The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск Whonix 15, дистрибутива для обеспечения анонимных коммуникаций

02.07.2019 14:10

После почти года разработки доступен релиз дистрибутива Whonix 15, нацеленного на предоставление гарантированной анонимности, безопасности и защиты частной информации. Загрузочные образы Whonix сформированы для VirtualBox, KVM и для использования в операционной системе Qubes. Образ гостевой системы CLI занимает 1.1 GB, а c рабочим столом Xfce - 1.3 GB. Наработки проекта распространяются под лицензией GPLv3.

Дистрибутив основан на Debian GNU/Linux и использует Tor для обеспечения анонимности. Особенностью Whonix является разделение дистрибутива на два отдельно устанавливаемых компонента - Whonix-Gateway с реализацией сетевого шлюза для анонимных коммуникаций и Whonix-Workstation с рабочим столом. Выход в сеть из окружения Whonix-Workstation производится только через шлюз Whonix-Gateway, что изолирует рабочее окружение от прямого взаимодействия с внешним миром и допускает использование только фиктивных сетевых адресов. Подобный подход позволяет защитить пользователя от утечки реального IP-адреса в случае взлома web-браузера и даже при эксплуатации уязвимости, дающей атакующему root-доступ к системе.

Взлом Whonix-Workstation позволят атакующему получить только фиктивные сетевые параметры, так как реальный IP и параметры DNS скрыты за границей сетевого шлюза, который направляет трафик только через Tor. При этом следует учитывать, что компоненты Whonix рассчитаны на запуск в форме гостевых систем, т.е. не исключена возможность эксплуатации критических 0-day уязвимостей в платформах виртуализации, которые могут предоставить доступ к хост-системе. В связи с этим, не рекомендуется запускать Whonix-Workstation на том же компьютере, что и Whonix-Gateway.

В Whonix-Workstation по умолчанию предоставляется пользовательское окружение Xfce. В поставку включены такие программы, как VLC, Tor Browser (Firefox), Thunderbird+TorBirdy, Pidgin и т.д. В поставке Whonix-Gateway можно найти набор серверных приложений, в том числе Apache httpd, ngnix и IRC-серверы, которые могут использоваться для организации работы скрытых сервисов Tor. Возможен проброс поверх Tor туннелей для Freenet, i2p, JonDonym, SSH и VPN. Сравнение Whonix с Tails, Tor Browser, Qubes OS TorVM и corridor можно найти на данной странице. При желании, пользователь может обойтись только Whonix-Gateway и подключить через него свои обычные системы, в том числе Windows, что даёт возможность обеспечить анонимный выход для уже находящихся в обиходе рабочих станций.

Основные новшества:

  • Пакетная база дистрибутива обновлена до Debian 10 (buster);
  • Вместо KDE по умолчанию задействован рабочий стол Xfce;
  • Активированы настройки ядра Linux для усиления защищённости:
    • "kernel.kptr_restrict=1" (символы ядра /proc/kallsyms отдаются только root),
    • "kernel.dmesg_restrict=1" (ограничивает доступ к логам ядра),
    • "kernel.unprivileged_bpf_disabled=1" (запрещает непривилегированный доступ к BPF),
    • "net.core.bpf_jit_harden=2" (усиливает защиту JIT-компилятора),
    • "vm.mmap_rnd_bits=32" и "vm.mmap_rnd_compat_bits=16" (улучшает рандомизацию адресов для mmap),
    • Включен загрузочный параметр "slab_nomerge" (отключает слияние slabs одинакового размера).
    • Раздел /proc примонтирован с опцией "hidepid=2" в /etc/fstab (скрытие информации о процессах других пользователей);
  • В чёрный список блокировки загрузки модулей ядра добавлены обработчики редкоиспользуемых сетевых протоколов DCCP, SCTP, RDS и TIPC, в которых ранее находили опасные уязвимости;
  • В systemd по умолчанию включены настройки sandbox-изоляции unit-ов (PrivateTmp=true и PrivateHome=true);
  • Улучшен сбор энтропии для генератора псевдослучайных чисел (установлен пакет jitterentropy-rngd);
  • Добавлена защита от атак Spectre, Meltdown и L1 Terminal Fault;
  • В состав включена утилита kloak для блокирования идентификации пользователя по характеру ввода с клавиатуры;
  • Реализована поддержка работы в Live-режиме с размещением данных в оперативной памяти, а не на диске. Доступно два режима загрузки grub-live и ro-mode-init (автоматически включает Live-режим, если накопитель доступен только для чтения);
  • Сокращён размер образов для систем виртуализации (проведена оптимизация при помощи zerofree). Образ Whonix-Gateway уменьшен с 1.7 до 1.1 GB, а Whonix-Workstation c 2 до 1.3 GB.
  • Для пользователей VirtualBox подготовлена CLI-сборка без графического интерфейса. Компоненты Whonix-Gateway и Whonix-Workstation унифицированы в форме единого ova-образа;
  • Упрощена установка компонентов для ОС Qubes;
  • В Whonix KVM добавлена поддержка консоли через последовательный порт;
  • Добавлен порт для ARM64 и Raspberry Pi;
  • В основной состав включены приложения zulucrypt, qtox, onionshare, keepassxc и firejail. Добавлены прослойки для scurlget, curlget, pwchange, upgrade-nonroot, apt-get-noninteractive и apt-get-update-plus. Удалены mixmaster и ricochet;
  • Добавлена поддержка P2P-сети Bisq.


  1. Главная ссылка к новости (https://forums.whonix.org/t/wh...)
  2. OpenNews: Доступен Whonix 14, дистрибутив для обеспечения анонимных коммуникаций
  3. OpenNews: Выпуск Whonix 13, дистрибутива для обеспечения анонимных коммуникаций
  4. OpenNews: Проект Qubes выступил с новой инициативой сертификации безопасных ноутбуков
  5. OpenNews: Релиз ОС Qubes 4.0, использующей виртуализацию для изоляции приложений
  6. OpenNews: Йоанна Рутковская покинула проект Qubes и присоединилась к работе над платформой Golem
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/51009-whonix
Ключевые слова: whonix
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (56) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 14:55, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –4 +/
    > редкоиспользуемых
    > SCTP

    O, Rlly?

     
     
  • 2.12, Аноним (12), 16:53, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Вот и я об этом подумал.

    fixed: O, Really?

     
     
  • 3.59, Аноним (59), 17:02, 09/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    >O'Reilly

    double fixed

     
  • 2.30, Аноним (-), 01:43, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +10 +/
    > Вместо KDE по умолчанию задействован рабочий стол Xfce;

    Печалька и боль! *удалил нaxep со всех своих виртуалок*

     
     
  • 3.55, Аноним (-), 15:58, 05/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    держи нас в курсе
     
  • 3.57, Аноним (57), 09:40, 07/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так дистр позиционируется в разделе безопасность!

    А KDE со своим QML с JIT это другой раздел, несовместимы с безопасностью...

     

  • 1.2, Аноним (-), 15:13, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –6 +/
    Крыса вместо Кед по умлочаннию это регресс, но это можно изменить.

    В остальном это основная рабочая система. Почёт и уважение челокеку, которые в одно жало тянет этот (один из лучших) проект.

     
     
  • 2.7, Аноним (7), 16:21, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Для использования в Qubes XFCE даже лучше.
     
     
  • 3.10, Аноним (12), 16:51, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну хотя бы уж LXQt.
     
  • 2.18, Аноним (-), 19:20, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +4 +/
    Для VirtualBox Xfce тоже лучше.
     
  • 2.58, Аноним (57), 09:42, 07/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > Крыса вместо Кед по умлочаннию это регресс, но это можно изменить.

    Регрессии в безопасности это использования QML с JIT в кедых.

     

  • 1.3, товарищ Бендер (?), 15:50, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Хорошая штука. Но нужно быть слишком наивным, чтобы полагать, что она спасёт в случае серьёзной охоты. (А неуловимые Джо могут и без неё обойтись).
     
     
  • 2.8, Аноним (7), 16:22, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > в случае серьёзной охоты

    С ружьями и собаками?

     
     
  • 3.41, Аноним (41), 14:06, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    С медовой ловушкой и девочками.
     
  • 2.20, Гентушник (ok), 19:57, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    "Серьёзная охота" это крайность. Между ней и "неуловимым Джо" целая пропасть возможных вариантов, для части которых этот Whonix вполне подходит.
     
     
  • 3.37, Аноим (?), 07:20, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Например?
     
     
  • 4.40, Аноним (41), 14:05, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Например, самообман.
     

  • 1.9, Аноним (9), 16:49, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +7 +/
    Мамкины хацкеры, не забудьте задонатить проект. Взрослые дядьки ради вас стараются.
     
     
  • 2.17, Аноним (17), 18:28, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • –4 +/
    Угу, и Усама Бин Ладен пользуется...
     
     
  • 3.49, Аноним (49), 22:26, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Еще Бин Ладен пользуется туалетной бумагой и режет ножом колбасу.
    Все это нужно срочно запретить.
     

  • 1.11, Аноним (9), 16:53, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    В whonix-gateway утилита arm теперь называется nyx
     
     
  • 2.14, Пороноег (?), 17:59, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Не только в нём. Torproject её в своих репах переименовал ещё полтора года назад. https://blog.torproject.org/meet-nyx-command-line-tor-relay-monitor
     

  • 1.13, Аноним (12), 16:58, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    >Добавлен порт для ARM64 и Raspberry Pi;

    О, да, Raspberry Pi с VideoCore-блобом - комп для обеспечения анонимных коммуникаций.

     
  • 1.15, жека воробьев (?), 18:00, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    Не понял, как реализовано скрытие реального айпи рабочей станции "even malware with root privileges"?
     
     
  • 2.22, Гентушник (ok), 20:15, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Клиентская ОС выходит в интернет только через другую ОС (whonix-gateway).
    На whonix-gateway запущен Tor и весь трафик от клиентов перенаправляется в него.

    Таким образом, даже если клиентскую ОС поломают (например через браузер, а далее получат root через локальную уязвимость), то единственное что они смогут делать, это общаться по сети с whonix-gateway.
    Весь трафик адресованный в whonix-gateway будет заворачиваться в Тор, таким образом реальный IP не будет раскрыт.

    Конечно такая схема не идеальна:
    1) Теоретический можно взломать whonix-gateway через клиентскую ОС (если она уже взломана), но тут гораздо меньше векторов атаки
    2) Тайминг-атаки (ну это проблемы тора вообще)

     

  • 1.16, Аноним (17), 18:24, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Не, никаких тор, интернет только по паспортам!!!
     
     
  • 2.31, Аноним (-), 01:45, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • –3 +/
    В беларусии вроде ужо так давно, каменты под рил нейм.
     

  • 1.19, vantoo (ok), 19:30, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    В России вещь крайне необходимая.
     
  • 1.21, Павел Отредиез (?), 20:07, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Угу, инсталлируй выходной узел, и посмотрим как тебя посодють.
     
     
  • 2.24, Гентушник (ok), 20:17, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А зачем "инсталлировать выходной узел"? Для использования тора не обязательно включать exit node. Более того, такое поведение отключено по-умолчанию.
     
     
  • 3.26, Павел Отредиез (?), 20:36, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Я к тому что парня показательно чуть не посадили.
     
     
  • 4.27, Павел Отредиез (?), 20:44, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ладно, извиняюсь перед дистрибутивов, я не хотел антирекламы. Пилите ребята. Просто мир сложнее.
     
  • 2.32, Аноним (-), 01:46, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Мальчик, изучи матчасть!
     
  • 2.34, Аноним (-), 06:13, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну так зачем держать его дома? Анонимно оплачивать и обслуживать VPS не есть большая проблема.
     

  • 1.23, Anony (?), 20:16, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А эти параметры для ядра можно прописать в обычном Debian?
     
     
  • 2.25, Павел Отредиез (?), 20:32, 02/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Параноикам как я все можно:)
    Шютка.
     
  • 2.54, freehck (ok), 00:08, 05/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    > А эти параметры для ядра можно прописать в обычном Debian?

    А какие могут быть проблемы с этим? Берёшь ядро и пересобираешь, как тебе хочется.

     

  • 1.28, Товарищ майор (?), 23:15, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Эт, ребят, whonix не обеспечивает полной анонимности. Скачиваем и пользуем майорОС: новая ОС ориентированная на безопасность, анонимность, уважения прав верующих и народность. Безопасность достигается за счёт авторизации по гражданским паспортам и пропусканием всего траффика через серверы ФСБ и замены сертификатов на народные. Для анонимности используются отечественные  технологи записи видео и аудио с вебкамеры и микрофона, а так же сбор данных с устройств ввода эвм
     
     
  • 2.44, Константавр (ok), 16:42, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Сравнил... МайорОС написана не теми майорами :) Надо чтобы когда тебя посодют - это была страна сбычи мечт. Там когда на допросах бьют, звучит "Everybody wats Kung-fu fighting, Hu! Ha!", а у этих майоров до сих пор "Владимирский Централ". Неприятно.
     

  • 1.29, Аноним (29), 23:54, 02/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Анонимные анонимы подскажите анонимно сферу применения этого чуда науки и техники.  Без криминала. И заведомо мутных движений?
     
     
  • 2.33, Аноним (-), 01:48, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если у тебя только одно на уме, то видимо это судьба.
     
     
  • 3.39, Аноним (39), 13:02, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +1 +/
    так поделись что у тебя на уме?
     
     
  • 4.50, Аноним (49), 22:31, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    У меня на уме то что в твои штаны майор залез.
     
  • 2.35, Аноним (-), 06:18, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Аниме смотреть
     
     
  • 3.38, Аноним (39), 11:10, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    То то и оно)
     
  • 2.42, Аноним (42), 14:12, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    - Согласование побегов женщин (добровольных!) из Ирана/Саудовской Аравии/ОАЭ в условиях чуть ли не маячков на руках у Саудитов, целые организации правозащитников этим занимаются в Европе.
    - Согласование протестных акций, особенно в странах где они формально полностью легальны - из последнего Гонконг и Грузия. Никакого криминала, это законно, несмотря на как раз-таки незаконные обрывания связи и мониторинг сети.
    - Согласование финансов, финансирование бизнеса/инвестиции в санкционные страны (Крым/Иран/etc) бизнесами из США и Европы (вполне актуально), абстрагирование бизнес-интересов от политики.
     
     
  • 3.47, Аноним (-), 22:22, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Неоправдано забыто такое применение, как торговля оружием и наркотой госструктурами разных стран + шпионская деятельность
     
     
  • 4.52, Аноним (42), 14:26, 04/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Так попросили без криминала и мутных движений)

    Стреляет не оружие, стреляет человек. Технология не ставится негативной, если вы видите лишь ее негативные применения.

     

  • 1.36, Аноним (36), 06:29, 03/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > В Whonix-Workstation по умолчанию предоставляется пользовательское окружение Xfce.

    Опаньки! Я видно, что-то пропустил - а давно ли автор добавил XFCE в Whonix?
    Из-за монстроидального KDE я неохотно использовал Whonix, а теперь, c XFCE стало намного интереснее!

    > В связи с этим, не рекомендуется запускать Whonix-Workstation на том же компьютере, что и Whonix-Gateway.

    А это совсем непонятно... Раньше таких официальных рекомендаций не было, да и сейчас нет - чья это отсебятина?

    Где же тогда запускать Whonix-Workstation - еще на одном компе, где запущен еще один VirtualBox или KVM, а уже в нем Whonix-Workstation ?
    Жирновато будет, однако :(

     
     
  • 2.45, Аноним (36), 18:30, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Блин, как срач устроить в опеннете - так пожалуйста, как ответить на грамотный вопрос - так языки в одно место!
     
     
  • 3.48, Аноним (-), 22:25, 03/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Такая рекомендация была всегда. В манах как раньше так и сейчас
     
     
  • 4.51, Аноним (36), 03:10, 04/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    Ну и когда запилили XFCE вместо сраных кедов?
    По новостям офсайта эту красную дату установить не удалось.


     
     
  • 5.56, Аноним (-), 21:51, 05/07/2019 [^] [^^] [^^^] [ответить]  
  • +/
    С 14.0.0.9.9
     

  • 1.46, EnemyOfDemocracy (?), 21:31, 03/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    О, круто, сейчас скачаю пойду свергать режим Трампа.
     
  • 1.53, Аноним (53), 19:08, 04/07/2019 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Whonix-Gateway с графическим интерфейсом?
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру