Почему Linux считают безопаснее других ОС. Действительно ли Linux — самые безопасные операционные системы

Найдется не один "туз в рукаве", чтобы посягнуть на дорогие вам биты и байты - от фото на документы до данных кредитных карточек.

Наиболее подвержены риску атаки компьютеры, подключенные к интернету, хотя машины без выхода во внешний мир уязвимы не меньше. Призадумайтесь: что может случиться с вашим старым ноутбуком или жестким диском , которые вы выбросили? Вооружившись современными инструментами восстановления данных (многие из которых доступны для бесплатного скачивания), хакер легко восстановит информацию с вашего диска, невзирая на ОС, в которой вы работали. Если жесткий диск содержит данные (неважно, поврежденные или нет), эти данные могут быть восстановлены, банковские счета воссозданы; записанные разговоры в чатах можно реконструировать, а изображения - реставрировать.

Но не пугайтесь. Не стоит бросать пользоваться компьютером . Хотя сделать машину, подключенную к Internet, неуязвимой для атак, практически невозможно, вы можете серьезно осложнить задачу атакующему и гарантировать, что он не извлечет ничего полезного из скомпрометированной системы. Особенно греет душу то, что с помощью Linux и некоторых программ на основе защитить вашу установленную копию Linux будет совсем не сложно.

"Золотого правила" безопасности, подходящего в каждом конкретном случае, не существует (а будь на свете такое правило, его уже давно взломали бы). Над безопасностью нужно работать индивидуально. Следуя приведенным в этой статье советам и пользуясь описанными здесь инструментами, вы научитесь адаптировать их под свой дистрибутив Linux .

Защитить ваш компьютер под управлением ОС Linux помогут следующие простые рекомендации.

Обновление операционной системы

Кроме обновлений, дистрибутивы обычно имеют список рассылки по вопросам безопасности - для рассылки анонсов обнаруженных уязвимостей, а также и пакетов для исправления этих уязвимостей. Как правило, хорошей идеей будет отслеживать список рассылки вашего дистрибутива, касающийся безопасности, а также регулярно выискивать обновления безопасности к наиболее критичным для вас пакетам. Между моментом объявления об обнаружении уязвимости и закачкой пакета обновления в репозиторий обычно имеется временной зазор; списки рассылки подскажут, как скачать и установить обновления вручную.

Блокировка неиспользуемых сервисов

Не обновляйтесь каждые полгода

У большинства настольных дистрибутивов Linux новые релизы выходят раз в полгода, но это совсем не значит, что вы обязаны устанавливать последний релиз только потому, что он уже вышел. Ubuntu отмечает некоторые релизы как LTS (Long Term Support) - релизы с долговременной поддержкой: для настольной системы - три года, а для серверной - пять лет. Это намного дольше, чем 18 месяцев стандартного релиза Ubuntu.

LTS-релизы хотя и не особенный авангард, но с позиций безопасности защищены куда лучше стандартных. Их пакеты гораздо стабильнее и тщательнее протестированы, по сравнению с пакетами более новых версий, не снабженных долгосрочной поддержкой. Если вашей целью является создание именно максимально защищенной системы, остановите свой выбор на одном из стабильных релизов с долгосрочной поддержкой, не поддаваясь искушению сразу же выполнить обновление при появлении новейшей версии.

Не самая передовая, но должным образом поддерживаемая система более стабильна и надежнее защищена, чем новейший релиз.

Александр БОБРОВ

Однако у большинства Linux-решений, ориентированных на обеспечение безопасности, есть одна особенность - они предназначены для специалистов, а не обычных пользователей. И только в последнее время ситуация начала меняться - стали появляться дистрибутивы, рассчитанные на минимизацию угроз и доступные широкому кругу потребителей.

Эксперт в области Linux-решений Брюс Байфилд предлагает пользователям, для которых требования обеспечения безопасности являются критическими, рассмотреть пять дистрибутивов, разработчики которых уделяют особое внимание этому вопросу. В настоящее время они находятся в стадии активного развития, поэтому рекомендовать их для повседневного применения ещё рано. Однако знакомство с решениями лучше начать заранее.

1 Qubes OS

В системе Qubes OS применяется один из самых надёжных методов минимизации ущерба от реализации угроз - изоляция приложений. Если один из пользовательских процессов окажется под контролем злоумышленника, то это не затронет остальные процессы.

Разработкой этого дистрибутива руководит Джоанна Рутковска - специалист по информационной безопасности. Широкую известность она получила, когда создала чрезвычайно трудный в обнаружении руткит Blue Pill, за что издание eWeek в 2006 г. включила её в пятёрку лучших хакеров мира.

Дистрибутив основан на гипервизоре Xen, который применяется для запуска виртуальных Linux-машин, внутри которых работает либо одно приложение, либо группа программ. Причём для стека TCP/IP, DHCP-клиента и прочих сетевых компонентов предназначена отдельная виртуальная машина.

Все приложения в Qubes OS запускаются внутри выделенных виртуальных машин - доменов приложений (другое название - домены безопасности). По умолчанию таковых три: рабочий, личный и ненадёжный. Если этого недостаточно, то пользователь может сформировать собственные. Для некоторых операций, таких как копирование файлов, формируется временный домен, который закрывается после завершения операции.

Каждому домену соответствует собственное визуальное оформление окна. Это нужно для того, чтобы пользователь всегда видел, в каком именно окружении он работает.

Обратная стороны такой эффективной концепции - очень высокие требования к ресурсам машины. Например, для более-менее нормальной работы компьютер должен быть оснащён как минимум 8 Гб оперативной памяти.

2 Subgraph OS

Весной этого года вышла первая альфа-версия этого дистрибутива. Создаётся он группой экспертов в области ИБ из Монреаля, поставивших перед собой цель разработать максимально комфортное для пользователя окружение, соответствующее самым высоким требованиям безопасности.

В частности, шифрование файловой системы производится ещё на стадии установки и является обязательным. Разметка диска начинается с перезаписи всех разделов. Браузер по умолчанию комплектуется анонимайзером Tor, а почтовый клиент Thunderbird - модулем Enigmail для шифрования всей корреспонденции.

Изоляция приложений реализована на базе контейнеров OZ. А при помощи прослойки Xpra приложения изолируются от X-сервера.

Применение контейнеров позволило снизить требования к аппаратным ресурсам компьютера. Для комфортной работы вполне достаточно 4 Гб оперативной памяти и 20 Гб дискового пространства.

3 Tails

Дистрибутив Tails (The Amnesic Incognito Live System) основан на системе Debian и представляет собой LiveUSB-решение, позволяющее пользователю работать, не оставляя никаких следов на компьютере. Именно его применяли Эдвард Сноуден и Гленн Гринвальд при подготовке разоблачительных материалов по деятельности АНБ.

Основное предназначение решения - обеспечение анонимной работы в сети. Для этого все подключения осуществляются через Tor или I2P.

Использование технологии LiveUSB делает Tails менее универсальным, чем аналоги. Поэтому если у пользователя нет каких-то специфических задач, то применение этого решения целесообразно исключительно в учебных целях. В системе собрано много инструментов обеспечения безопасности и пособий к ним.

4 Trusted End Node Security

Как и Tails, это решение запускается с внешнего накопителя. Поскольку на диск компьютера ничего не устанавливается, то пользователю не требуются даже пароли, а действие вредоносного кода продолжается ровно одну сессию. Собственно говоря, на официальном сайте проекта явно рекомендуется перезагружать систему перед какими-то важными операциями или посещением сомнительных с точки зрения безопасности сайтов.

5 Whonix

Система Whonix основана на Debian и представляет собой решение, состоящее из двух виртуальных машин, объединённых в единую сеть. Первая машина называется Whonix-Gateway и предназначена для организации шлюза. Вторая - Whonix-Workstation с пользовательским окружением KDE, причём в сеть она может выходить только через шлюз.

Если рабочая станция будет успешно атакована, то злоумышленник сможет получить только внутренние сетевые параметры, поскольку реальный IP скрыт шлюзом, направляющим весь трафик через Tor. Тем не менее система может быть скомпрометирована через уязвимости в самой платформе виртуализации, поэтому разработчики не рекомендуют запускать Whonix-Workstation и Whonix-Gateway на одном компьютере.

Решение достаточно сложно для неподготовленного пользователя. Впрочем, его можно использовать не только для практической работы, но и с учебными целями.

Дистрибутивы Linux могут быть разделены на различные категории, в зависимости от назначения и предполагаемой целевой группы. Серверы, обучение, игры и мультимедиа являются одними из популярных категорий дистрибутивов Linux.

Для пользователей, беспокоящихся о безопасности, существует несколько дистрибутивов, который предназначены для усиленной защиты приватности. Эти сборки гарантируют защиту от отслеживания вашей активности при серфинге в сети.

Тем не менее, в нашей подборке представлены не только дистрибутивы с акцентом на конфиденциальность, но и дистрибутивы для проведения тестирований вторжений. Эти сборки специально предназначены для анализа и оценки безопасности системы и сети и содержат широкий спектр специализированных инструментов для тестирования систем на потенциальные уязвимости.

Дистрибутив на базе Ubuntu, разработанный для тестирования вторжений. За счет использования XFCE в качестве стандартного оконного менеджера, работает очень быстро.

Репозитории программных решений постоянно обновляются, чтобы пользователь всегда имел дело с последними версиями встроенных инструментов, которые позволяют выполнять анализ веб-приложений, стресс-тесты, оценку потенциальных уязвимостей, привилегий и многое другое.

В отличие от других дистрибутивов, которые включают большой набор различных приложений, Backbox не содержит подобной избыточности. Здесь Вы найдете только лучшие инструменты для каждой отдельной задачи или цели. Все инструменты отсортированы по категориям, что упрощает их обнаружение.

На Википедии представлены краткие обзоры многих встроенных инструментов. Несмотря на то, что Backbox первоначально создавался исключительно для тестирования, дистрибутив также поддерживает сеть Tor, которая поможет скрыть ваше цифровое присутствие.

Kali

Вероятно, самый популярный дистрибутив для тестирования на проникновения, основанный на Debian Wheezy. разработан компанией Offensive Security Ltd и является продолжением более раннего проекта BackTrack Linux.

Kali доступ в виде 32-битных и 64-битных ISO-образов, которые можно записать на USB-носитель или CD диск, или даже установить на жесткий диск или твердотельный накопитель. Проект также поддерживает архитектуру ARM и может запускаться даже на одноплатном компьютере Raspberry Pi, а также включает огромное количество инструментов анализа и тестирования. Основным рабочим столом является Gnome, но Kali позволяет создать персонализированный ISO-образ с другой средой рабочего стола. Этот гибко настраиваемый дистрибутив позволяет пользователям даже изменять и пересобирать ядро Linux, чтобы соответствовать конкретным требованиям.

О популярности Kali можно судить по тому, что система является совместимой и поддерживаемой платформой для MetaSpoilt Framework - мощного инструмента, который позволяет разрабатывать и выполнять код эксплойта на удаленном компьютере.

Доступный для 32-битных и 64-битных машин, является дистрибутивом для тестирования вторжений, который основан на Gentoo Linux. Пользователи Gentoo могут дополнительно устанавливать Pentoo, который будет инсталлироваться поверх основной системы. Дистрибутив основан на XFCE и поддерживает сохранение изменений, поэтому при отключении USB-носителя, все примененные изменения будут сохранены для будущих сессий.

Встроенные инструменты делятся на 15 различных категорий, например, Exploit, Fingerprint, Cracker, Database, Scanner и т.д. Будучи основанным на Gentoo, дистрибутив унаследовал набор защитных функций Gentoo, которые позволяют выполнять дополнительные настройки безопасности и более детально управлять дистрибутивом. Вы можете использовать утилиту Application Finder для быстрого обнаружения приложений, расположенных в различных категориях.

Поскольку дистрибутив основан на Gentoo, потребуется выполнить некоторые манипуляции, чтобы заставить работать сетевую карту и другие аппаратные компоненты. При загрузке выберите опцию проверки и настройте все ваши устройства.

Основанный на Ubuntu, данный дистрибутив разработан для обнаружения вторжений и мониторинга сетевой безопасности. В отличие от других дистрибутивов для пентестинга, которые носят скорее наступательный характер, представляет собой более оборонительную систему.

Тем не менее, проект включает большое количество инструментов наступательного толка, которые встречаются в других дистрибутивах для тестирования на проникновение, а также инструменты мониторинга сети, например, сниффер пакетов Wireshark и утилита обнаружения вторжений Suricata.

Security Onion построен вокруг XFCE и включает все самые необходимые приложения, имеющиеся в Xubuntu. Security Onion не предназначен для любителей, а скорее подойдет опытным специалистам, которые имеют определенный уровень знаний в области мониторинга сети и предотвращения вторжений. К счастью проект постоянно сопровождается подробными руководствами и видеоуроками, чтобы помочь в работе с сложным встроенным ПО.

Caine

Учетная запись по умолчанию: root:blackarch. BlackArch имеет размер более 4 гигабайт и поставляется с несколькими различными оконными менеджерами, включая Fluxbox, Openbox, Awesome.

В отличие от других дистрибутивов для тестирования на проникновение, BlackArch также может использоваться в качестве инструмента повышенной конфиденциальности. Кроме различных инструментов анализа, мониторинга и тестирования, дистрибутив также включает инструменты защиты от слежения, в частности sswap и ropeadope для безопасного стирания содержимого файла подкачки и системных журналов соответственно и многие другие программы для обеспечения приватности.

Разработанный итальянской сетью Frozenbox, посвященной IT-безопасности и программированию, основанный на Debian, может использоваться для тестирования вторжений и поддержания конфиденциальности. Также как BlackArch, Parrot Security OS является дистрибутивом плавающего релиза. Логин по умолчанию для Live-сессии: root:toor.

Устанавливаемый Live-образ предлагает несколько опций загрузки, например, устойчивый режим или устойчивый режим с шифрованием данных. Кроме аналитических инструментов, дистрибутив включает несколько программ для анонимности и даже криптографическое ПО.

Персонализируемая среда рабочего стола Mate предлагает привлекательный интерфейс, а сам Parrot Security OS работает очень шустро даже на машинах с 2 гигабайтами ОЗУ. В систему встроено несколько нишевых утилит, например, apktool - инструмент изменения APK файлов.

Для пользователей, которые заботятся о приватности, в дистрибутиве предусмотрена специальная категория приложений, где пользователи могут включить анонимный режим серфинга в Интернете (используются сети Tor) за один клик.

JonDo

Нашли опечатку? Выделите и нажмите Ctrl + Enter

Из этого Сравнения.Часть их из более ранних Сравне­ний успели отпасть, поэтому здесь мы оцениваем дистрибутивы еще и по графику выхода релизов.

Кроме того, мы рассмотрим их механизмы обеспечения конфиденциальности оценим их в зависимости от обес­печиваемых аспектов безопасности: например, дистрибутив с защитой только от утечек в системе безопас­ности во время вашего пребывания онлайн будет оценен ниже, чем тот, что защищает вашу конфиденциальность оффлайн.

Документация и поддержка также сильно повысят шансы подоб­ного спец-дистрибутива, как и простота в использовании, это мы тоже протес­тируем. И, наконец, поскольку целью является постоянное использование этих дистрибутивов в качестве настоль­ных, мы протестируем их пригодность как повседневных дистрибутивов для выполнения обычных задач.

• Предисловие
• Защита
• Гибкость развертывания
• Простота в работе
• Документация и поддержка
• Состояние разработки
• Приложения для защиты
• Вердикт

Приватность — одна из про­блем, постоянно привлекаю­щих наше внимание: на страницах нашего сайта вы уже читали о дистрибутивах, укрепляющих вашу кон­фиденциальность. И мы возвра­щаемся к ним снова. Наша одержимость этой темой сравнима с той ситуацией, ко­гда Боб Марли явился на концерт через два дня после стрельбы в него и произнес зна­менитую фразу:

«У тех, кто старается сде­лать этот мир хуже, нет выходных. Так поче­му они должны быть у меня?».

Точно так же, нет недостатка в любителях отследить все наши действия онлайн, и нам приходится предпринимать профилактические меры и задействовать все ресурсы, чтобы пресечь их попытки нарушить на­шу конфиденциальность.

Все дистрибу­тивы в этом Сравнении были созданы спе­циально, чтобы снабдить вас средствами защиты вашей приватности и предотвра­щения случайных утечек.

Подходы у них могут быть разные, и у каждого — свои достоинства и недостатки. Одни использу­ют направление вашего WEB-­трафика через хорошо известные сети анонимности типа ; другие применяют новаторские мето­ды, такие, как безопасность посредством разбиения на части.

Кроме того, посколь­ку безопасность и анонимность идут рука об руку, использование этих дистрибутивов поможет защитить ваш компьютер от и других заинтересованных деанонимизировать вас или взломать ваш компьютер.

Защита

Какие механизмы они используют?

У , как и у его коллег, модифицированное ядро вместе с другими инструментами, например, DNSCrypt, для предотвращения имитации имени домена через аутентифи­кацию коммуникаций между компьютером и DNS-­преобразователем.

TENS еще вклю­чает приложение для шифрования и де­шифрации отдельных файлов и целых ди­ректорий, и работает со смарт-­картами Common Access Card (CAC) [Карта Обще­го Доступа] и Personal Identity Verification (PIV) [Удостоверения Личности] от Мини­стерства обороны США для доступа к от­крытым не для всех сайтам правительства.

Построен вокруг Tor, открытой сети анонимных серверов для прикрытия вашей личности.

Tails также содержит инструменты, помогающие настроить сеть, и браузер с расширениями защиты конфиденциальности с солидной репутацией, плюс ряд ценных криптографических инструментов для шифрования дисков и онлайн-коммуникаций.

Эксплуатирует концепцию безопасности через изоляцию и поставляется в виде двух виртуальных машин. Смысл подобной формы в том, чтобы изолировать среду, в которой вы работаете, от точки доступа к Интернету.

Вдобавок Whonix направляет весь интернет-­трафик через Tor. Благодаря подобной структуре, даже если один из компьютеров окажется скомпрометирован, выяснить ваш реальный IP­-адрес будет невозможно.

Позиционируется как «компьютерная платформа для защиты от злоумышленника» и анонимизирует весь ваш интернет­ трафик, направляя его через сеть Tor. Ядро дистрибутива усиленно заплатками от проекта Grsecurity, что делает Subgraph OS более устойчивой к уязвимостям системы безопасности.

Помимо всего этого, дистрибутив запускает многие настольные приложения внутри песочницы, чтобы сократить риск в случае наличия бреши.

Аналогичный уровень всесторонней защиты вы найдете и в : он тоже сначала направляет все соединения с Ин­тернетом через VPN, а затем передает их в сеть Tor. Kodachi также снабжен ря­дом инструментов для легкой замены иден­тификационной информации, например, страны выхода из Tor и перенастройки ва­ших DNS­-серверов и прочего одним щелч­ком.

Дистрибутив шифрует соединение с DNS­-преобразователем и включает хо­рошо известные инструменты шифрова­ния и конфиденциальности для шифрова­ния всех ваших локальных файлов, писем электронной почты и мгновенных сообще­ний. По окончании использования Kodachi удаляет следы этого использования с ком­пьютера при выключении.

Гибкость развертывания

Как взаимодействуют с физическими дисками?

Персистентное хранение и конфи­денциальность не слишком хоро­шо сочетаются друг с другом. Хо­тя все дистрибутивы в нашем Сравнении тщательно избегают взаимодействия с жесткими дисками на компьютере, некоторые дают вам возможность закрепить их, если, по ­вашему, преимущества постоянной ус­тановки перевешивают ее недостатки.

Единственным исключением является TENS , который вообще нельзя установить. Отсутствует механизм установки также и для Whonix . Проект предлагает несколько механизмов развертывания, самый удоб­ный из которых — скачать виртуальные машины, которые функционируют как лю­бой другой установленный дистрибутив.

Linux Kodachi включает скрипт установки, который помогает поставить дистрибутив на жесткий диск, как любой обычный ди­стрибутив Linux. Однако этот установщик весьма рудиментарен и использует GParted для нарезки диска. Вы также не можете из­менить имя пользователя по умолчанию, иначе многие индивидуальные скрипты по­сле установки работать не будут.

Tails особо заботится о том, чтобы не ис­пользовать жесткие диски компьютера, даже если на них есть место для свопинга, но включает программу установки, чтобы создать постоянный раздел на том же уст­ройстве USB, с которого вы загружаетесь, или на другом USB­-хранилище. Программа установки позволяет выбрать тип данных, которые вы хотите сохранить с помощью таких опций, как ключи SSH, настройки Pidgin, конфигурация Icedove и электрон­ной почты, пакеты APT и т. д. У вас также есть опция создать папку для хранения лю­бых персональных документов. Даже если вы создали постоянный том, Tails дает воз­можность загрузиться в первоначальную среду, если вам в данный момент не нужен доступ к вашим личным данным.

Простота в работе

Нужны ли специальные навыки для работы с ними?

Приватность и анонимность — две разных концепции, которые часто путают. При­ватность — это возможность придержать некоторые вещи исключительно за собой; и наобо­рот, анонимность — это когда вы не возражаете против того, чтобы другие видели ваши действия, но пусть никто не знает, что это именно вы.

Сохранение анонимности без нарушения кон­фиденциальности в Интернете требует опреде­ленного компромисса. Во ­первых, стоит ожидать меньшей скорости работы, поскольку пакеты дан­ных кружат по всему миру, прежде чем прибыть на ваш компьютер. Во вторых, некоторые дистри­бутивы придерживаются более строгой политики паролей, например, для сокрытия вашей инфор­мации для входа в систему или шифрования ва­ших файлов. Всё это не должно порочить удобство работы в Сети или на компьютере. Мы будем искать те дистрибутивы, которые обеспечивают максимальную безопасность при минимальных неудобствах.

Linux Kodachi

Дистрибутив загружает сильно измененный рабочий стол Xfce, который ото­бражает полезную информацию о системе прямо на рабочем столе, в том чис­ле состояние и IP­адрес VPN, MAC­адрес, IP­адрес Tor, потребление CPU, дан­ные памяти и трафика. Как только Kodachi установит соединение с Интернетом, вы сможете запустить Kodachi VPN, который также установит автоматическое соединение с Tor.

Анонимный Linux дистрибутив Linux Kodachi

Опытные пользователи могут подключиться через собствен­ный VPN. Дистрибутив также позволяет выбрать узлы выхода по странам с по­мощью опции инструментов Tor в доке. В доке имеются все приложения и ин­струменты частого пользования, например, Tor browser, инструменты VPN, инструменты DNS и приложения безопасности.

Пункт дока, отмеченный, как Pain Room, обеспечивает доступ к некоторым полезным инструментам конфи­денциальности, таким, как возможность создавать новый MAC­адрес, очищать ОЗУ и освобождать место.

Subgraph OS

Простота в использовании - одна из целей дистрибутива, в частности, для его инструментов конфиденциальности, но без ущерба их эффективности. С этой целью он использует рабочий стол Gnome 3. Подключившись к Интернету, ди­стрибутив устанавливает соединение с сетью Tor. После подключения можно запускать Tor browser из Activities Overview. Subgraph не включает Tor browser по умолчанию, но скачает его, как только вы его запустите в первый раз.

Анонимный Linux дистрибутив Subgraph OS

На пер­вый взгляд дистрибутив выглядит, как любой другой рабочий стол Gnome. Од­нако набор приложений по умолчанию раскрывает его истинные намерения. Вместо обычных приложений для общения Subgraph предлагает их альтерна­тивы, способствующие защите конфиденциальности, которые направляют всё общение через сеть Tor. Другое важное отличие в том, что разные приложения работают внутри изолированных песочниц, и вы можете отслеживать их с по­мощью значка с песочницей в меню состояния на верхней панели.

Tails

При запуске дистрибутива Tails показывает приветствие. Вы может выбрать использование Tails без каких­-либо изменений. Но в таком случае програм­ма приветствия позволит вам указать пароль для пользователя root и отклю­чить спуфинг MAC­-адреса, что на некоторых компьютерах вызовет проблемы при подключении к Интернету.

Анонимный Linux дистрибутив Tails

Когда вы выйдете онлайн, Tails автоматически подключится к сети Tor. Можно щелкнуть по значку Tor в строке состояния, чтобы просмотреть каналы и потоки. После подключения можете использо­вать Tor browser.

Еще одна сеть анонимности, которая периодически проти­вопоставляется Tor - I2P (Invisible Internet Project). Вы можете подключить­ся к I2P из Tails, передав загрузочный параметр i2p при загрузке. Дистрибутив подключится к сети I2P в фоне. Когда это будет сделано, запустите прилагаю­щийся I2P Browser, который переместит вас в панель управления I2P на осно­ве браузера.

Whonix

Как мы уже упоминали ранее, Whonix является парой виртуальных устройств на основе Debian, и их нужно запускать одновременно на двух отдельных вирту­альных машинах. Правила iptables на Whonix-Workstation вынуждают его под­ключаться только к виртуальной интернет­ LAN и перенаправлять весь трафик на шлюз Whonix­-Gateway. Эта схема вообще не позволяет приложениям узнать реальный IP-­адрес пользователя или получить доступ к любой информации на физическом оборудовании.

Анонимный Linux дистрибутив: Whonix

При первом запуске оба устройства проведут вас через краткий мастер настройки, чтобы вы познакомились с проектом и на­строили некоторые компоненты, например, репозитории. В дистрибутиве име­ется значок для Tor browser, но он не предлагается по умолчанию; вместо этого значок выводит скрипт для его скачивания из списка стабильных, новых и укрепленных релизов. И, наконец, WhonixCheck сканирует текущую установку и проверяет подключение Tor.

После загрузки TENS первым делом, еще до входа в рабочий стол, попросит вас принять лицензионное соглашение. Хотя дистрибутив использует рабо­чий стол Xfce 4, он напоминает Windows XP. Всё - от структуры рабочего сто­ла, дополненной кнопкой Windows Start, и до украшений окон - разработано так, чтобы копировать проприетарную ОС.

Анонимный Linux дистрибутив Trusted End Node Security

Использование TENS довольно ин­туитивное. Одной из отличительных особенностей дистрибутива является приложение Encryption Wizard. После запуска вы можете перетаскивать фай­лы и создавать пароли для их защиты. Все файлы впоследствии шифруются, и их можно пересылать по электронной почте с помощью Thunderbird и Davmail, которые доступны через опцию Secure Email в меню приложений.

Меню также подверглось изменениям, оно группирует приложения по их функции, напри­мер, Security and Configuration [Безопасность и Настройка], что удобно для на­чинающих пользователей.

Документация и поддержка

Что делать когда случается неизбежное?

Полезная документация и активные каналы поддержки играют важ­ную роль в освоении любой про­граммы. Особенно это верно для дистри­бутивов для защиты приватности, которые частенько нас огорчают, предполагая необ­ходимость обучения даже для тех, кто уже знаком с Linux.

Tails предлагает конечному пользова­телю углубленную документацию на раз­ных языках с общей информацией, первы­ми шагами, часто задаваемыми вопросами и подробными объяснениями, чтобы выбыли в курсе всех общих вопросов, отно­сящихся к конфиденциальности и важ­ности шифрования. Здесь даже есть чат-­рум XMPP, список рассылки по поддержке и форма для запроса функций.

Whonix тоже не бросит вас на произвол судьбы: его Wiki содержит подробную доку­ментацию. Дистрибутив также предлагает не сколько опций поддержки и имеет очень активный форум. Для помощи новым поль­зователям сайт TENS содержит несколько очень подробных FAQ, краткое руководство пользователя и справочник пользователя.

Linux Kodachi тоже имеет всю необходимую информацию для знакомства с дистрибу­тивом, включая руководство по установ­ке и полезные советы по использованию.

Сайт Subgraph OS подробно объясняет разные функции, ориентированные на кон­фиденциальность, и имеется также иллю­стрированный справочник в форматах ODF и HTML. Однако среди недостатков то, что TENS, Kodachi и Subgraph не имеют офици­альных средств поддержки - ни форумов, ни IRC. Иными словами, Subgraph пока что находится на самом начальном этапе.

Состояние разработки

Активно ли они поддерживаются?

Горькая правда о модели разработ­ки открытого кода в том, что про­екты выдыхаются и умирают. Это относится и к дистрибутивам безопасности и приватности, и уже было несколько весь­ма серьезных претендентов, которые либо погибли, либо впали в анабиоз.

Хотя обычно мы не оцениваем спец-ди­стрибутивы по состоянию их разработки, оно сыграет важную роль при оценке ди­стрибутивов в данном Сравнении. В конце концов, край не важно, чтобы выбранный вами дистрибутив не отставал от постоянно возникающих и развивающихся угроз ва­шей конфиденциальности - как онлайн, так и оффлайн.

Если вы с подозрением относитесь к но­вым проектам, вы, возможно, решите дер­жаться подальше от Subgraph, несмотря на его прекрасную функциональность, по­скольку проект находится на очень ранней стадии развития.

TENS, ранее известный как Lightweight Portable Security, обновля­ется регулярно, обычно посредством квар­тальных корректировочных версий. Ана­логично, Linux Kodachi, разрабатываемый провайдером профессиональных ИТ-­услуг в области безопасности, впервые вышел в 2013 г., но пребывал в состоянии спячки до 2016 г., и сейчас мы видим его релизы и обновления, выходящие регулярно.

Who­nix выпускает свои релизы весьма активно с самого своего появления в 2012 г. и полу­чает обновления каждые несколько меся­цев. Далее идет Tails, являющийся одним из дистрибутивов безопасности с луч­шей поддержкой, с быстрым темпом раз­работки и появлением новых релизов раз в несколько месяцев.

Приложения для защиты

Как они прикрывают пользователя?

В TENS есть инструменты, позволяю­щие проводить аутентификацию со смарт­-картами, выпущенными Министерством обороны США, и он вклю­чает публичную редакцию Encryption Wizard, созданного Исследовательской лаборато­рией ВВС США для шифрования докумен­тов и директорий.

Tails, помимо Tor, имеет AppArmor для изоляции приложений; PWGen для созда­ния сильных паролей; для управ­ления ими и AirCrackNG для аудита беспро­водных сетей. Кроме того, в Tails имеются кошелек Electrum Bitcoin, Nautilus Wipe для безопасного удаления файлов и MAT для затирания метаданных в файлах. Менед­жер обмена мгновенными сообщениями Pidgin снабжен плагином Off­The­Record (OTR), и для защиты от технологий восста­новления информации дистрибутив ис­пользует скрипты для очистки ОЗУ при пе­резагрузке или выключении.

Whonix тоже использует Tor для сокры­тия вашего IP­адреса и обхода цензуры и включает MAT. Он использует аноним­ный одноранговый IM, Ricochet и удоб­ное с точки зрения конфиденциальности сочетание клиентов электронной почты Thunderbird с TorBirdy. Однако Whonix куда менее забывчив, чем Tails, и дист­рибутив не предпринимает никаких спе­циальных мер для ограничения записи на диск и по умолчанию не шифрует со­храненные документы.

Linux Kodachi предусматривает па­кет инструментов защиты конфиденци­альности, и помимо Tor и VPN, там есть , VeraCrypt, Peer Guardian, инст­рументы для очистки ОЗУ, Enigmail, Pidgin OTR и много чего еще.

Subgraph OS запускает множество настольных приложений в песочнице безопасности Oz. Дистрибутив включа­ет CoyIM для сквозного шифрования чатов Jabber с помощью OTR. Subgraph использу­ет Ricochet и OnionShare, приложение ано­нимной одноранговой выдачи общего до­ступа к файлам. Далее имеется SubgraphFirewall, который применяет для каждого приложения политику фильтрования ис­ходящих соединений и удобен для мо­ниторинга непредвиденных соединений от приложений.

Вердикт

Пока Эдвард Сноуден не выступил со своими разоблачениями, по­давляющее большинство счита­ло тех, кто атаковал конфиденциальность, кем-­то вроде цифровых преступников, на­ходящихся как бы вне закона. Однако сей­час стало понятно, что мы находимся в са­мом разгаре информационной эры, когда нарушение нашей конфиденциальности яв­ляется не только популярной бизнес­-моде­лью, но и государственной практикой.

С учетом практики правительства США, касающейся конфиденциальности, трудно рекомендовать дистрибутив TENS, тем бо­лее при наличии куда лучших альтернатив. Одной из них является Whonix, который использует уникальный подход к обеспе­чению конфиденциальности, заключаю­щийся в разбиении на категории. И хотя мы вполне можем себе представить опыт­ных пользователей, осиливающих его на­стройку, нельзя ожидать того же от начи­нающих, которые, вероятно, даже не вполне осознают все связанные с этим проблемы.

Именно техническое превосходство дист­рибутива идет вразрез с удобством в ра­боте, предлагаемым такими его сотовари­щами, как Tails, одним из самых известных в плане обеспечения конфиденциальности и безопасности дистрибутивов. Он основан на сети Tor, регулярно обновляется и пре­доставляет вам все необходимые инстру­менты для того, чтобы замести свои сле­ды онлайн.

Однако и Linux Kodachi, и Subgraph OS затмевают остальных предлагаемой обо­ими защитой конфиденциальности. Оба используют среду песочницы для изоля­ции приложений друг от друга и ограни­чения отпечатка в системе, что размещает их среди лучших средств защиты вас и ва­ших данных. Оба дистрибутива также ис­пользуют сеть Tor, но Subgraph превосходит Kodachi по предлагаемым программам.

Над Subgraph OS трудится команда разработчиков, имеющих опыт разработ­ки приложений безопасности, и его одоб­рил даже Сноуден. Более того, не так давно Subgraph получил годичную поддержку разработки от Фонда открытых технологий . Не смотря на ран­нюю стадию разработки, Subgraph хорошо работает, но всё же победителем становит­ся не он, поскольку даже его разработчики пока не рекомендуют его для промышлен­ного применения.

И у нас остается Linux Kodachi, который мы и рекомендуем. Дистрибутив не отли­чается простотой установки, но предла­гаемые им приложения и использование маршрутизации трафика через VPN перед направлением его в сеть Tor добавляет еще один уровень защиты и позволяет склонить чашу весов в его пользу.

Linux — открытая операционная система, благодаря чему, каждый желающий может посмотреть ее исходный код. Ну, конечно же, мы понимаем, что простой человек мало чего сможет там разобрать, и тем не менее, возможность у него есть. Казалось бы, в таком случае, имея доступ к коду, изучив его, можно легко эксплуатировать найденные уязвимости (а они в любом случае есть). Но вместо этого Linux дистрибутивы до сих пор считаются безопаснее других операционных систем. Давайте попробуем разобраться почему так происходит.

Разграничение прав

Пользователи Window, как правило, очень часто, создавая свою учетную запись, дают ей права администратора. В этом случае намного проще работать в системе: при установке программ не нужно каждый раз вводить пароль, по этой же причине быстрее и легче запускать от имени администратора некоторые программы и т.п.

Но обратной стороной медали является то, что попав на такую систему, вирус также легко, как и пользователь, получает доступ ко всем важным частям ОС. По сути, он может делать все, на что запрограммирован.

В Linux же пользователи большую часть времени работают под обычной учетной записью, под которой нельзя как-либо изменять системные файлы, устанавливать или удалять ПО. Поэтому, даже если на компьютер и попадет какой-либо вирус, доступ у него будет разве что только к файлам в каталоге пользователя, поэтому большого вреда системе в целом он не нанесет.

Технически подкованные пользователи

Не секрет, что Linux пользователи — чаще всего люди, осознанно выбравшие эту систему. То есть это те, кто в определенной степени интересуется IT. Такие люди, как правило, подкованы в компьютерной безопасности (хотя бы на минимальном уровне) и они не станут безраздумно открывать подозрительные вложения в электронных письмах, запускать неизвестные им программы и скрипты. Кроме того, если даже человек и сделает это, запрос пароля администратора его может остановить в последний момент.

Круг пользователей других ОС более широк: это и дети, молодые люди далекие от IT индустрии, для которых компьютер — мультимедийное устройство, пожилые люди — которые вообще боятся современных устройств и стараются другой раз обходить их стороной. В этом случае есть большой шанс, что зловред, попавший на компьютер, будет приведен в действие.

IPtables

Высокого уровня безопасности на компьютерах с Linux добиваются также при помощи IPtables. Это интерфейс, который позволяет управлять работой брандмауэра netfilter в Linux. Также, часто под IPtables подразумевают и сам брандмауэр.

При помощи данной утилиты можно полностью контролировать доступ вашей системы в интернет. Создавая определенные правила, вы разрешаете или запрещаете входящий и исходящий трафик на любые порты и протоколы с любых IP и Mac адресов и подсетей. Естественно для этого потребуется время на знакомство с утилитой, но если вам важна безопасность или контроль над сетью, это того стоит.

Раздробленность

Очень часто Linux упрекают в том, что в нем единства. Существует множество дистрибутивов и окруженной рабочего стола, которые могут сильно различаться как по своей работе, так и внутреннем строении. Из-за этого, мол, распыляются силы разработчиков, которые вместо того, чтобы совместно работать над чем либо одним, отдельно друг от друга создают свои «велосипеды».

Но в плане безопасности данный факт играет положительную роль. Разнообразие дистрибутивов, оболочек, систем управления пакетами, почтовых клиентов, препятствуют широкому распространению вирусов. Ведь написать зловред, который сможет работать во всем этом «зоопарке» — очень сложно.

Архитектура Windows не настолько разнообразна, поэтому если вирус сможет попасть хотя бы на несколько компьютеров, он с легкостью сможет заражать и другие машины, особенно если они включены в одну сеть.

Система отслеживания событий

В Linux все события можно отслеживать при помощи лог-файлов. Если кто-нибудь будет пытаться попасть в систему и как-либо ее скомпрометировать, системный администратор (если это сервер) по логам легко сможет отследить каким образом это осуществляется и что уже успел сделать вирус или взломщик.

Небольшой процент пользователей

В сравнении с MacOS, а тем более Windows, процент пользователей Linux очень маленький (имеются ввиду домашние системы). В связи с этим, а также, как было сказано выше, большой раздробленностью платформы, писать вирусы под нее просто не выгодно. На написание вируса, который сможет работать хотя бы на самых распространенных дистрибутивах, требуется потратить больше времени, чем на его написание под другие ОС. При этом, выгода от этого непонятна.

Подводя итог

На самом деле, не существует систем, защищенных от хакеров на 100%. При наличии времени и большого желания можно взломать любую ОС. Естественно, нельзя сказать, что все системы имеют одинаковый уровень безопасности, но Linux здесь действительно в лидерах.

Однако нужно так же учитывать, что защита компьютера зависит не только от разработчиков дистрибутивов, но также от компетентности пользователя и правильного использования возможностей дистрибутива. И, как видим, Linux здесь тоже стоит на первом месте, поскольку большая часть его пользователей люди связанные с IT или им интересующиеся.

А как вы считаете: действительно ли Linux безопаснее других ОС и почему?

Предыдущая запись
Следующая запись