Tor, AppArmor и двойная изоляция — Whonix 17.4 закрывает IP даже при взломе браузера
NewsMakerНовая версия дистрибутива добавила защиту Kicksecure, улучшила Tor-шлюз и убрала Thunderbird.
Вышла версия дистрибутива Whonix 17.4 , созданного для максимально надёжной анонимной работы в сети. Система основана на Debian GNU/Linux и передаёт весь трафик через Tor. Исходный код опубликован под GPLv3. Для загрузки доступны образы виртуальных машин в формате OVA для VirtualBox: с Xfce (2,3 ГБ) и консольный (1,5 ГБ). При желании их можно преобразовать для работы с KVM.
Whonix построен по двухкомпонентной схеме. Whonix-Gateway работает как сетевой шлюз, пропускающий соединения только через Tor, а Whonix-Workstation служит изолированным рабочим окружением. Обе системы входят в один образ, но запускаются в разных виртуальных машинах. Благодаря этому рабочая станция не имеет прямого доступа к сети, а её сетевые параметры всегда фиктивны. Даже при взломе браузера или получении атакующим root-доступа реальный IP-адрес остаётся скрыт.
В случае компрометации Whonix-Workstation злоумышленник увидит только поддельные адреса, так как реальные данные и DNS-запросы проходят через шлюз. Разработчики предупреждают: так как Whonix рассчитан на запуск внутри гипервизоров, остаётся угроза 0-day-эксплойтов в платформах виртуализации, способных дать доступ к хостовой системе. Поэтому не рекомендуется держать Gateway и Workstation на одном компьютере.
По умолчанию Whonix-Workstation использует Xfce и включает предустановленные приложения — VLC, Tor Browser, Pidgin и другие. Whonix-Gateway оснащён серверным ПО, включая Apache httpd, nginx и IRC-сервера, а также поддерживает проброс соединений через Tor для Freenet, i2p, JonDonym, SSH и VPN. При желании можно использовать только шлюз, подключив к нему существующие рабочие станции, включая Windows, для анонимного выхода в интернет.
В релизе 17.4:
Вышла версия дистрибутива Whonix 17.4 , созданного для максимально надёжной анонимной работы в сети. Система основана на Debian GNU/Linux и передаёт весь трафик через Tor. Исходный код опубликован под GPLv3. Для загрузки доступны образы виртуальных машин в формате OVA для VirtualBox: с Xfce (2,3 ГБ) и консольный (1,5 ГБ). При желании их можно преобразовать для работы с KVM.
Whonix построен по двухкомпонентной схеме. Whonix-Gateway работает как сетевой шлюз, пропускающий соединения только через Tor, а Whonix-Workstation служит изолированным рабочим окружением. Обе системы входят в один образ, но запускаются в разных виртуальных машинах. Благодаря этому рабочая станция не имеет прямого доступа к сети, а её сетевые параметры всегда фиктивны. Даже при взломе браузера или получении атакующим root-доступа реальный IP-адрес остаётся скрыт.
В случае компрометации Whonix-Workstation злоумышленник увидит только поддельные адреса, так как реальные данные и DNS-запросы проходят через шлюз. Разработчики предупреждают: так как Whonix рассчитан на запуск внутри гипервизоров, остаётся угроза 0-day-эксплойтов в платформах виртуализации, способных дать доступ к хостовой системе. Поэтому не рекомендуется держать Gateway и Workstation на одном компьютере.
По умолчанию Whonix-Workstation использует Xfce и включает предустановленные приложения — VLC, Tor Browser, Pidgin и другие. Whonix-Gateway оснащён серверным ПО, включая Apache httpd, nginx и IRC-сервера, а также поддерживает проброс соединений через Tor для Freenet, i2p, JonDonym, SSH и VPN. При желании можно использовать только шлюз, подключив к нему существующие рабочие станции, включая Windows, для анонимного выхода в интернет.
В релизе 17.4:
- Обновлены сборки на основе Kicksecure , который усиливает Debian AppArmor-профилями, установкой обновлений через Tor, PAM-модулем tally2 для защиты паролей, расширенной энтропией RNG, отключением SUID, закрытием портов, рекомендациями KSPP и мерами против утечки данных о нагрузке CPU.
- Улучшена стабильность настройки прокси в мастере anon-connection-wizard.
- Отключена установка Mozilla Thunderbird по умолчанию из-за изменений в условиях от Mozilla.
- Для шлюзов вне Qubes в пакете anon-gw-base-files реализован автозапуск панели sysmaint.
- Панель sysmaint-panel получила скрытие лишних кнопок и дополнительные инструменты управления Tor.
- В systemcheck удалён QEMU из списка поддерживаемых гипервизоров.
- Версия 17.4, вероятно, станет последней на базе Debian 12 — уже идёт перенос на Debian 13.