19 ноября 2020 3431

Мастер маскировки. Три анонимные ОС, которые помогут защитить личные данные

Научный журналист, эксперт по цифровым технологиям и автор телеграм-канала GNote Игорь Santry Волосянков рассказал, какие операционные системы способны сохранить анонимность пользователя и защитить конфиденциальные данные.

В прошлом я всерьез интересовался аудиотехникой. Со временем хобби сошло на нет, но навязчивая реклама High-End наушников преследовала меня еще несколько лет. Тогда я задумался, как много людей знает о моих увлечениях и что еще им известно.


Оказалось, что практически все программное обеспечение собирает информацию о пользователях, и один из самых надежных способов защитить личную жизнь и приватную информацию — анонимные операционные системы.



Кому нужна информационная безопасность

Многие считают, что о конфиденциальности личных данных стоит беспокоиться, только если занимаешься чем-то незаконным. Я так не думаю. На деле в защите личных данных остро нуждаются общественные активисты, журналисты и бизнесмены. Да и обычным людям она не повредит.

Для активистов и журналистов, которые расследуют преступления, анонимность — залог личной безопасности. Бизнесменам крайне важно держать при себе коммерческие тайны и защититься от промышленного шпионажа. Рядовым пользователям тоже есть что терять: репутацию, деньги, а также доступ к различным сервисам.



Анонимные операционные системы и их особенности

Обычно конфиденциальные данные защищают при помощи антивирусов, VPN и обновлений установленных на компьютер программ, но эти средства не могут гарантировать полную безопасность.

Дело в том, что Windows и macOS сами по себе создают риски утечки информации. Они собирают и передают своим создателям много телеметрии. Это и технические данные, вроде отчетов о сбоях в работе, и информация о действиях пользователей, например, история посещения веб-сайтов и запуска приложений. Все эти сведения обезличена, не привязана к конкретному человеку, но к ней могут получить доступ злоумышленники.


Узнав, например, возраст пользователя и список часто посещаемых страниц в соцсетях, они могут выяснить его имя и массу личной информации, вплоть до домашнего адреса и политических предпочтений.


Анонимные операционные системы создаются, чтобы исключить подобные риски. Их преимущества:

  • анонимные операционные системы изначально строятся на принципах конфиденциальности и безопасности персональных данных;
  • не передают телеметрию;
  • используют открытый исходный код, который может проверить каждый желающий;
  • защищены от вирусов и хакерских атак лучше других операционных систем.
Обычно основа таких операционных систем — модифицированные дистрибутивы Linux. Но подходы к безопасности и конфиденциальности данных в них сильно различаются.

Популярная анонимная ОС Tails создана, чтобы оставлять минимум следов в сети и на компьютере. Она удаляет все данные при завершении работы. Whonix использует специальный шлюз, чтобы отгородиться от опасностей интернета и скрыть реальный IP-адрес. А Qubes представляет собой набор из виртуальных машин, где каждое приложение запускается в собственном контейнере и работает будто на отдельном компьютере. Расскажу о каждой из них поподробнее.



Tails — запуск с флешки и бесследное исчезновение


Название этого дистрибутива Linux расшифровывается как The Amnesic Incognito Live System, что буквально переводится как «забывчивая анонимная живая система», и описывает его ключевые особенности:

  • amnesic — операционная система работает в оперативной памяти компьютера и ничего не записывает на жесткий диск. Все внесенные изменения откатываются после ее выключения. Поэтому нельзя доказать, что Tails вообще пользовались;
  • incognito — сетевые соединения анонимны благодаря подключению через распределенную сеть Tor;
  • live system — Tails запускается с флешки или другого съемного носителя.

Операционная система «из коробки» включает все необходимое для работы с текстом, таблицами, изображениями, аудио и видео, подключения к интернету и безопасной переписки. Перед включением в дистрибутив все эти программы прошли тщательную проверку разработчиками, а благодаря открытому исходному коду убедиться в этом может каждый.


Поэтому Tails отлично подходит, чтобы безопасно пользоваться чужим компьютером в коворкинге или интернет-кафе. Завершив работу, достаточно просто вынуть флешку из USB-порта. Операционная система не оставит на компьютере никаких следов.


При каждом запуске Tails возвращается к заводским настройкам. Это повышает безопасность ОС и гарантирует, что в ней не «поселятся» вредоносные программы. Однако настраивать операционную систему заново после каждого запуска неудобно.

Настройки постоянного хранилища

Если вы готовы пожертвовать частью безопасности ради удобства, то на флешке можно создать защищенное хранилище для настроек и личных файлов на базе стандартного формата шифрования LUKS. Для доступа к ним понадобится пароль.



Whonix — доступ в сеть через шлюз


Whonix исповедует другой подход к защите данных. Эта операционная система состоит из двух частей: шлюза и рабочей станции.


Выход в интернет возможен только через шлюз Whonix-Gateway. Фактически это отдельная операционная система, которая скрывает реальный IP-адрес компьютера и подключается к интернету исключительно через анонимные соединения. Она постоянно перенаправляет трафик по различным цепочкам узлов Tor.


Со шлюзом связывается второй модуль операционной системы — Whonix-Workstation. Именно с ним работает пользователь, туда устанавливаются программы и там сохраняются данные.

Части Whonix связаны защищенным каналом, поэтому, если шлюз окажется взломан, он не выдаст злоумышленникам IP-адрес компьютера

Gateway и Workstation запускаются «поверх» основной операционной системы при помощи VirtualBox. Эта программа создает виртуальные машины — программные имитации настоящих компьютеров.

Программы, запущенные на виртуальной машине, работают будто на отдельном компьютере с совсем иными характеристиками, чем тот, на котором они на самом деле запущены.


Такая архитектура обеспечивает многослойную защиту. Вредоносная программа сначала должна заразить шлюз, затем проникнуть на рабочую станцию. Там она столкнется с целым комплексом защитных мер, таких как технология AppArmor, контролирующая поведение программ, и swap-file-creator — зашифрованной виртуальной памятью.


Угроза доберется до личных данных, только если распознает, что находится в виртуальной машине и выберется из этой изолированной среды. Подавляющее большинство вирусов и вредоносных программ на это неспособны.

Настройки Whonix-Gateway сразу после установки

Whonix обеспечивает анонимность и защиту от хакерских атак. По сравнению с Tails, она лучше подходит для повседневного использования: в ней можно без проблем сохранить любые настройки и установить необходимые программы. Это напрямую не влияет на надежность защиты.

В то же время Whonix значительно сложнее в использовании. Чтобы установить эту операционную систему, необходимо научиться пользоваться VirtualBox. Whonix запускается в четыре этапа:

  1. основная операционная система;
  2. VirtualBox;
  3. Whonix-Gateway;
  4. Whonix-Workstation.
Это занимает довольно много времени и в целом не очень удобно.

К тому же Whonix не умеет скрывать следы своей работы на компьютере. С ней нежелательно использовать флешки, потому что их подключение нарушает изоляцию виртуальных машин. Это может привести к проникновению вирусов в систему.



Qubes — цифровая самоизоляция


Создатели этой операционной системы сделали еще больше для безопасности пользователей. Qubes целиком состоит из изолированных виртуальных машин, которыми управляет гипервизор Xen. Он напрямую контролирует работу оперативной памяти и тактовую частоту процессора. За счет этого Xen производительнее и безопаснее VirtualBox.


Приложения здесь разделены на классы в зависимости от важности обрабатываемых данных и решаемых задач. Каждый класс приложений, в том числе и системные сервисы, запускается в отдельном «кубе» — изолированной виртуальной машине.


Это касается и сетевой подсистемы, работы с хранилищем, USB-устройствами. Qubes гораздо лучше Whonix защищена от атак на USB-контроллеры, так как они изолированы в отдельных «кубах».


С точки зрения программной архитектуры Qubes представляет собой десятки отдельных компьютеров, каждый из которых со своим защитным периметром. Это многократно усложняет взлом.


При этом для пользователя операционная система выглядит цельной. Приложения доступны на одном рабочем столе. О том, что они запущены на разных виртуальных машинах, напоминает только обрамление окон.

Цвет окна указывает на то, в какой виртуальной машине запущена программа

У каждого «куба» свой уровень безопасности и свое назначение. Один тип виртуальных машин предназначен для запуска доверенных программ, другой для серфинга в сети, третий — для работы с потенциально опасными файлами и сайтами.

Внутри Qubes могут работать другие версии Linux и даже Windows. Чтобы получить дополнительную защиту, настоящие параноики запускают внутри ОС виртуальную машину с Whonix-Gateway и выходят в интернет только через нее.

Окно управления запущенными «кубами». Здесь показан тип виртуальной машины и объем оперативной памяти, который она занимает

Qubes позволяет создавать и одноразовые «кубы». Виртуальные машины этого типа можно в пару кликов уничтожить и развернуть заново в первозданном виде. Они позволяют безопасно открывать заведомо вредоносные файлы.

Например, эта функция может защитить от похищения YouTube-канала. Многие известные блогеры теряли доступ к своим аккаунтам, получив предложение протестировать клиент новой онлайн-игры или стриминговой платформы.


Вирус в исполняемом файле передавал злоумышленникам контроль над аккаунтом Google. В одноразовом «кубе» вредонос не смог бы нанести вред пользователю.


Основной недостаток Qubes — прожорливость. Создание и поддержание виртуальных машин требует производительного процессора, большого объема оперативной памяти и быстрого SSD-диска. Чтобы комфортно пользоваться Qubes, мощность компьютера должна равняться трем-четырем обычным офисным ПК.



Сравнение Tails, Whonix и Qubes

Анонимные операционные системы можно сравнить при помощи таблицы или развернутого анализа на английском языке на сайте Whonix.

Сравнение анонимных операционных систем Tails, Whonix и Qubes

Какую из них выбрать, зависит от ваших задач и возможностей компьютера.

Whonix помогает забыть о вирусах при серфинге по диким уголкам интернета, даже если не хочется окончательно отказываться от Windows.


Для исследователей сетевой безопасности и обладателей мощных компьютеров, которые хотят обезопасить себя от всевозможных атак, лучший выбор — Qubes с Whonix в качестве одной из виртуальных машин.


Мне же больше всего нравится Tails — за мобильность и легкость использования. Флешка с этой операционной системой выручает меня в командировках и путешествиях. С ее помощью я не раз бронировал авиабилеты с незнакомых компьютеров и всегда был уверен в безопасности своего счета.

Комментарии

0
Оставьте комментарий!