TAILS распространяется в форме немодифицируемого Live-CD не только для защиты от троянов и от возможных утечек конфиденциальных данных при получении физического доступа к машине, но и для банальной «защиты от дурака». Разработчики не могут быть уверены, что пользователь корректно настроит каждое установленное им приложение и не спровоцирует утечку данных или раскрытие своего IP. А если систему нельзя менять, то и проблема пропадает сама собой.
Whonix, с другой стороны, изначально разрабатывался с оглядкой на возможность модификации системы и «настройки под себя», поэтому, кроме используемых в TAILS методов защиты от утечек и фингер-принтинга, здесь так же реализована довольно интересная архитектура с применением виртуализации.
Whonix распространяется в двух образах VirtualBox: один играет роль шлюза в глобальную сеть через Tor, а второй — это рабочая машина с браузером, email-клиентами и другим софтом, в том числе тем, который можно установить из репозиториев. Оба образа основаны на Debian.
Единственный способ выйти во внешний мир для рабочей машины с этой ОС— это шлюз, единственный путь трафика во внешний мир из шлюза и обратно — через сеть Tor. Неважно, насколько протекающий софт ты установишь на рабочую машину, он все равно тебя не выдаст.
Получить доступ к интернету в обход Tor никакое приложение здесь попросту не сможет, IP-адрес приложение увидит только локальный, именем пользователя для него будет просто user (мы не рекомендуем его менять), а информацией о железе — стандартная конфигурация VirtualBox.
Вас не удастся отследить даже по временной зоне, часы здесь настроены на UTC, а для синхронизации времени используются time stamp’ы HTTP-заголовков, отдаваемых случайно выбранным веб-серверам.
Самая же интересная черта данной системы в том, что она вовсе не требует, чтобы вы использовали именно рабочую машину Whonix. Главный компонент здесь — это шлюз, к которому можно подцепить любую другую запущенную в виртуалке ОС, будь то Ubuntu, Windows или OS X, и получить почти такой же уровень защиты от отслеживания.
Почти такой же, потому что кроме графического окружения и набора приложений, рабочая машина Whonix включает в себя набор инструментов и настроек, позволяющих защитить вас от отслеживания с помощью сравнения типов трафика на выходных узлах Tor (identity correlation through Tor circuit sharing) и определения настроек твоих часов и uptime’а через NTP и метки времени TCP/ICMP (все это подробно описано на wiki-странице Whonix).
Первая задача здесь решается с помощью изоляции потоков (stream isolation), все поставляемое в комплекте рабочей машины ПО заранее настроено на использование разных портов Tor (SocksPort) и враппера uwt, перенаправляющего трафик на разные Tor-порты, если же приложение само не предоставляет такой возможности (используется для apt-get, cURL, Git и других консольных инструментов).
Поэтому трафик всех приложений идет через разные цепочки Tor-узлов на разные выходные узлы.
Вторая проблема решается с использованием утилиты sdwdate, которая синхронизирует часы не через NTP, а обращаясь к случайно выбранным серверам.
Whonix поддерживает любые виды туннелирования трафика Tor через VPN/SSH (или наоборот).
Эта функция может очень пригодиться, если твой провайдер блокирует Tor (в этом случае VPN-клиент устанавливается на шлюз и Tor использует его для связи с другими узлами), или для скрытия трафика уже после того, как он покинул выходной узел Tor (VPN-клиент устанавливается на рабочую машину, так что Tor роутит уже зашифрованный трафик).
Так же затронем два не очевидных момента:
Шлюз и рабочая станция Whonix никогда не подключаются к интернету напрямую и используют Tor даже для обновления пакетов из сетевых репозиториев. Поэтому вам стоит сразу приготовиться к довольно значительному проседанию скорости.
Второй момент — шлюз совсем не обязательно запускать с графическим интерфейсом, который будет понапрасну жрать вашу оперативку. Более того, здесь есть механизм, автоматически загружающий шлюз в текстовом режиме, если в настройках виртуалки выделить машине 192 Мбайт.
Чтобы сделать это, достаточно кликнуть правой кнопкой на "Whonix-Gateway", выбрать "Settings" и на вкладке "System" сдвинуть ползунок до значения 192.
В итоге вы ничего не потеряете, так как все, что позволяет сделать графический интерфейс, — это просто перезапустить Tor кликом мыши, отредактировать настройки брандмауэра и запустить интерфейс мониторинга Tor под названием arm (а он текстовый).
TAILS: The Amnesic Incognito Live System
Tails - это дистрибутив Debian, разработанный для защиты личности пользователей в Интернете и обеспечения анонимности.
Поскольку дистрибутив изначально был разработан для обеспечения конфиденциальности и анонимности, он отличается от других операционных систем сразу в нескольких областях:
Tails заставляет все интернет-соединения проходить через сеть Tor.
Дистрибутив подключается к оборудованию компьютера, но не использует операционную систему или дисководы. Это означает, что на вашем компьютере нет постоянной записи о вашей деятельности. После того, как вы извлечете USB-накопитель Tails или перезагрузите компьютер, вы не сможете сказать, что дистрибутив использовался там.
Tails поставляется с современной технологией шифрования.
За счет чего ПО обеспечивает нам безопасность?
Во-первых, дистрибутив обеспечит вас надежной защитой от PGP и OTR для безопасной связи.
Во-вторых, автоматическим использованием HTTPS при посещении веб-сайтов.
В-третьих, возможностью шифровать файлы на USB-накопителе.
И наконец, со всеми этими функциями конфиденциальности и анонимности вы можете буквально носить его в кармане.
Обычно дистрибутив хранит данные только до тех пор, пока вы не выключитесь.
Но если вы используете Tails на USB-накопителе с дополнительным доступным пространством, вы сможете создать постоянное хранилище.
У создания постоянного хранилища так же есть свои плюсы и минусы, и команда Tails в большинстве случаев не советует делать это.
Если вам нужно надежно хранить данные, создайте зашифрованную флешку с двойным дном при помощи VeraCrypt.
ВЫВОД:
При всех своих странностях и неоднозначности, ОС из данного списка определенно стоят внимания любого, кто хочет обеспечить свою анонимность в Сети. Ну и конечно же, всегда стоит помнить, что абсолютной анонимности не существует. Если надо — вас найдут. Используйте многослойную защиту, будьте осторожны и следите за своими действиями в сети.
