Whonix
 | |
 | |
| Deweloper | Programiści Whonix |
|---|---|
| Rodzina OS | Linux ( podobny do systemu Unix ) |
| Stan roboczy | Aktywny |
| Model źródłowy | Otwarte źródło |
| Pierwsze wydanie | 29 lutego 2012 |
| Najnowsze wydanie | 16 / 10 września 2021 |
| Magazyn | https://gitlab.com/whonix |
| Cel marketingowy | Komputery osobiste, serwery (hosting usług cebulowych) |
| Platformy | x86 , arm64 (RPi 3) |
| Typ jądra | Monolityczny ( Linux ) |
| Licencja | Głównie GNU GPL v3 i różne inne licencje wolnego oprogramowania |
| Oficjalna strona internetowa | |
Whonix ( / h uː n ɪ k s / , HOO -niks ) to dystrybucja Linuksa o wzmocnionych zabezpieczeniach oparta na Kicksecure . Jej głównymi celami jest zapewnienie silnej prywatności i anonimowości w Internecie. System operacyjny składa się z dwóch maszyn wirtualnych , „stacji roboczej” i „bramy” Tora , z systemem Debian GNU/Linux . Cała komunikacja jest wymuszana przez Sieć Tora .
Zarówno Whonix, jak i Kicksecure mają dokumentację, która obejmuje zarówno podstawową konserwację systemu operacyjnego, jak i bardziej zaawansowane tematy.
Historia
TorBOX (luty – lipiec 2012)
Początkowa koncepcja została ogłoszona przez Schleizera pod pseudonimem Proper , a później zmieniona na Adrelanos w 2012 roku, zanim ujawnił swoją tożsamość w 2014 roku . Jego pomysł polegał na wykorzystaniu maszyny wirtualnej działającej jako przezroczyste proxy do kierowania całego ruchu internetowego przez sieć Tor . Pozwoliłoby to zamaskować adres IP , zapobiec wyciekom DNS i uniknąć konieczności konfigurowania ustawień proxy dla poszczególnych aplikacji (lub tych, które ich nie obsługują).
TorBOX był na początku tylko przewodnikiem opublikowanym na stronie Tor Project , który zawierał również kilka skryptów powłoki . Inni współpracownicy dostarczyli więcej informacji, gdy TorBOX stał się bardziej popularny.
Wraz ze wzrostem złożoności projektu testy szczelności stawały się coraz bardziej konieczne. Niektórzy współpracownicy opracowali narzędzia do automatyzacji wielu czynności i poprawy łatwości obsługi . Niemniej jednak utrzymywanie instrukcji kompilacji dla TorBOX przy jednoczesnym aktualizowaniu skryptów powłoki stało się zbyt dużym obciążeniem dla programistów, którzy postanowili porzucić ręczne instrukcje tworzenia, migrując je i skupiając się wyłącznie na skryptach powłoki.
Nawet wtedy złożoność wciąż rosła z powodu dodatkowych funkcji lub zmian zgodnych z badaniami nad bezpieczeństwem. 25 marca 2012 r., Wraz z wydaniem TorBOX 0.1.3, programiści zgodzili się całkowicie zautomatyzować proces kompilacji i poprawić kodowalność dzięki zmianie w procesie tworzenia, wniesionej przez nową stronę internetową o lepszych możliwościach niż wiki starego projektu.
Wiki TorBOX/aos wymienia siedem wydanych wersji. Wraz z nadejściem trzeciego wydania, właściwy wydał swój klucz publiczny GPG zawierający jego dane kontaktowe,
Szósta wersja doczekała się pierwszej zmiany nazwy dewelopera właściwej na adrelanos . Jednak poprzednia nazwa użytkownika została utrzymana na Stronie Tor aż do siódmej i ostatecznej wersji.
Rozwój TorBOX trwał do wersji 0.2.1, wydanej 16 lipca 2012. Następnego dnia zmieniono nazwę projektu.
Zmień nazwę na AOS (lipiec - wrzesień 2012)
Andrew Lewman (ówczesny dyrektor wykonawczy projektu Tor) prywatnie doradził adrelanos zmianę nazwy projektu, stwierdzając, że nawet jeśli TorBOX wspomniał na swojej stronie internetowej o braku powiązań z projektem Tor, niektórzy ludzie nadal go mylili. Adrelanos zmienił nazwę projektu na aos, co jest akronimem „anonimowego systemu operacyjnego”.
Wybór nazwy aos został szybko pożałowany i opisany przez adrelanosa jako „nieoptymalny”. Zauważył, że wyszukiwarki nie zwracały odpowiednich wyników, ponieważ nazwa była współdzielona z wieloma innymi akronimami. Drugorzędnym powodem był fakt, że nazwa projektu nie była pisana wielką literą, co czyniłoby ją nie do pogodzenia z gramatyczną konwencją pisania słowa wielką literą na początku zdania.
Żadne nowe wydawnictwa nie zostały wydane pod nazwą aos.
Whonix (wrzesień 2012 – obecnie)
Adrelanos wysłał prośbę o sugestie na liście mailingowej tor-talk . Jego oryginalnym pomysłem była nazwa, która wyjaśniałaby przeznaczenie anonimowego systemu operacyjnego, a jednocześnie pozwalałaby uniknąć zamieszania lub problemów ze znakami towarowymi . Nick Mathewson , współzałożyciel Tor Project, debatował nad pomysłem posiadania oczywistej nazwy, stwierdzając, że Tor „radził sobie dobrze”, nawet bez szczególnie opisowej nazwy.
Chociaż wysłano wiele sugestii, adrelanos zakończył post ogłaszając nową nazwę, Whonix i publikując podpisaną wiadomość z ostateczną decyzją na stronie internetowej projektu. Uznał, że nazwa nie była używana i zapewniłaby więcej wyników w wyszukiwarkach. Whonix to połączenie dwóch słów: who („jaka osoba”) i nix (niemieckie słowo oznaczające „nic”).
Whonix 0.3.0, nigdy nie wydany, był oparty na Ubuntu . Chociaż Ubuntu było chwalone z technicznego punktu widzenia, potencjalne problemy ze znakami towarowymi skomplikowałyby dystrybucję wraz z potencjalnym cofnięciem licencji od Canonical . Zgodność z warunkami wymaganymi przez rebranding wymagałaby pracy przekraczającej możliwości programistów Whonix. Ponadto wydanie Ubuntu 12.10 było mocno krytykowane za bliższą integrację z Amazon i inne kwestie związane z prywatnością.
Projekt Whonix rozpoznał problemy z prywatnością, które mogłyby powodować problemy z używaniem Ubuntu i odradzał używanie go nawet na komputerze hosta .
Pierwsze wydanie pod nową nazwą Whonix miało miejsce w wersji 0.4.4, pierwszej od czasu TorBOX 0.2.1. Został ponownie oparty na Debianie, który projekt opisuje jako „dobry kompromis bezpieczeństwa i użyteczności”.
Drugie wydanie, Whonix 0.4.5, jako pierwsze zostało ogłoszone przez adrelanos na liście mailingowej tor-talk.
W poście na blogu opublikowanym 18 stycznia 2014 r. na wiki Whonix adrelanos postanowił zrezygnować z pseudonimu i po raz pierwszy użyć swojego prawdziwego imienia, Patricka Schleizera.
Schleizer, obywatel Niemiec, określił ciężar utrzymania swojego bezpieczeństwa operacyjnego . Wspomniał też, że zarówno USA, jak i Niemcy nie prześladują swoich obywateli za krytykę rządu, kończąc uwagą, jak ważne jest publiczne wypowiadanie się i podejmowanie działań.
Portowanie do systemu operacyjnego Qubes
W sierpniu 2014 roku użytkownik o nazwie WhonixQubes ogłosił na liście mailingowej qubes-users pierwszą udaną integrację Qubes OS w wersji R2-rc2 i Whonix 8.2. Joanna Rutkowska , założycielka Qubes OS, publicznie pochwaliła wysiłki.
W czerwcu 2015 r. Rutkowska poinformowała o otrzymaniu środków z Funduszu Otwartych Technologii na dalsze sponsorowanie prac związanych z portowaniem Whonix na Qubes OS. Propozycja do OTF została złożona początkowo we wrześniu 2014 r., po tym jak do Rutkowskiej zwrócił się Michael Carbone, pracownik Access Now i członek zespołu Qubes OS, który pomagał w tym procesie.
W tym samym czasie Patrick Schleizer pisał o chęci osobistego skupienia się na rozwoju Qubes-Whonix.
Wraz z wydaniem Qubes OS R3.0 w październiku 2015 roku szablony Whonix zostały oficjalnie udostępnione.
Warianty
Samodzielny
Standardowa wersja Whonix może być używana na wielu różnych platformach jako host-machine, takich jak Windows , macOS , GNU/Linux i Qubes OS. Można go pobrać w formatach zgodnych z najpopularniejszymi hiperwizorami, takimi jak VirtualBox , QEMU , KVM i Xen . Mówi się, że Whonix ma eksperymentalną kompatybilność z VMware i Hyper-V , chociaż nie jest oficjalnie obsługiwany.
Pakiety VirtualBox zarówno dla stacji roboczej, jak i bramy są dystrybuowane ze środowiskiem graficznym xfce lub w bezgłowej wersji „CLI”. Można je bezproblemowo łączyć.
System operacyjny Qubes
Whonix można skonfigurować bezpośrednio z menu instalacyjnego Qubes OS od wersji R3.0. Od co najmniej Qubes OS R4.0 można go również zainstalować później za pomocą oprogramowania do zarządzania Salt firmy dom0 .
Projekt
Konfiguracja „zaawansowana” wykorzystuje dwa fizycznie oddzielne komputery, przy czym brama działa na sprzęcie jednego z komputerów, a stacja robocza działa na maszynie wirtualnej hostowanej na drugim. Chroni to przed atakami na hiperwizory kosztem elastyczności. Obsługiwane fizyczne platformy sprzętowe obejmują Raspberry Pi 3 i nieoficjalne wysiłki społeczności dotyczące sprzętu stacji roboczej PowerPC , Talos, firmy Raptor Computing.
Przy pierwszym uruchomieniu każda maszyna wirtualna sprawdza, czy oprogramowanie jest aktualne. Przy każdym uruchomieniu data i godzina są ustawiane za pomocą sdwdate , który działa na protokole TCP Tora.
Maszyna wirtualna Gateway jest odpowiedzialna za uruchamianie Tora i ma dwa wirtualne interfejsy sieciowe. Jeden z nich jest podłączony do zewnętrznego Internetu przez NAT na hoście VM i służy do komunikacji z przekaźnikami Tora. Drugi jest podłączony do wirtualnej sieci LAN, która działa całkowicie wewnątrz hosta.
Maszyna wirtualna stacji roboczej uruchamia aplikacje użytkownika. Jest podłączony tylko do wewnętrznej wirtualnej sieci LAN i może bezpośrednio komunikować się tylko z bramą, która zmusza cały ruch przychodzący ze stacji roboczej do przejścia przez sieć Tor. Maszyna wirtualna stacji roboczej może „zobaczyć” tylko adresy IP w wewnętrznej sieci LAN, które są takie same w każdej instalacji Whonix.
Aplikacje użytkownika nie znają zatem „prawdziwego” adresu IP użytkownika ani nie mają dostępu do żadnych informacji o fizycznym sprzęcie. Aby uzyskać takie informacje, aplikacja musiałaby znaleźć sposób na „wyrwanie się” z maszyny wirtualnej lub obalenie Bramy (być może przez błąd w Torze lub jądrze Linuksa Bramy).
Przeglądarka internetowa preinstalowana na maszynie wirtualnej stacji roboczej to zmodyfikowana wersja Mozilla Firefox dostarczona przez Tor Project jako część pakietu Tor Browser. Ta przeglądarka została zmieniona w celu zmniejszenia ilości informacji specyficznych dla systemu, które wyciekają do serwerów sieci Web.
Od wersji 15 Whonix obsługuje opcjonalny tryb „amnesiac” na żywo, podobnie jak podobny, zorientowany na bezpieczeństwo system operacyjny Tails . Łączy w sobie to, co najlepsze z obu światów, pozwalając systemowi ochrony wejścia Tora na wybranie długotrwałych punktów wejścia do sieci Tor na Bramie, zmniejszając zdolność przeciwników do łapania użytkowników w pułapkę poprzez uruchamianie złośliwych przekaźników, przy jednoczesnym przywracaniu zaufanego stanu. Konieczne mogą być pewne środki ostrożności na hoście, aby uniknąć przypadkowego zapisania danych na dysku. Grub-live, dodatkowy oddzielny projekt, ma na celu umożliwienie hostom Debiana typu bare-metal rozruch w sesji na żywo, unikając pozostałości kryminalistycznych na dysku.
Aby uzyskać najlepszą ochronę przed złośliwymi strażnikami, zaleca się uruchamianie bramy z pierwotnego stanu i sparowanie unikalnego strażnika z każdą aktywnością użytkownika. Użytkownicy robiliby migawkę, aby móc się przełączyć i konsekwentnie używać tej ochrony. Ta konfiguracja gwarantuje, że większość działań użytkownika pozostaje chroniona przed złośliwymi strażnikami wejściowymi, nie zwiększając jednocześnie ryzyka wpadnięcia na jednego z nich, jak zrobiłby to system całkowicie amnezyjny.
Dokumentacja
Wiki Whonix zawiera zbiór przewodników bezpieczeństwa operacyjnego, zawierających wskazówki dotyczące zachowania anonimowości w trybie online. Ponadto z biegiem czasu dodano szereg oryginalnych przewodników dotyczących tego, jakich narzędzi bezpieczeństwa należy używać i jak z nich korzystać. Obejmuje to dostęp do I2P i Freenet przez Tor.
Zakres
Anonimowość to złożony problem obejmujący wiele kwestii wykraczających poza maskowanie adresów IP, które są niezbędne do ochrony prywatności użytkowników. Whonix koncentruje się na tych obszarach, aby zapewnić kompleksowe rozwiązanie. Niektóre funkcje:
- Kloak – narzędzie do anonimizacji naciśnięć klawiszy, które losuje czas między naciśnięciami klawiszy. Algorytmy biometryczne naciśnięć klawiszy rozwinęły się do punktu, w którym możliwe jest pobieranie odcisków palców użytkowników na podstawie miękkich cech biometrycznych z niezwykle dużą dokładnością. Stanowi to zagrożenie dla prywatności, ponieważ maskowanie informacji przestrzennych — takich jak adres IP przez Tor — jest niewystarczające do anonimizacji użytkowników.
- Tirdad - moduł jądra Linuksa do nadpisywania numerów ISN TCP. Początkowe numery sekwencyjne protokołu TCP wykorzystują szczegółowe dane zegara jądra, ujawniając skorelowane wzorce aktywności procesora w nieanonimowym ruchu systemowym. W przeciwnym razie mogą działać jako kanał boczny dla długotrwałych operacji kryptograficznych.
- Wyłączone sygnatury czasowe TCP — sygnatury czasowe TCP powodują wyciek informacji o zegarze systemowym z dokładnością do milisekundy, co pomaga przeciwnikom sieciowym w śledzeniu systemów za NAT.
- sdwdate – bezpieczny demon czasu będący alternatywą dla NTP, który korzysta z godnych zaufania źródeł i korzysta z kompleksowego szyfrowania Tora. NTP cierpi z powodu łatwości manipulowania i inwigilacji. Błędy RCE wykryto również w klientach NTP.
- MAT 2 – Oprogramowanie i systemy plików dodają wiele dodatkowych informacji o tym, kto, co, jak, kiedy i gdzie utworzono dokumenty i pliki multimedialne. MAT 2 usuwa te informacje, aby udostępnianie plików było bezpieczniejsze bez ujawniania informacji identyfikujących źródło.
- LKRG – Linux Kernel Runtime Guard (LKRG) to moduł bezpieczeństwa Linuksa, który udaremnia klasy technik wykorzystania jądra. Wzmocnienie systemu gościa utrudnia przeciwnikom wydostanie się z hiperwizora i usunięcie anonimowości użytkownika.
