Tor, AppArmor и двойная изоляция — Whonix 17.4 закрывает IP даже при взломе браузера

whonix tor безопасность анонимность виртуализация
Tor, AppArmor и двойная изоляция — Whonix 17.4 закрывает IP даже при взломе браузера
whonix tor безопасность анонимность виртуализация

Новая версия дистрибутива добавила защиту Kicksecure, улучшила Tor-шлюз и убрала Thunderbird.

image

Вышла версия дистрибутива Whonix 17.4 , созданного для максимально надёжной анонимной работы в сети. Система основана на Debian GNU/Linux и передаёт весь трафик через Tor. Исходный код опубликован под GPLv3. Для загрузки доступны образы виртуальных машин в формате OVA для VirtualBox: с Xfce (2,3 ГБ) и консольный (1,5 ГБ). При желании их можно преобразовать для работы с KVM.

Whonix построен по двухкомпонентной схеме. Whonix-Gateway работает как сетевой шлюз, пропускающий соединения только через Tor, а Whonix-Workstation служит изолированным рабочим окружением. Обе системы входят в один образ, но запускаются в разных виртуальных машинах. Благодаря этому рабочая станция не имеет прямого доступа к сети, а её сетевые параметры всегда фиктивны. Даже при взломе браузера или получении атакующим root-доступа реальный IP-адрес остаётся скрыт.

В случае компрометации Whonix-Workstation злоумышленник увидит только поддельные адреса, так как реальные данные и DNS-запросы проходят через шлюз. Разработчики предупреждают: так как Whonix рассчитан на запуск внутри гипервизоров, остаётся угроза 0-day-эксплойтов в платформах виртуализации, способных дать доступ к хостовой системе. Поэтому не рекомендуется держать Gateway и Workstation на одном компьютере.

По умолчанию Whonix-Workstation использует Xfce и включает предустановленные приложения — VLC, Tor Browser, Pidgin и другие. Whonix-Gateway оснащён серверным ПО, включая Apache httpd, nginx и IRC-сервера, а также поддерживает проброс соединений через Tor для Freenet, i2p, JonDonym, SSH и VPN. При желании можно использовать только шлюз, подключив к нему существующие рабочие станции, включая Windows, для анонимного выхода в интернет.

В релизе 17.4:

  • Обновлены сборки на основе Kicksecure , который усиливает Debian AppArmor-профилями, установкой обновлений через Tor, PAM-модулем tally2 для защиты паролей, расширенной энтропией RNG, отключением SUID, закрытием портов, рекомендациями KSPP и мерами против утечки данных о нагрузке CPU.
  • Улучшена стабильность настройки прокси в мастере anon-connection-wizard.
  • Отключена установка Mozilla Thunderbird по умолчанию из-за изменений в условиях от Mozilla.
  • Для шлюзов вне Qubes в пакете anon-gw-base-files реализован автозапуск панели sysmaint.
  • Панель sysmaint-panel получила скрытие лишних кнопок и дополнительные инструменты управления Tor.
  • В systemcheck удалён QEMU из списка поддерживаемых гипервизоров.
  • Версия 17.4, вероятно, станет последней на базе Debian 12 — уже идёт перенос на Debian 13.