Почему Linux считают безопаснее других ОС. ОС максимальной секретности. Выбираем дистрибутив для обхода блокировок и защиты от слежки

Эксперт в области Linux-решений Брюс Байфилд предлагает пользователям, для которых требования обеспечения безопасности являются критическими, рассмотреть пять дистрибутивов, разработчики которых уделяют особое внимание этому вопросу. В настоящее время они находятся в стадии активного развития, поэтому рекомендовать их для повседневного применения ещё рано. Однако знакомство с решениями лучше начать заранее.

1 Qubes OS

В системе Qubes OS применяется один из самых надёжных методов минимизации ущерба от реализации угроз - изоляция приложений. Если один из пользовательских процессов окажется под контролем злоумышленника, то это не затронет остальные процессы.

Разработкой этого дистрибутива руководит Джоанна Рутковска - специалист по информационной безопасности. Широкую известность она получила, когда создала чрезвычайно трудный в обнаружении руткит Blue Pill, за что издание eWeek в 2006 г. включила её в пятёрку лучших хакеров мира.

Дистрибутив основан на гипервизоре Xen, который применяется для запуска виртуальных Linux-машин, внутри которых работает либо одно приложение, либо группа программ. Причём для стека TCP/IP, DHCP-клиента и прочих сетевых компонентов предназначена отдельная виртуальная машина.

Все приложения в Qubes OS запускаются внутри выделенных виртуальных машин - доменов приложений (другое название - домены безопасности). По умолчанию таковых три: рабочий, личный и ненадёжный. Если этого недостаточно, то пользователь может сформировать собственные. Для некоторых операций, таких как копирование файлов, формируется временный домен, который закрывается после завершения операции.

Каждому домену соответствует собственное визуальное оформление окна. Это нужно для того, чтобы пользователь всегда видел, в каком именно окружении он работает.

Обратная стороны такой эффективной концепции - очень высокие требования к ресурсам машины. Например, для более-менее нормальной работы компьютер должен быть оснащён как минимум 8 Гб оперативной памяти.

2 Subgraph OS

Весной этого года вышла первая альфа-версия этого дистрибутива. Создаётся он группой экспертов в области ИБ из Монреаля, поставивших перед собой цель разработать максимально комфортное для пользователя окружение, соответствующее самым высоким требованиям безопасности.

В частности, шифрование файловой системы производится ещё на стадии установки и является обязательным. Разметка диска начинается с перезаписи всех разделов. Браузер по умолчанию комплектуется анонимайзером Tor, а почтовый клиент Thunderbird - модулем Enigmail для шифрования всей корреспонденции.

Изоляция приложений реализована на базе контейнеров OZ. А при помощи прослойки Xpra приложения изолируются от X-сервера.

Применение контейнеров позволило снизить требования к аппаратным ресурсам компьютера. Для комфортной работы вполне достаточно 4 Гб оперативной памяти и 20 Гб дискового пространства.

3 Tails

Дистрибутив Tails (The Amnesic Incognito Live System) основан на системе Debian и представляет собой LiveUSB-решение, позволяющее пользователю работать, не оставляя никаких следов на компьютере. Именно его применяли Эдвард Сноуден и Гленн Гринвальд при подготовке разоблачительных материалов по деятельности АНБ.

Основное предназначение решения - обеспечение анонимной работы в сети. Для этого все подключения осуществляются через Tor или I2P.

Использование технологии LiveUSB делает Tails менее универсальным, чем аналоги. Поэтому если у пользователя нет каких-то специфических задач, то применение этого решения целесообразно исключительно в учебных целях. В системе собрано много инструментов обеспечения безопасности и пособий к ним.

4 Trusted End Node Security

Как и Tails, это решение запускается с внешнего накопителя. Поскольку на диск компьютера ничего не устанавливается, то пользователю не требуются даже пароли, а действие вредоносного кода продолжается ровно одну сессию. Собственно говоря, на официальном сайте проекта явно рекомендуется перезагружать систему перед какими-то важными операциями или посещением сомнительных с точки зрения безопасности сайтов.

5 Whonix

Система Whonix основана на Debian и представляет собой решение, состоящее из двух виртуальных машин, объединённых в единую сеть. Первая машина называется Whonix-Gateway и предназначена для организации шлюза. Вторая - Whonix-Workstation с пользовательским окружением KDE, причём в сеть она может выходить только через шлюз.

Если рабочая станция будет успешно атакована, то злоумышленник сможет получить только внутренние сетевые параметры, поскольку реальный IP скрыт шлюзом, направляющим весь трафик через Tor. Тем не менее система может быть скомпрометирована через уязвимости в самой платформе виртуализации, поэтому разработчики не рекомендуют запускать Whonix-Workstation и Whonix-Gateway на одном компьютере.

Решение достаточно сложно для неподготовленного пользователя. Впрочем, его можно использовать не только для практической работы, но и с учебными целями.

Выбор и покупка виртуального сервера (VPS)

В обучении данный сервер настраивается для использования перед ТОР на хост машине, а основная работа уже будет с виртуальной машины Хуникс воркстейшен на которой будет еще один впн, это очень важный момент. Впн здесь нужен даже не для нужд анонимности, а для того, чтобы надежно зашифровать траффик и скрыть от провайдера использование ТОР.

1. Регистрируем саморег яндекс денег при помощи cервиса sms-activate.ru (cтоит 1 рубль). Выпускаем при помощи этой же вирт смс виртуальную карту и аварийныые коды.

2.Регистрируем аккаунт пейпал. Нужен более менее свежий скан паспорта, инн можно узнать на сайте Госуслуг https://www.gosuslugi.ru/pgu/fns/findInn

3.Привязываем к пейпал карту яндекс.

4. Анонимно пополнить яндекс можно с тех же биткоинов используя обменники

5. Регистрируем аккаунт Didgital Ocean. Указываем имя и фамилию нашего скана.

6. Учетку желательно регистрировать на зарубежную почту вроде gmail.com и по возможности делать это с айпи адреса который не принаддежит датацентру (сокс5 прокси, дед). Если такой возможности нет, то можно использовать браузерный впн Zenmate

7.Зачастую аккаунт морозится после первой оплаты (если регили с впн), нам нужно написать админам, что мы собираемся использовать их сервер исключительно для благих целей вроде хостинга сайта с котиками и если необходимо готовы предоставить скан паспорта. Как правило проверка всегда проходит успешно. Именно Didgital Ocean не принципиально брать
можно воспользоваться сайтом poiskvps.ru

Нам подойдет даже самый дещевый сервер с 256 мб оперативной памяти, главное обрати внимание, чтобы не было ограничений по скорости из стран бери Европу - Нидерланды, Германию, Австрию, Францию и т. д.

1.Создаем дроплет дебиан в нашей учетке ДО, страну выбираем Германию или Нидерланды (самая лучшая скорость к России).

2.На почту придут данные для рут доступа на сервер.

3.Логинимся на наш сервер при помощи команды ssh root@айписервера

Соглашаемся добавить сервер в список известных хостов вбив yes

4. Вводим наш пароль от root,который пришел на почту. В терминале crtl +v не работаем вставляейте правой кнопкой мыши.

5. Нам автоматически предлагают сменить пароль.

6. Вводим опять пароль от root после чего нужно два раза ввести новый пароль.

Устанавливайте сложный пароль около 15-20 символов с разным регистром, цифрами и символами ][=-?><_, желательно при использовании генератора паролей. Это должно обезопасить нас от любого брута.

В терминале вводимые символы не отображаются знаком *, ничего страшного, все равно вводим и жмем enter

Обновляем систему деда apt-get update && apt-get dist-upgrade

Далее идет подъем впн. Тут два вариана, делать все долго вручную либо использовать автоматизированный скрипт с гитхаба. Ученик здесь решает самостоятельно, что ему нужно. Для примера здесь напишу вариант со скриптом.

Заходим на гитхаб, обращаем внимание, что данный скрипт на сайте уже достаточно давно, регулярно обновляется и у него большой рейтинг, при особом желании можно даже ознакомиться с иходным кодом.

https://github.com/Nyr/openvpn-install

Скачивается и запускается скрипт командой

wget https://git.io/vpn -O openvpn-install.sh && bash openvpn-install.sh

Нам показывает айпи нашего сервера жмем интер

Предлагает выбрать порт, можно оставить 1194 либо указать какой-нибудь экзотический.
в имени клиента убираем client и вводим любое имя конфига

Ждем пока скрипт сгенирирует все необходимые сертификаты и закончит работу, новоиспеченный конфиг появится в папке /root/нашеимя.ovpn

Открываем новый терминал (терминал с консолью сервера не трогаем) и скачиваем конфиг
sudo scp root@айпинашегосервера:~/имянашеговпн.ovpn /home/user/Downloads

После этого файл можно найти в папке /home/user/Downloads

Запускаем наш конфиг командой

sudo openvpn /home/user/Downloads/имяконфига.ovpn

Если клиент Openvpn не стоит то устанавливаем его командой

sudo apt-get install openvpn

Заходим на чекер анонимности 2ip.ru видим, что впн работает, но сервис видит наличие двухсторонего туннеля и даже выдает vpn fingerprint.

Нам такой фигни естественно не надо, поэтому продолжим настройку сервера и конфигов.

Заходим снова в терминал с сервером.

1.Отключаем ведение любых системных логов удаляя системную утилиту rsyslog

apt-get remove rsyslog

2. открываем наш серверный конфиг

nano /etc/openvpn/server.conf

если консольный текстовый редактор не установлен, то устанавливаем

apt-get install nano

в конфиге нам необходимо добавить строчку mssfix 0

также убедимся что отключены логи впн и есть строка verb 0

жмем ctrl+ o для сохранения изменений и ctrl + x для выхода

3. Настраиваем файрвол который блокирует любые подключения к нашему серверу кроме портов ssh и порта опенвпн (по дефолту 1194)

ставим файрвол ufw

sudo apt-get install ufw

разрешаем подключения по ssh

Разрешаем подключения к порту openvpn

ufw allow 1194/udp (если создавали конфиг с tcp, то указываем tcp вместо udp)

Залаем правило перенаправления пакетов ufw

nano /etc/default/ufw

в строке DEFAULT_FORWARD_POLICY=»DROP». Дроп меняем на ACCEPT, чтобы вышло
DEFAULT_FORWARD_POLICY=»ACCEPT»

Сохраняемся и выходим

Решаем проблему с определением двухстороннего пинга

g
nano /etc/ufw/before.rules

нужно закомментить строку поставив перед ней знак #
-A ufw-before-input -p icmp -icmp-type echo-request -j ACCEPT

Должно получиться так

# ok icmp codes
-A ufw-before-input -p icmp -icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp -icmp-type source-quench -j ACCEPT
-A ufw-before-input -p icmp -icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp -icmp-type parameter-problem -j ACCEPT
#-A ufw-before-input -p icmp -icmp-type echo-request -j ACCEPT

Сохраняемся и выходим

Включаем наш файрвол ufw enable

Открываем наш клиентский конфиг на хост машине и дописываем строчку
mssfix 0

Сохраняемся и выходим

Установка и настройка Whonix Workstation и Whonix Gateway на виртуальной машине

4.Настройка браузера на Whonix Workstation

Настройка браузера

1. Открываем чекер whoer.net

2. Необходимо удостовериться что выключен flash и java (не путать с java script). Выключается в графе addons>plugins, все пункты должны быть отключены. Если нам нужны сайты, которые требуют данные технологии, то можно включить (на свой страх и риск)

3. Ставим нужные нам плагины

No Script (отключает java script на сайтах. ВАЖНО! Джава скрипт необходим для нормальной работы большинства сайтов, но также может использоваться злоумышленником для сбора информации и даже эксплойтирования уязвимостей в браузере. Разрешаем в плагине только те сайты, которым мы доверяем. Жизненный пример: злоумышленник размещает безобидную статью на форуме, где есть ссылка на его ресурс, переходя по ссылке мы переходим на сайт, где срабатывают вредоносные скрипты, при этом мы как правило не замечаем ничего подозрительного).

https everywhere (данный плагин принуждает сайты использовать зашифрованное соединение по протоколу https, если на сайте есть поддержка данной технологии, также в плагине можно указать опцию, которая блокирует любой http траффик в принципе. Жизненный пример: Злодей пишет траффик на выходной ноде тора и может свободно анализировать наш http траффик, т.к. он никак не зашифрован).

Self destructed cookies (кукисы - это вспомогательные файлы, которые хрянят настройки сайтов на нашем компьютере, могут быть как безобидными так и вредоносными см. evercookies, также наличие кукисов может быть доказательством, что нам принадлежит определенная учетка на форумесоцсети. Данный плагин удаляет все кукисы сразу после закрытия вкладкиокна браузера)

Privacy settings (в данном плагине можно сразу указать опцию privacy and security по желанию, но самое важное - это отключить webrtc в пункте media peer connections enable)

Random agent spoofer (данный плагин позволяет подделывать нашу операционную системуразрешение экранаuser agent и многое другое, при этом даже джаваскрипт не определяет нашу настоящую систему)

Настройка виртуалки для взлома Wi-Fi

1. Нужно сказать extension pack для VirtualBox http://download.virtualbox.org/virtualbox/5.1.14/Oracle_VM_VirtualBox_Extension_Pack-5.1.14-112924.vbox-extpack
Он нужен для того чтобы подключить USB Wi-Fi адаптер к виртуалке

2. Потом нужно скачать ISO дистрибутива wifislax
http://www.wifislax.com/category/download/nuevas-versiones/

Устанавливаем пак для виртуалбокс

Создаем виртуалку с ISO wifislax. Жесткий диск ненужно крепить к нему.

При установке на виртуалбокс ISO wifislax название ОС указываем debian 64 bit
Запускаем (от имени администратора) ISO в live режиме. Т.е после рестарта виртуалбокса все данные на нем сотрутся.

При запуске выбираем язык

Non-ES Language selection-russion

Предупреждение! Использование чужих точек - не панацея и само по себе является лишь небольшим ДОПОЛНЕНИЕМ к виртуальным машинам Whonix. Ни в коем случае нельзя использовать одно только подключение к чужой точке без других куда более важных мер, особенно, если эта точка находится неподалеку от вашего основного места жительства.

Недорогой и надежный вариант tp link TL-WN722N (около 1000 р.)
http://www.tp-link.com/en/products/details/TL-WN722N.html

Ни в коем случае не покупайте другие модели тплинк.

Данное обучение можно проходить и со встроенным адаптером ноутбука, принцип не меняется.

Есть три основных способа взлома чужих сетей вайфай, которые нужно применять последовательно, т.е. если не сработал первый, переходить ко второму, если не сработал второй то к третьему и т.д.

1. Pixie script - самый быстрый (буквально 2-3 минуты) и простой способ получить пароль к чужой точке доступа. Используется уязвимость wps определенных моделей роутеров.

2. Отлов хендшейков (пакеты в которых роутер и устройство обмениваются зашифрованными пакетами с паролем) и дальнейшая расфшифрока данных пакетов.

3. Брут пинкодов WPS (reaver). Занимает от 4 до 8 часов, у роутера должен быть включен WPS. Подробней про впс здесь https://ru.wikipedia.org/wiki/Wi-Fi_Protected_Setup

Помимо данных трех есть еще способ с блокировкой чужой точки доступа и созданием ее фейка. Для него нужно иметь два вайфайадаптера. В виду сложности в обучении его не рассматриваю.

Инстукция по применению wifislax.

Загружаемся с флешки. При запуске не нужно ничего выбирать, везде жмем enter.

ПЕРВЫЙ СПОСОБ

1.Включаем пикси

Cтартменю (К) » Wifislax» Wpa-wps» Pixie Script

2.Выбираем наш сетевой адаптер (wlan0 или wlan1) и переводим адаптер в режим мониторинга MODO MONITOR, далее сканировать точки доступа INICIAR ESCANEO.

3.Выбираем нужную нам точку и жмем INICIAR ATAQUE.

При успехе рядом с точкой появится желтая звезда, и пароль затем можно найти на рабочем столе в папке Wireless-keys.

ВТОРОЙ СПОСОБ

1.Убиваем процессы, которые используют нашу сетевую карту

sudo kill 1623
sudo kill 1718

2.Включаем нашу карточку в режим мониторинга.

sudo airmon-ng start wlan0

3.Запускаем команду besside-ng

sudo besside-ng wlan0

В разделе TO OWN [сети которые мы пытаемся нагнуть]
В разделе OWNED

4.Открываем на рабочем столе ярлык HOME и смотрим сожержимое папки /root/
файл besside.log это лог результата работы програмы

SSID -имя сети
BSSID -макадрес сети вида

43:о3:d3:vb:d5:56

Первая половина данного мака
43:о3:d3 - это общий идентификатор произоводителя устройства, например, тп-линк, д-линк и т.д.

Вторая половина
vb:d5:56 - уникальный идентификатор конкретного устройства.

Файл, который содержит сами хендшейки это wpa.cap

Т.к. все данные при загрузки с лайв-флешки не сохраняются имеет смысл сохранить файлы wpa.cap и besside.log на другой носитель.

5. Редактируем файл с хендшейками

Запускаем wireshark

открываем наш файл wpa.cap

Каждый отдельный хендшейк здесь - это три последовательных пронумерованных пакета.

Так как в файле все хендшейки идут подряд, нам нужно разделить этот файл, чтобы каждой точке доступа соответствовал один конкретный хендшейк (три пакета)

Для этого смотри раздел Source видим, что там уже отображается производель роутера (програма автоматически прочитала первую половину значения макадреса) и уникальный идентификатор. Далее см. в файле бессайд.лог какой-именно сети соответствует данный макдрес.

Linux,

Нажимаем File » Export Specified Packets » выбираем Specify a packet range » вводим в поле номера первых трех пакетов 1-3

Имя файла вводим такое же как у точки доступа (см. файл бессайд лог) и жмем Save.

Затем нам нужно повторить данную операцию со всеми остальными пакетами, для этого вбиваем в поле Specify a packet range

4-6
7-9
10-12
13-15
16-18
и т.д. пока не закончим

Как только мы закончим нужно переименовать расширения всех файлов с имяточкидоступа.pcap на имяточкидоступа.cap Это нужно для сервиса.

Заходим на сайт http://wpa-sec.stanev.org регистрируемся, получаем на почту ключ.
Начинаем заливать наши хендшейки в разделе Submit

Как правило пароль подбирается за 10-15 минут, если процедура затягивается то скорей всего фейл. Все слабые пароли до восьми символов ломаются, сложные нет. Средняя статистика успеха где-то 20%.

ТРЕТИЙ СПОСОБ

Брутим wps. От 5 до 10 часов на точку

Основная программа для этого reaver, но в wifislax существует огромное кол-во автоматизированных скриптов для него, я покажу на примере одного из них.

Cтартменю (К) » Wifislax» Wpa-wps» Goyscript wps

1.Выбираем номер нашего сетевого устройства и жмем enter

2.Ждем секунд 30-40 пока идет сканирование точек с ВПС,
после чего останавливаем процесс нажатием ctrl+c.

3.Выбираем порядковый номер нужной нам точки и жмем enter.

На современных моделях роутеров данный способ практически не действует.

По фай вай скажу ряд моментов

1. Если злоумышленник получает доступ к твоей основной системе, то он получает доступ и к твоей сетевой карточке вайфай и видит все имена и макадреса всех точек, которые она ловит, а также твой личный мак адрес, а это скорей всего уже деанон. Можешь открыть например данный сервис https://wigle.net/ и посмотреть есть по твоему адресу точки, которые у тебя ловят.

2 .У твоего сетевого адаптера есть макадрес по которому тебя можно великолепно вычислять не важно к какой именно точке ты подключен. Даже если мак меняешь, то это не панацея (по последним исследованиям). Также никакой особой роли не играет, что подключаешься к точке за несколько км, вычислят по маку на ура, причем чем мощней антена, тем проще вычислять.

3. Если ты настраиваешь нормальную цепочку с использованием ТОР + туннели или впн + виртуальная машина, то непонятна вообще роль соседского вайфай в данной истории. Сдеанонить ТОр это задача уровня американского агентства нац. безопасности, да и то не факт что они смогут. А если злоумышленник получает доступ к машине то см. п.1

Но несмотря на это ниже будет мини мануал поэтому поводу.

Сначала мы должны установить sshuttle на свой линукс минт

pip install sshuttle
sudo apt-get install pip
sudo pip install sshuttle

На ВПС ничего устанавливать ненужно

Команда для подключение к серверу

sshuttle -r user@remoteserver 0.0.0.0/0 –vv

где username - логин на удаленном виртуальном сервере, sshserver - его IP-адрес или доменное имя, параметр 0.0.0.0/0 означает, что мы собираемся добавить в нашу таблицу маршрутизации правило, благодаря которому весь исходящий трафик будет отправляться на удалённый сервер, за исключением DNS-запросов. Разработчик намеренно не включает по умолчанию этот функционал для DNS, потому что у некоторых пользователей для выхода в интернет должны использоваться провайдерские серверы разрешения имен. Если мы можем пользоваться любыми DNS-серверами, то и запросы к ним можем “завернуть” в наш шифрованный SSH-туннель

Whonix - это две виртуальные машины Линукс Debian запущенные в программе Virtual Box, настроенные для максимальной безыанонимности. Первый образ шлюз - Whonix Gateway, заворачивает весь наш траффик в сеть TOR, а второй рабочая станция - Whoinix Workstation, с которой мы уже заходим в интернетзапускаем софт. Причем, рабочая станция настроена таким образом, что вообще не может принимать никакого траффика кроме сети TOR. Это полностью исключает любую возможную утечку нашего айпи адреса или днс. Более того, даже если злоумышленнику удастся получить удаленный доступ к нашей машине хуникс, единственное что он сможет получить это локальный айпиадрес, который абсолютно бесполезен.

На рабочей станции хуиникса легко настраивается впн, что избавляет нас от постоянного ввода предельно тупорылой капчи и защищает нас от недобросовестных выходных нод тора, которые могут сниффать траффик. При желании можно подключить к нашему шлюзу Хуиникс любую другую виртуалкунесколько виртуалок. Можете даже Виндоус подключить, только учитывайте при этом его дырявость.

1.Cмена пароля.

В системе на обоих виртуальных машинах у нас два пользователя root и user, пароли для них по-умолчанию changeme. Для смены вводим:

sudo passwd user
sudo passwd root

2. Обновляется система командой sudo apt-get update && sudo apt-get dist-upgrade

3. Для установки чего либо вбиваем sudo apt-get install имяпрограммы

pidgin - джаббер
pidgin-otr - плагин otr шифрования для пиджина
keepassx- менеджер паролей
libreoffice - офисный пакет

Также можно устанавливать скаченные с сайтов проги вручную через sudo dpkg -i /путь/имя
или устанавливать через скрипты sudo sh /путь/имя
Обычно инструкции можно найти на этих же сайтах.

4. Для экономии оперативной памяти в настройках хуникс гетвей можно умеьшить ползунок до 150 мб. Тогда машина запустится в консольном виде. Если обратно увеличим - то снова будет графическая среда. Сэкономленую память можно выделить Хуникс Воркстейшен.
Обычно гетвей мы пользуемся только для обновления системы sudo apt-get update && sudo apt-get dist-upgrade
Также в случае проблем соединения с тор, можно перезапустить сервис sudo service tor restart

5. Графическая среда KDE не самая приятная, поэтому при желании ее можно сменить на более быструю xfce4 или mate

для этого вбиваем в консоли

sudo apt-get install mate
sudo apt-get install xfce4

После перезагрузки все должно работать.

Обфускация (маскировка) траффика

Этот способ нужно использовать только если ваш провайдер блокирует VPN или TOR подключение

sudo apt-get install python2.7 python-pip python-dev build-essential libgmp-dev
pip install obfsproxy
sudo pip install setuptools

после этого мы можем выполнить команду запуска obfs и запустить openvpn:

/etc/init.d/obfs start

Для того чтобы наш минт не запускался без флешки раздел boot нужно создать на этом флешке. Вспоминаем урок 1.Установка и настройка Linux Mint. Там начиная с 05:53 он объясняет как это сделать. Только там он создает раздел там куда будет установлен минт
Но мы должны выбрать и создать этот раздел на флешке.

Чаще всего нападкам подвергается самая сильная сторона свободной ОС - безопасность. То, чем больше всего гордятся линуксоиды и что больше всего ценят. Предлагаем вашему вниманию 5 главных мифов.

Исходный код

Миф 1. Linux небезопасен, так как исходные коды программ доступны для изучения хакерам. Рядовые пользователи вряд ли будут ковырять сложный код, а вот хакеры будут, чтобы потом эксплуатировать найденные уязвимости. К тому же,

Что на самом деле: вручную просматривать миллионы строк исходного кода и не требуется. Эта задача решается статистическими анализаторами кода и специальными программными комплексами для аудита. Случайные и преднамеренные ошибки вылавливаются автоматом и затем уже эксперт разбирается с каждым конкретным случаем. Для закрытого бинарного кода Windows это не работает. Вот уже где действительно можно легко спрятать закладку.

Вирусы

Миф 2. Под Linux мало вирусов, но только потому, что Linux является малопопулярной операционной системой. Как только количество пользователей возрастет, подтянутся и вирусописатели, а сам Linux ничем не будет отличаться от Windows в плане восприимчивости к сетевой заразе.

Что на самом деле: 2% пользователей Linux - это десятки миллионов компьютеров. Если бы действительно было просто , то он был бы давно создан. Android - это тоже на 95% Linux. Устройств на базе Android уже миллиард. Ну и где эпидемии?

Опытные пользователи

Миф 3. Linux более безопасен, но только из-за того, что Linux используют более опытные пользователи. Если Linux начнут использовать все, то начнутся такие же эпидемии компьютерной заразы.

Что на самом деле: отчасти это правда. Но не только от вирусов, но и от дураков. За это его и не любят многие пользователи Windows, которые пробовали перейти на Linux, но не осилили. Например, в Windows фактически поощряется работа под администраторской учетной записью (к пользователю меньше пристают). Linux же не даст постоянно работать под root.

Опять вирусы

Миф 4. Под Linux тоже есть вирусы.

Антивирус

Миф 5. Под Linux установка антивируса является обязательной.

Что на самом деле: обязательным является настройка iptables и воздержание от подключения сомнительных репозиториев третьей стороны. Тогда нужды в антивирусе нет. Более того, маркетологами антивирусных компаний.

Select rating Give it 1/5 Give it 2/5 Give it 3/5 Give it 4/5 Give it 5/5

Оставаться анонимным в интернете, это не всегда одно и то же что и безопасный веб-серфинг. Важно держать максимум технической информации о вашем устройстве в безопасности от посторонних глаз, чтобы злоумышленники не смогли воспользоваться уязвимостями вашей системы и украсть ваши конфиденциальные данные и использовать их в своих целях, которые могут принести серьезные последствия.

Если вы хотите остаться анонимным в сети и защитить свои данные, в этой статье мы рассмотрим самые безопасные дистрибутивы linux, которые помогут вам в этом.

Большинство из инструментов, перечисленных в этой статье можно использовать полностью бесплатно. Кроме них, есть и платные варианты, например, VPN, но эти бесплатные инструменты справляются со своей задачей гораздо лучше. Необходимость безопасности в интернете постоянно растет, всегда есть риск кибератаки и прослушивания со стороны спецслужб. Не удивительно, что сразу же было создано несколько дистрибутивов, объединяющих в себе инструменты, обеспечивающие максимальную анонимность в сети.

Эти дистрибутивы изначально были ориентированы на узких специалистов, но в последнее время они набрали большую популярность. В связи со спросом на такие системы со стороны пользователей они постоянно развиваются и добавляются новые, возможно, сейчас их существует больше двадцати, но мы рассмотрим только лучшие безопасные linux дистрибутивы.

Большинство из них используют для обеспечения анонимности программное обеспечение Tor, которое обеспечивает действительно высокий уровень анонимности, в отличие от VPN провайдеров, которые все еще знают ваш реальный IP адрес.

Но у VPN и сейчас есть множество преимуществ, что делает его лучшим вариантом в некоторых случаях. Если для вас важна скорость соединения или вы собираетесь передавать файлы по P2P, тут выиграет VPN.

Прежде чем рассматривать самые безопасные linux дистрибутивы, давайте поговорим о том, как обеспечивается анонимность Tor. Tor или The Onion Router это стандартный протокол шифрования, разработанный в ВМС США.

Программное обеспечение Tor работает с несколькими узлами, это и обеспечивает высокую надежность и анонимность. Данные при прохождении через случайный узел каждый раз перешифровываются и становятся полностью расшифрованными только на последнем узле. Разработчики Tor также отвечают за создание дистрибутива Tails, который рекомендует использовать Эдвард Сноуден.

Теперь вернемся к VPN. Обычно, это платные сервисы, найти хороший, бесплатный VPN очень сложно. Качество обслуживания VPN зависит от провайдера, но как правило, скорость работы серверов VPN намного быстрее, чем Tor.

1. Tails - анонимный LiveCD

Если вы хотите остаться неизвестным в интернете, Tails - отличный выбор. Его основная цель - следить, чтобы вы не оставили никаких цифровых следов во время веб-серфинга. Это один из наиболее часто используемых для обеспечения анонимности дистрибутивов, и единственный, где все интернет-соединения направляются через Tor.

Обычно Tails устанавливается на флешку, все данные хранятся в оперативной памяти, а после завершения работы стираются. Операционная система основана на Debian и поставляется с большим набором инструментов с открытым исходным кодом специально разработанных для обеспечения конфиденциальности. Здесь поддерживается подмена MAC адреса и камуфляж Windows, когда система выглядит очень похожей на Windows 8.

Tails использует устаревшую версию Gnome, которая выглядит некрасиво и минималистично без возможности дополнительной настройки и улучшения, поскольку файлы между сессиями не сохраняются. Возможно, для многих это неважно, ведь Tails выполняет свою работу. У дистрибутива есть отличная документация и вы можете прочитать ее на официальном сайте.

2. JonDo Live-DVD

JonDo Live-DVD - это коммерческое решение для анонимности в сети. Оно работает похожим образом на Tor, ваши данные тоже передаются через ряд смешанных серверов JonDonym. На каждом узле данные перешифровываются. Это отличная альтернатива для Tails, особенно если вы ищете что-то с менее ограниченным пользовательским интерфейсом.

Как и Tails, дистрибутив основан на Debian, а также включает в себя набор инструментов для обеспечения анонимности и наиболее часто используемые приложения.

JonDo Live-DVD это платный сервис, для коммерческого использования. Он ориентирован на использование в фирмах, а также быстрее чем Tails и тоже не поддерживает сохранение файлов.

Если вам нужно что-то совершенно другое, вам будет интересен Whonix. Здесь используется совсем другой подход. Это не LiveCD. Whonix работает в виртуальной машине VirtualBox, система изолирована от вашей основной системы, тем самым уменьшается риск подхватить вирусы или засветить свои данные в сети.

Whonix состоит из двух частей. Whonix Gatway выступает в качестве шлюза Tor, вторая - Whonix Workstation является полностью изолированной от сети и направляет все свои сетевые соединения через шлюз Tor.

Таким образом, здесь необходимо использовать две виртуальные машины, что может создать определенные проблемы, если у вас слабое оборудование. Но тем не менее она работает. Правда, это не самый безопасный дистрибутив Linux, как Live CD, поскольку там не сохраняются данные на жестком диске.

Whonix основан на Debian, но в качестве окружения рабочего стола используется KDE. Операционная система не подходит для повседневного использования и вы можете ее использовать только на виртуальной машине.

4. Qubes OS

Это еще один дистрибутив для обеспечения анонимности рекомендуемый Сноуденом. Qubes пытается исправить недостатки всех предыдущих дистрибутивов с недостаточно красивым и настраиваемым пользовательским интерфейсом. Это дистрибутив для повседневного использования, совмещающий в себе мощь Tor и Whonix.

Здесь совсем иной подход к анонимности. Идея Qubes - безопасность путем разделения. Это значит, что ваша цифровая жизнь будет разделена между изолированными виртуальными машинами. Любое приложение запускается в отдельной виртуальной среде.

Нужно отметить, что Qubes поставляется по умолчанию с флагманским ноутбуком от Purism. Этот ноутбук считается самым безопасным устройством для пользователей. И это правда, учитывая мощное программное обеспечения этого дистрибутива.

Если вам нужен удобный дистрибутив для повседневного использования со всей стандартной функциональностью и привычными приложениями, Qubes OS может стать отличным выбором. В отличие от выше перечисленных он может быть установлен на жесткий диск.

5. UPR (Ubuntu Privacy Remix)

UPR, это еще один устанавливаемый дистрибутив, ориентированный на безопасность. Он удобен для пользователей и обеспечивает изолированную среду, в которой конфиденциальные данные могут быть в безопасности.

Уже судя по имени, можно сказать, что он основан на Ubuntu. Дистрибутив предлагает безопасный серфинг в интернете и использование шифрованных флешек, для эффективной защиты ваших данных от несанкционированного доступа. Дистрибутив поставляется с предустановленными инструментами для шифрования, такими как GnuPG и TrueCrypt. UPR предназначен только для безопасного серфинга в интернете, а не для анонимности. Он отлично подойдет, если вы хотите установить систему на свой компьютер, а не использовать LiveCD. Если нужна еще и анонимность можно установить Tor или подключить VPN.

Выводы

Учитывая что Tails самый распространенный из всех упомянутых в этой статье, то можно решить что он самый безопасный. Но другие дистрибутивы тоже отлично служат своей цели. Так что тут все упирается только в личные предпочтения.

Найдется не один "туз в рукаве", чтобы посягнуть на дорогие вам биты и байты - от фото на документы до данных кредитных карточек.

Наиболее подвержены риску атаки компьютеры, подключенные к интернету, хотя машины без выхода во внешний мир уязвимы не меньше. Призадумайтесь: что может случиться с вашим старым ноутбуком или жестким диском , которые вы выбросили? Вооружившись современными инструментами восстановления данных (многие из которых доступны для бесплатного скачивания), хакер легко восстановит информацию с вашего диска, невзирая на ОС, в которой вы работали. Если жесткий диск содержит данные (неважно, поврежденные или нет), эти данные могут быть восстановлены, банковские счета воссозданы; записанные разговоры в чатах можно реконструировать, а изображения - реставрировать.

Но не пугайтесь. Не стоит бросать пользоваться компьютером . Хотя сделать машину, подключенную к Internet, неуязвимой для атак, практически невозможно, вы можете серьезно осложнить задачу атакующему и гарантировать, что он не извлечет ничего полезного из скомпрометированной системы. Особенно греет душу то, что с помощью Linux и некоторых программ на основе защитить вашу установленную копию Linux будет совсем не сложно.

"Золотого правила" безопасности, подходящего в каждом конкретном случае, не существует (а будь на свете такое правило, его уже давно взломали бы). Над безопасностью нужно работать индивидуально. Следуя приведенным в этой статье советам и пользуясь описанными здесь инструментами, вы научитесь адаптировать их под свой дистрибутив Linux .

Защитить ваш компьютер под управлением ОС Linux помогут следующие простые рекомендации.

Обновление операционной системы

Кроме обновлений, дистрибутивы обычно имеют список рассылки по вопросам безопасности - для рассылки анонсов обнаруженных уязвимостей, а также и пакетов для исправления этих уязвимостей. Как правило, хорошей идеей будет отслеживать список рассылки вашего дистрибутива, касающийся безопасности, а также регулярно выискивать обновления безопасности к наиболее критичным для вас пакетам. Между моментом объявления об обнаружении уязвимости и закачкой пакета обновления в репозиторий обычно имеется временной зазор; списки рассылки подскажут, как скачать и установить обновления вручную.

Блокировка неиспользуемых сервисов

Не обновляйтесь каждые полгода

У большинства настольных дистрибутивов Linux новые релизы выходят раз в полгода, но это совсем не значит, что вы обязаны устанавливать последний релиз только потому, что он уже вышел. Ubuntu отмечает некоторые релизы как LTS (Long Term Support) - релизы с долговременной поддержкой: для настольной системы - три года, а для серверной - пять лет. Это намного дольше, чем 18 месяцев стандартного релиза Ubuntu.

LTS-релизы хотя и не особенный авангард, но с позиций безопасности защищены куда лучше стандартных. Их пакеты гораздо стабильнее и тщательнее протестированы, по сравнению с пакетами более новых версий, не снабженных долгосрочной поддержкой. Если вашей целью является создание именно максимально защищенной системы, остановите свой выбор на одном из стабильных релизов с долгосрочной поддержкой, не поддаваясь искушению сразу же выполнить обновление при появлении новейшей версии.

Не самая передовая, но должным образом поддерживаемая система более стабильна и надежнее защищена, чем новейший релиз.

Александр БОБРОВ