Доступен Whonix 14, дистрибутив для обеспечения анонимных коммуникаций

08.08.2018 18:43

После более двух лет разработки представлен релиз дистрибутива Whonix 14, нацеленного на предоставление гарантированной анонимности, безопасности и защиты частной информации. Загрузочные образы Whonix сформированы для VirtualBox, KVM и для использования в операционной системе Qubes. Образ гостевой системы Whonix-Gateway занимает 1.7 GB, а Whonix-Workstation - 2 GB. Наработки проекта распространяются под лицензией GPLv3.

Дистрибутив основан на Debian GNU/Linux и использует Tor для обеспечения анонимности. Особенностью Whonix является разделение дистрибутива на два отдельно устанавливаемых компонента - Whonix-Gateway с реализацией сетевого шлюза для анонимных коммуникаций и Whonix-Workstation с рабочим столом. Выход в сеть из окружения Whonix-Workstation производится только через шлюз Whonix-Gateway, что изолирует рабочее окружение от прямого взаимодействия с внешним миром и допускает использование только фиктивных сетевых адресов. Подобный подход позволяет защитить пользователя от утечки реального IP-адреса в случае взлома web-браузера и даже при эксплуатации уязвимости, дающей атакующему root-доступ к системе.

Взлом Whonix-Workstation позволят атакующему получить только фиктивные сетевые параметры, так как реальный IP и параметры DNS скрыты за границей сетевого шлюза, который направляет трафик только через Tor. При этом следует учитывать, что компоненты Whonix рассчитаны на запуск в форме гостевых систем, т.е. не исключена возможность эксплуатации критических 0-day уязвимостей в платформах виртуализации, которые могут предоставить доступ к хост-системе. В связи с этим, не рекомендуется запускать Whonix-Workstation на том же компьютере, что и Whonix-Gateway.

В Whonix-Workstation по умолчанию предоставляется пользовательское окружение KDE. В поставку включены такие программы, как VLC, Tor Browser (Firefox), Thunderbird+TorBirdy, Pidgin и т.д. В поставке Whonix-Gateway можно найти набор серверных приложений, в том числе Apache httpd, ngnix и IRC-серверы, которые могут использоваться для организации работы скрытых сервисов Tor. Возможен проброс поверх Tor туннелей для Freenet, i2p, JonDonym, SSH и VPN. Сравнение Whonix с Tails, Tor Browser, Qubes OS TorVM и corridor можно найти на данной странице. При желании, пользователь может обойтись только Whonix-Gateway и подключить через него свои обычные системы, в том числе Windows, что даёт возможность обеспечить анонимный выход для уже находящихся в обиходе рабочих станций.

Основные новшества:

Пакетная база дистрибутива обновлена до Debian 9 (stretch);
Прекращено формирование 32-разрядных сборок, начиная с Whonix 14 теперь публикуются только 64-разрядные сборки (amd64);
Добавлен новый мастер настройки анонимного соединения Anon Connection Wizard для упрощения подключения к сети Tor через Tor bridge или прокси (выполняет функции похожие на Tor-launcher);
Добавлена поддержка Tor-транспорта meek_lite, существенно упрощающего подключение к tor в странах с жесткой цензурой. Для обхода блокировок транспорт meek использует проброс через крупные СDN и облачные платформы, такие как Microsoft Azure;
В поставку по умолчанию добавлено приложение Onioncircuits с реализацией GTK-интерфейса для наглядного отображения цепочек и потоков Tor;
Из Tails перенесена программа onion-grater для обеспечения совместимости OnionShare, Ricochet и Zeronet с Whonix;
В качестве приоритетных источников загрузки обновлений теперь используются onion-сервисы;
Примерно на 35% сокращён размер образов для VirtualBox (.ova) и KVM (.qcow2), благодаря применению zerofree;
Инструментарий Tor обновлён до выпуска 3.3.3.7. Обеспечена полная поддержка третьей версии протокола скрытых сервисов;
Реализован пакет grub-live, позволяющий запустить Whonix в качестве live-системы на платформах, отличных от Qubes-Whonix;
Для повышения защищённости усилены профили AppArmor для Tor Browser, obfsproxy и других приложений.

исправить +20 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/49101-whonix

Ключевые слова: whonix, tor

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (39)

1.1, Аноним (-), 20:32, 08/08/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
домен фронтинг прикрыли как минимум в гугловом CDN насколько я помню

1.2, Девид Блейн (?), 23:01, 08/08/2018 [ответить] [﹢﹢﹢] [ · · · ]	+14 +/–
А вот и тяжелая артиллерия подъехала. :) Роскомпозор здесь не просто рыдает кровавыми слезами, а люто-яростно беснуется! Ибо против Whonix вообще ни одна тема не канает. Поверьте мне, я с этой системой не по наслышке знаком.

2.7, Аноним (7), 06:42, 09/08/2018 [^] [^^] [^^^] [ответить]	+9 +/–
>Роскомпозор здесь не просто рыдает кровавыми слезами Напротив - ехидно улыбается и потирает потные ручонки в ожидании выгод. Это ж можно запросить ЕЩЕ ДЕНЕГ из бюджетной кормушки, ради "исполнения" блокировочек.

2.8, псевдонимус (?), 07:07, 09/08/2018 [^] [^^] [^^^] [ответить]	–1 +/–
Тор можно почти целиком забанить,как это сделали в туркмении.

3.19, псевдонимус (?), 15:19, 09/08/2018 [^] [^^] [^^^] [ответить]	–3 +/–
Повторюсь для неумного человека,который "всегда берёт тайлс и торбраузер". ДПИ рубит всю эту ерунду на корню,за исключением хитрых из-ов,которые знают полтора сисадмина,которые неинтересны репрессивной машине государства.Никто из "нормальных" людей не будет общаться на скорости 9600 бод. Даже на 64 килобит не будет. Хреново решаются административные проблемы техническими средствами.

3.20, псевдонимус (?), 15:28, 09/08/2018 [^] [^^] [^^^] [ответить]	–4 +/–
Макаки-минусовщики,скачайте снифер и запустите "неуязвимый" торбраузер.Он(торбраузер)неплохо работает при чтении какой-нибудь википедии,как только смотришь тытуб или порнуху аномалии видны невооружённым глазом.Примерно так его и банят в китае. Альтернатива - 9600 - 64000 бод(зато секурно).

4.25, псевдонимус (?), 23:40, 09/08/2018 [^] [^^] [^^^] [ответить]	–5 +/–
Макаки,поправьте меня.Что то нечего вам сказать.В случае чебурнета вы сделать ничего не сможете(глобальный наблюдатель против которого тор не заточен,о чём и говорится в документации).

5.37, псевдонимус (?), 11:14, 12/08/2018 [^] [^^] [^^^] [ответить]	+/–
Макака, которая всегда "берёт тайлс и торбраузер", скажи что нибудь. Унылым чинушам из роскомпозора плевать на ваши извращения,как плевать на "уточек"(был на вашем убогом миинге) и прочие недомемы.

2.12, Аноним (12), 10:25, 09/08/2018 [^] [^^] [^^^] [ответить]	–1 +/–
С надзором ты знаком или с кем?

2.14, Ага (?), 11:29, 09/08/2018 [^] [^^] [^^^] [ответить]	+/–
К вам уже едут :)

3.17, Аноним (-), 13:24, 09/08/2018 [^] [^^] [^^^] [ответить]	+2 +/–
Долго ехать придется... яб сказал даже лететь)

1.3, Некромант (?), 23:10, 08/08/2018 [ответить] [﹢﹢﹢] [ · · · ]	+7 +/–
> Прекращено формирование 32-разрядных сборок, начиная с Whonix 14 теперь публикуются только 64-разрядные сборки (amd64); Некроманты негодовать! Заклинаю...

1.4, Некромант (?), 23:11, 08/08/2018 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
> Из Tails перенесена программа onion-grater для обеспечения совместимости OnionShare, Ricochet и Zeronet с Whonix; А вот это хорошо, Zeronet классная штука, многие друзья по склепу приобщились. В Zeronet светло и уютно, много живых и общительных...

2.10, 123 (??), 09:02, 09/08/2018 [^] [^^] [^^^] [ответить]	+/–
Zeronet хорош, чатики живые, пиратский контент, но имеет смысл только под луковой сетью.

1.5, Аноним (5), 01:34, 09/08/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>не исключена возможность эксплуатации критических 0-day уязвимостей в платформах виртуализации ... и железе с crossvm side channel атаками. Тот же призрак.

1.6, Аноним (5), 01:36, 09/08/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>Для обхода блокировок транспорт meek использует проброс через крупные СDN и облачные платформы, такие как Microsoft Azure; То есть амазон выпилил domain fronting, google выпилил, а M$ теперь - лучший друг обходящих цензуру? С такими друзьями...

2.9, 123 (??), 09:01, 09/08/2018 [^] [^^] [^^^] [ответить]	–1 +/–
>амазон выпилил domain fronting, google выпилил, а M$ теперь - лучший друг обходящих цензуру 2018 год на дворе, Гулаг уже давно как получили титул главной корпорации зла, шпионящей за всем и всеми, а Майкрософт один из немногих крупных корпоративных игроков реально поддерживающих СПО.

3.13, abi (?), 11:12, 09/08/2018 [^] [^^] [^^^] [ответить]	+1 +/–
С такой поддержкой и корпорации зла не нужны

3.15, aaa (??), 12:00, 09/08/2018 [^] [^^] [^^^] [ответить]

–2 +/–

> Гулаг уже давно как получили титул главной корпорации зла, шпионящей за всем и всеми

Windows 10 отправляет в интернет все что только можно. Даже если продвинутый пользователь выключит слежку, большинство его знакомых останутся под наблюдением. Гугл делает то же самое на андроиде, но мобильные телефоны (GSM) сами по себе сомнительны в плане приватности.

> Майкрософт один из немногих крупных корпоративных игроков реально поддерживающих СПО

"Embrace, Extend, and Extinguish" отношении СПО.
"Не можешь победить - возглавь" в случае покупки Github.

4.16, Аноним (-), 12:41, 09/08/2018 [^] [^^] [^^^] [ответить]	+/–
> но мобильные телефоны (GSM) сами по себе сомнительны в плане приватности. Да! Особенно если заказывать ка-набис для напокурить на съезде грузинской партии "Шишка" в дополнение к шашлыкам и пиву, сидя за компьютером в центре города примерно посередине трех или более базовых станций (GSM), и ждать SMS с подтверждением заказа. Вот это будет очень приватно! В вашу сторону уже выехали180)

4.18, 123 (??), 14:49, 09/08/2018 [^] [^^] [^^^] [ответить]	+/–
>Даже если продвинутый пользователь выключит слежку, большинство его знакомых останутся под наблюдением LTSB, Server, iot редакции для кого придумали?

4.21, Тузя (ok), 16:45, 09/08/2018 [^] [^^] [^^^] [ответить]

+4 +/–

> но мобильные телефоны (GSM) сами по себе сомнительны в плане приватности.

Нет там ничего сомнительного. Они НЕ приватны и никогда такими не были.
А пакет Яровой обязывает операторам писать все звонки, хранить несколько лет и выдать их через красивую вебку всем без суда и следствия, в том числе продаванам услуг и рекламным аналитикаи.

Когда разговариваете по мобильному, представьте себя на трибуне перед слушателями с блокнотами и диктофонами. Если это делается ради борьбы с терроризмом, то терроризм давно победил.

1.22, Аноним (-), 19:52, 09/08/2018 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Все конечно круто но почему шлюз весит 1.7гига? Сам тайлс пользую, пока хватает, заинтересовался вот вхониксом, но блин... шлюз на 1.7гига! там что гном+кеды+весь опенофис? Ведь нормальный шлюз это минимальный линукс + тор + настроенный iptables и все... это все в 400мб уложить можно...

2.23, 1 (??), 20:50, 09/08/2018 [^] [^^] [^^^] [ответить]	–1 +/–
Поддерживаю. Функциональный образ debian stretch на основе debootstrap --variant=minbase весит 182 МБ. Укладывается даже в 200 метров.

2.29, Аноним (29), 23:21, 10/08/2018 [^] [^^] [^^^] [ответить]	+/–
"Это всё" должно укладываться в 15Мб флэша роутера, и чтоб ещё и место под конфиги оставалось. Даже интересно что же туда понапихали такого....

1.26, Аноним (26), 16:32, 10/08/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Что лучше, это или Tails?

2.32, AnonPlus (?), 13:26, 11/08/2018 [^] [^^] [^^^] [ответить]	+2 +/–
Whonix безопаснее (за счёт прослойки в виде шлюза). Плюс шлюз можно использовать и просто как способ "направить весь трафик через Tor без необходимости трогать настройки рабочей системы".

3.43, Хуникс (?), 14:01, 11/09/2018 [^] [^^] [^^^] [ответить]	+/–
А есть инструкция,как пустить трафик рабочей системы, например Убунту, через Гейт хуникса?

1.27, 0309 (?), 21:28, 10/08/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
я юзал Whonix мне не понравиллся, я не понимаю нафиг он нужен, VPN купил помне так удобне, кто в теме?

2.31, Аноним (29), 23:28, 10/08/2018 [^] [^^] [^^^] [ответить]	+/–
В случае с ВПН твой "реальный IP" будет намного проще обнаружить. Плюс впн проще блокировать.

3.33, 0309 (?), 18:17, 11/08/2018 [^] [^^] [^^^] [ответить]	+/–
В случае с ВПН твой "реальный IP" будет намного проще обнаружить Я сомневаюсь. врядли я хоть камуто нужен. Плюс впн проще блокировать - да что то не блокируют вообще ниразу, и тор я пользовался никто не блокируют

1.28, Гектор (?), 22:15, 10/08/2018 [ответить] [﹢﹢﹢] [ · · · ]	–2 +/–
Умные все... по-отдельности.Вы-же учились и что-то умеете,возьмите netinstall дебиана и соберите хоть что-то!Я слесарем работаю,система без пульсы и системд. Неужели,действительно "Страна дураков" у нас? Нахрена нам мутные роса и альт,если Вы учились и можете?

2.30, Аноним (29), 23:23, 10/08/2018 [^] [^^] [^^^] [ответить]	+/–
Можем. Но лень.

1.36, Аноник (?), 10:31, 12/08/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Критика, нытьё, а какое-то мнение будет? Кто пробовал то?

2.38, псевдонимус (?), 11:26, 12/08/2018 [^] [^^] [^^^] [ответить]	+/–
Пробовал,работает. Большой плюс этого дистра в том, что он обладает подробной документацией(можешь собрать себе на любой базе,даже не линукс).

3.40, Аноник (?), 19:27, 14/08/2018 [^] [^^] [^^^] [ответить]	+/–
Вот спасибо за отзыв. Я поставил тоже, убрал КЕДы(не люблю их) вроде все пашет. Единственное, мессенджер Рикошет не запускается, не знаю в чём проблема?

4.42, million (?), 07:41, 24/08/2018 [^] [^^] [^^^] [ответить]	+/–
приветю.можешь помочь разобраться?

1.39, Аноним (39), 19:01, 14/08/2018 [ответить] [﹢﹢﹢] [ · · · ]

+/–

> При этом следует учитывать, что компоненты Whonix рассчитаны на запуск в форме гостевых систем,
> т.е. не исключена возможность эксплуатации критических 0-day уязвимостей в платформах виртуализации, которые могут предоставить доступ к хост-системе.
> В связи с этим, не рекомендуется запускать Whonix-Workstation на том же компьютере, что и Whonix-Gateway.

С сожалению, раньше не знал о такой рекомендации, и запускал обе компоненты Whonix на одном компьютере.

Можете описать механизм действия и последствия 0-day уязвимостей, если продолжать эксплуатцию Whonix на одном компьютере?

1.41, Million (?), 22:17, 23/08/2018 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Ребята . Установил и ничего не понял в новом хуниксе , ничего не ясно ! Кто может помочь настроить машины за символическую плату завтра в тим вьювере ? Напишите в телегу @million lololo

игнорирование участников | лог модерирования

Добавить комментарий

Текст: