деанонимизации через эксплоиты;
• средства экстренного завершения работы ОС с быстрым удалением наиболее компрометирующих данных на случай угрозы физического изъятия загрузочного накопителя;
• ранняя подмена MAC-адреса сетевых устройств (обычно она происходит еще на этапе загрузки);
• предотвращение раскрытия IP-адреса (контроль состояния VPN, anti DNS leak, фильтрация скриптов, использование цепочки прокси-серверов с высокой анонимностью, проксирование трафика всех приложений через Tor и т. п.);
• реализация анонимных каналов связи (чаты, почта, обмен файлами);
• обход региональных блокировок (автоматическая настройка использования публичных DNS-серверов, бесплатных VPN, быстрых прокси, Tor, I2P, Freenet).

Какой способ обхода блокировок ты считаешь самым эффективным?

Разумеется, каждый конкретный дистрибутив имеет свои ограничения и не предоставляет все перечисленные выше инструменты в одной сборке, но это и не требуется на практике. Многие пункты в данном списке дублируют функциональность друг друга либо вовсе взаимоисключающи.

INFO

Мы не будем рассуждать о человеческом факторе, который сводит на нет надежность любой системы. Ограничимся техническими аспектами и просто напомним, что не существует средств, полностью запрещающих людям совершать ошибки.

Kodachi

В прошлом выпуске мы разбирали дистрибутивы для форензики, а Kodachi позиционируется как anti-forensic-разработка, затрудняющая криминалистический анализ твоих накопителей и оперативной памяти. Технически это еще один форк Debian, ориентированный на приватность. В чем-то он даже более продуман, чем популярный Tails.

Последняя стабильная версия Kodachi 3.7 была написана в январе прошлого года. Операционка родом из Омана (где с интернет-цензурой знакомы не понаслышке), что добавляет ей колорита.

В качестве среды рабочего стола для Kodachi была выбрана Xfce, а общий интерфейс операционки стилизован под macOS. Статус подключения к Tor и VPN, а также большинство текущих параметров загрузки системы выводятся в режиме реального времени и отображаются прямо на рабочем столе.

Среди ключевых особенностей Kodachi - принудительное туннелирование трафика через Tor и VPN, причем бесплатный VPN уже настроен.

Плюс в Kodachi интегрирована поддержка DNScrypt - это протокол и одноименная утилита, шифрующая запросы к серверам OpenDNS методами эллиптической криптографии. Она устраняет целый ряд типичных проблем, вроде DNS leak и оставления следов работы в сети на серверах провайдера.

Другое отличие Kodachi - интегрированный Multi Tor для быстрой смены выходных узлов с выбором определенной страны и PeerGuardian для сокрытия своего IP-адреса в Р2Р-сетях (а также блокировки сетевых узлов из длинного черного списка).

Помимо PeerGuardian, в качестве брандмауэра используется Uncomplicated Firewall (uwf) с графической оболочкой guwf .

Приложения в Kodachi легко изолировать при помощи встроенной песочницы Firejail (о ней мы уже ). Особенно рекомендуется делать это для браузера, почты и мессенджера.

Операционка плотно нафарширована средствами криптографии (TrueCrypt, VeraCrypt, KeePass, GnuPG, Enigmail, Seahorse, GNU Privacy Guard Assistant) и заметания следов (BleachBit, Nepomuk Cleaner, Nautilus-wipe).

В Kodachi реализована защита от атаки методом холодной перезагрузки. Во время cold boot attack можно частично восстановить данные, недавно (секунды назад) хранившиеся в оперативной памяти. Чтобы этого избежать, Kodachi затирает оперативную память случайными данными при выключении компьютера.

Инструменты быстрого реагирования собраны в разделе Panic room . В нем есть программы затирания данных на диске и в оперативной памяти, перезапуска сетевых подключений, блокировки экрана (xtrlock) и даже команда полного уничтожения операционки.

Kodachi работает с USB-Flash как типичный Live-дистрибутив (чтобы не оставлять следов на локальном компьютере), но при желании ты можешь запустить ее в виртуалке (если доверяешь основной ОС). В любом случае по умолчанию ты логинишься как пользователь с именем kodachi и паролем r@@t00 . Чтобы использовать sudo, введи username root и такой же пароль r@@t00 .