The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Доступен Whonix 17, дистрибутив для обеспечения анонимных коммуникаций

21.07.2023 22:17

Опубликован релиз дистрибутива Whonix 17, нацеленного на предоставление гарантированной анонимности, безопасности и защиты частной информации. Дистрибутив основан на Debian GNU/Linux и использует Tor для обеспечения анонимности. Наработки проекта распространяются под лицензией GPLv3. Для загрузки подготовлены образы виртуальных машин в формате ova для VirtualBox (2 ГБ c Xfce и 1.3 ГБ консольный). Образ также может быть сконвертирован для использования с гипервизором KVM.

Особенностью Whonix является разделение дистрибутива на два отдельно запускаемых компонента - Whonix-Gateway с реализацией сетевого шлюза для анонимных коммуникаций и Whonix-Workstation с рабочим столом. Оба компонента поставляются внутри одного загрузочного образа. Выход в сеть из окружения Whonix-Workstation производится только через шлюз Whonix-Gateway, что изолирует рабочее окружение от прямого взаимодействия с внешним миром и допускает использование только фиктивных сетевых адресов. Подобный подход позволяет защитить пользователя от утечки реального IP-адреса в случае взлома web-браузера и даже при эксплуатации уязвимости, дающей атакующему root-доступ к системе.

Взлом Whonix-Workstation позволят атакующему получить только фиктивные сетевые параметры, так как реальный IP и параметры DNS скрыты за границей сетевого шлюза, работающего на базе Whonix-Gateway, который направляет трафик только через Tor. При этом следует учитывать, что компоненты Whonix рассчитаны на запуск в форме гостевых систем, т.е. не исключена возможность эксплуатации критических 0-day уязвимостей в платформах виртуализации, которые могут предоставить доступ к хост-системе. В связи с этим, не рекомендуется запускать Whonix-Workstation на том же компьютере, что и Whonix-Gateway.

В Whonix-Workstation по умолчанию предоставляется пользовательское окружение Xfce. В поставку включены такие программы, как VLC, Tor Browser, Thunderbird+TorBirdy, Pidgin и т.д. В поставке Whonix-Gateway можно найти набор серверных приложений, в том числе Apache httpd, ngnix и IRC-серверы, которые могут использоваться для организации работы скрытых сервисов Tor. Возможен проброс поверх Tor туннелей для Freenet, i2p, JonDonym, SSH и VPN. Сравнение Whonix с Tails, Tor Browser, Qubes OS TorVM и corridor можно найти на данной странице. При желании, пользователь может обойтись только Whonix-Gateway и подключить через него свои обычные системы, в том числе Windows, что даёт возможность обеспечить анонимный выход для уже находящихся в обиходе рабочих станций.

Основные изменения:

  • Пакетная база дистрибутива обновлена c Debian 11 до Debian 12.
  • Tor Browser обновлён до ветки 12.5.
  • Для обеспечения работы Tor задействованы пакеты с Tor из штатного репозитория Debian, а не пакеты из внешнего репозитория проекта Tor.
  • По умолчанию задействована командная оболочка zsh.
  • Для создания образов initramfs задействован Dracut вместо initramfs-tools. Из достоинств Dracut отмечается возможность автоматически определять необходимые модули и работать без отдельного конфигурирования.
  • Переименованы шаблоны для ОС Qubes: whonix-gw-16 в whonix-gateway-17, whonix-ws-16 в whonix-workstation-17.


  1. Главная ссылка к новости (https://forums.whonix.org/t/wh...)
  2. OpenNews: Проект TFC развивает параноидально защищённую систему обмена сообщениями
  3. OpenNews: Выпуск реализации анонимной сети I2P 2.3.0 с устранением уязвимости
  4. OpenNews: Релиз ОС Qubes 4.1, использующей виртуализацию для изоляции приложений
  5. OpenNews: Доступен Whonix 16, дистрибутив для обеспечения анонимных коммуникаций
  6. OpenNews: Релиз Debian 12 "Bookworm"
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/59477-whonix
Ключевые слова: whonix, tor
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (23) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 22:34, 21/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Рекомендую всем прописать well-known whonix machine-id, чтобы у нас у всех был одинаковый machine-id:

    echo b08dfa6083e7567a1921a715000001fb > /etc/machine-id

     
     
  • 2.3, Аноним (3), 22:39, 21/07/2023 [^] [^^] [^^^] [ответить]  
  • +12 +/
    Рекомендую так не делать, так как это сразу идентифицирует пользователя как "анонима" опеннета.
     
     
  • 3.4, Аноним (1), 23:04, 21/07/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    лучше, если это будет "один из сотни анонимов", чем "вот этот конкретный вася из саратова"
     
     
  • 4.5, Аноним (5), 23:35, 21/07/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    - machine-id не едет наружу, если этого явно не захотеть
    - Если бы даже и ехал
      - id с опеннета уже позволяет идентифицировать вас как принадлежащего к группе анонимов с опеннета, а это очень небольшая группа по сравнению с множеством всех рандомных id.
      - Статический id позволяет ещё и сопоставить несколько сессий между собой. Вкупе с другими факторами это очень вероятная идентификация.
     
     
  • 5.11, Аноним (1), 00:21, 22/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > machine-id не едет наружу

    Едет. У хромиума едет не напрямую, но все равно по нему можно идентифицировать: https://chromium.googlesource.com/chromium/src/+/main/chrome/browser/policy/br

    > id с опеннета
    > вас как принадлежащего к группе анонимов с опеннета

    Это не "id с опеннета", это всемирно-известный machine-id, сгенерированный и опубликованный whonix (сабж). Погугли.

    > Статический id

    По динамическому machine-id в системе отваливается куча всего, например journald, который считает журналы предыдущих загрузок как "какие-то левые, не принадлежащие этой машине".

     
     
  • 6.12, Аноним (-), 00:38, 22/07/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > По динамическому machine-id в системе отваливается куча всего,
    > например journald, который считает журналы предыдущих загрузок как
    > "какие-то левые, не принадлежащие этой машине".

    1) Это подразумевает что вы пользовались journald. Если вы озабочены вон тем, вы точно этого вообще хотели? Идея вести черный ящик на самого себя в слвчае если это роялит априори спорная. Может, лучше было "systemctl mask systemd-journald" сделать? :)
    2) Если вы таки хотите юзать journald, он может работать как с логами в RAM так и в /var. В первом случае они после ребута не сохраняются и можно при старте или шатдауне рандомизацию ID запилить - и ничего за это не будет, соответственно. Левые журналы в RAM уж точно не останутся.
    3) Если все же хочется персистентный журнал, можно удалять все что != текушему machine ID наконец. Или вы собрались устроить из себя анонимуса - сохранив однако досье на полгода? Это довольно странная идея, я б сказал :)

    А well known ID имеет как плюсы, так и определенный минус: это как DNT хидер в браузере, сразу палит что это не просто очередной посетитель, что как бы несколько портит изначальную идею затеряться в толпе. Толпа получается заметно меньшего размера.

     
     
  • 7.14, Аноним (1), 01:12, 22/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > вести черный ящик на самого себя

    При шифрованном диске не актуально.

    > это как DNT хидер в браузере

    Неверно. DNT -- это дополнительный признак к существующим (куки, localStorage...). А я говорю, чтобы попортить единственный признак -- machine-id. Предположим, к тебе зашел посетитель с machine-id = 12345, а через месяц снова зашел посетитель с machine-id = 12345. Что мы можем сказать? Что это был один и тот же человек, ибо machine-id генерится локально, он уникален в пределах планеты. А теперь возьмем тот же случай, но machine-id = WHONIX. Что мы можем сказать? А ничего. Может один и тот же человек, а может и разные, указавшие один и тот же well-known id.

     
     
  • 8.16, Аноним (-), 04:22, 22/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Да А как насчет adversary который подломит вашу систему в run time - и получит ... большой текст свёрнут, показать
     
  • 6.15, Аноньимъ (ok), 02:09, 22/07/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    >По динамическому machine-id в системе отваливается куча всего, например journald, который считает журналы предыдущих загрузок как "какие-то левые, не принадлежащие этой машине".

    Мда, кто SystemD пользовался, тот в цирке не смеётся.

     
     
  • 7.17, Аноним (-), 04:29, 22/07/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Мда, кто SystemD пользовался, тот в цирке не смеётся.

    Опять же - не все так просто. Скажем файлухи обычно имеют уникальные UUID/серийники, и такая фигня еще со времен лохматого FAT.

    Это чтобы при монтировании вообще их различать между собой, потому как порядок энумерации девайсов - вилами по воде писан, особенно если это делать паралелльно и асинхронно. И если монтировать по имени девайса, фигня получится. А по UUID или label - вполне себе. Сие однако ж тоже может быть идентификатором системы. И видно софту. Также актуально для понимания "с какой фс этот образ?" и так далее.

    Так что системд ничего нового в эти процессы не привнес, просто "management" ID которым можно относительно уникально референсить допустим конкретную виртуалку. По примерно тем же причинам что и вон там UUID/серийник ФС, или мак-адреса у сетевок какой.

     
  • 6.20, Аноним (20), 13:09, 22/07/2023 [^] [^^] [^^^] [ответить]  
  • +/

    > опубликованный whonix (сабж). Погугли.

    Почему они не автоматизируют эту замену у конечного пользователя??

     
  • 6.23, Аноним (23), 14:32, 22/07/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Кому приватность нужна - те хромиумом не пользуются. А раз пользуешься - значит не нужна.
     
  • 6.30, Aalexeey (?), 20:05, 24/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Viber отвалится и каждую новую сессию будет просить активацию. Ему с 10й версии нужен постоянный machine-id. С постоянным machine-id он годами может работать без активаций и обновлений.
     
  • 3.13, Аноним (-), 00:43, 22/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Рекомендую так не делать, так как это сразу идентифицирует
    > пользователя как "анонима" опеннета.

    Это технически неверная информация. Скажем гайд на https://www.reddit.com/r/linux4noobs/comments/154gq4u/guide_to_installing_fedo предлагает юзать такой же идентификатор. Там про федору какую-то и это вообще, реддит а не опеннет. Т.к. анонимусов будет энное количество - и не опеннетовских. Но это как раз well known ID.

     
  • 2.6, Аноним (5), 23:37, 21/07/2023 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Хорошая попытка, товмайор либо абсолютно некомпетентный пользователь, но нет.
     

  • 1.2, Аноним (2), 22:37, 21/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    А что они не интегрируют наработки того проекта, где 3 машины соеденены сетевыми кабелями, у которых чать проводников перерезана, так что один из кабелей работает только на вход, а другой - только на выход?
     
     
  • 2.7, Аноним (5), 23:37, 21/07/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Чтобы что?
     
     
  • 3.9, Анонимусс (?), 00:11, 22/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Возможно имелся в виду этот проект https://github.com/maqp/tfc или аналогичный.
    Используется data diode для отделения ввода и шифрования от дешифровки.
     
  • 3.10, Анонимусс (?), 00:18, 22/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Забавно, оно уже было тут https://www.opennet.ru/opennews/art.shtml?num=52305
    Правда давненько))
     

  • 1.21, Аноним (20), 13:52, 22/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    >  задействована командная оболочка zsh.

    Чем она лучше остальных?
    В Rfli тоже вроде она

     
     
  • 2.22, Аноним (20), 13:52, 22/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    в Kali
     
  • 2.31, нейм (?), 14:14, 27/07/2023 [^] [^^] [^^^] [ответить]  
  • +/
    тем что ты не можешь просто пользовать астериск в командах и каждый раз вынужден через фразу "дайожтвоюмать" доставать команду из истории, экранировать клятые звездочки и слать её заново

    очень удобно и современно, не поддерживаешь - луддит

     

  • 1.27, Аноним (27), 11:36, 23/07/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > Возможен проброс поверх Tor туннелей для Freenet, i2p, JonDonym, SSH и VPN.

    Как там в Tor с анонимностью и безопасностью сегодня?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру