Whonix для анонимности и безопасности. Настройка с обходом блокировки Tor
Whonix - это операционная система на базе Debian, ориентированная на анонимность и безопасность, в которой весь трафик передается через сеть Tor и предусмотрены меры защиты от утечек IP-адреса и DNS. Whonix использует перенастроенную систему безопасности Kicksecure Hardened, которая работает внутри нескольких виртуальных машин поверх основного хоста. Приложения предварительно установлены и настроены с акцентом на безопасность, чтобы они были готовы к использованию даже с минимальными пользовательскими правками. Whonix НЕ является урезанной версией Debian и соответственно вы можете выполнять действия в системе точно также, как и в обычном Debian. Например, чтобы установить медиаплеер VLC, достаточно ввести команду sudo apt install vlc. Whonix не ограничивает функциональность и не предотвращает установку совместимого программного обеспечения.
Вся информация предоставлена исключительно в образовательных целях. Автор никого не призывает к противозаконным действиям и не несет за вас ответственность.
В этой статье мы рассмотрим примеры настройки и использования whonix для начинающих. Мы также рассмотрим настройку подключения к сети Tor с обходом блокировки. Для работы Whonix вам понадобится основной хост (например windows, macOS или Linux), а также VirtualBox. Посмотреть поддерживаемые хосты и архитектуры можно на данной странице:
Download Whonix (FREE)
Whonix состоит из двух виртуальных машин (далее VM):
- Whonix workstation. Запускает пользователькие приложения в полностью изолированной сети.
- Whonix Gateway. Запускает Tor и действует как шлюз, через который передается сетевой трафик.
Установка
Далее мы будем рассматривать установку Whonix на Arch Linux. Вы можете выбрать любой другой поддерживаемый Linux-дистрибутив, например Debian. Использовать windows или macOS не вижу смысла, если вы действительно хотите анонимности и безопасности.
Для начала необходимо установить VirtualBox. В ОС на базе Debian это делается с помощью пакетного менеджера apt. Например, вот как установить VirtualBox в KALI Linux:
sudo apt update sudo apt install virtualbox linux-headers-generic
В Arch Linux установка выполняется с помощью пакетного менеджера Pacman, в соответствии с Arch wiki:sudo pacman -S virtualbox virtualbox-host-modules-arch
- Не устанавливайте Extention Pack, т.к. он содержит закрытый код, что не внушает доверия и ставит под угрозу вашу анонимность. Без Extention pack'а вы не сможете пользоваться некоторыми функциями VirtualBox, но зато повысите свою безопасность.
- Если вы пользователь Arch Linux, то можете убрать модуль ядра из автозагрузки. Для этого замаскируйте файлы по умолчанию
/usr/lib/modules-load.d/virtualbox-host-modules-arch.conf,/usr/lib/modules-load.d/virtualbox-host-modules-lts.confили/usr/lib/modules-load.d/virtualbox-host-dkms.conf. Чтобы это сделать, создайте пустой файл (или символическую ссылку на/dev/null) с таким же именем в каталоге/etc/modules-load.d/. Вручную запустить модуль можно с помощью командыmodprobe vboxdrv. - Вы можете удалять логи VirtualBox, чтобы скрыть факт использования Whonix или скрыть некоторые данные (например, время запуска виртуальной машины). Обычно общие логи хранятся в каталоге
~/.config/VirtualBox, а логи виртуальных машин по умолчанию находятся в~/VirtualBox VMs. Путь к логам виртуальных машин можно изменить в настройках VirtualBox. - Храните виртуальные машины в зашифрованном криптоконтейнере с двойным дном, чтобы повысить безопасность. Создать такой контейнер можно с помощью VeraCrypt.
Далее скачиваем Whonix с официального сайта:
Download Whonix (FREE)
Обязательно убедитесь, что скачанный файл не был подвержен модификации или повреждению. Для этого проверьте его сигнатуру в соответствии с данной инструкцией:
Verify Downloaded Images on Linux
Далее запускаем VirtualBox и импортируем виртуальные машины:
Настройка
В первую очередь запускаем Whonix Gateway и только после этого мы можем запустить Whonix Workstation.
После запуска нам нужно выбрать режим работы Whonix:
Если вы хотите, чтобы после завершения работы Whonix не сохранял никаких данных в системе, используйте Live mode. В ином случае используйте Persitent mode. Выбрать режим можно с помощью стрелочек, а для подтверждения нажмите клавишу Enter. После этого система будет запущена:
Тоже самое делаем с Whonix Workstation. Запускаем и выбираем режим:
Обратите внимание, что для первоначальной настройки рекомендуется использовать режим с SYSMAINT Session, т.к. он предназначен для административных задач. USER Session предназначен для повседневного использования.
В Whonix Gateway запускаем Anon Connection Wizard:
Далее выбираем Connect и пытаемся подключиться к сети Tor. В случае, если в вашей стране Tor заблокирован, попытка подключения может оказаться неудачной. Чтобы обойти блокировку, нам нужно использовать мосты Tor. Вот несколько способов получить мосты:
- Скачайте Tor browser с официального сайта https://torproject.org/ (через средство обхода блокировок), запустите его и перейдите в настройки подключения. Далее нажмите на кнопку Запросить мосты.
- Перейдите в Telegram бот @GetBridgesBot и отправьте ему сообщение для получения мостов.
- Посетите веб-сайт https://bridges.torproject.org/ (через средство обхода блокировок) и запросите мосты.
- Отправьте пустое письмо на адрес bridges@torproject.org. В ответ вы получите мосты Tor. Почта должна быть Gmail или Riseup.
Я воспользовался первым способом и получил мосты:
Чтобы использовать полученные мосты в Whonix, нам нужно сконфигурировать наше подключение:
Далее вводим полученные мосты:
В результате мы можем подключиться к Tor:
Теперь запускаем Setup Wizard Distribution и выполняем рекомендуемые действия:
Меняем пароли для user и root, а также запрещаем автологин через System Maintenance Panel:
Нажмите Install Updates или введите команду upgrade-nonroot в терминале, чтобы обновить систему:
Удалите неиспользуемые пакеты, нажав Remove Unused Packages.
Перезапустите виртуальную машину, чтобы корректно применить обновления.
Запустите Check System Status, чтобы убедиться что система соответствует требованиям безопасности:
Далее запустите Whonix workstation и аналогично настройте ее:
Далее вы можете использовать Whonix Workstation для анонимного серфинга в интернете:
Как использовать Whonix
Использование Whonix ничем не отличается от использования Debian. Вы можете точно также устанавливать пакеты, посещать веб-сайты, редактировать файлы и т.д. Первым делом всегда запускайте Whonix Gateway, а уже потом Whonix Workstation. Периодически обновляйте систему и очищайте от ненужных файлов, чтобы уменьшить риски взлома через уязвимости программного обеспечения. И помните - безопасность зависит только от вас. Whonix по умолчанию включает в себя средства анонимизации и обеспечения безопасности, однако конечный результат зависит только от самого пользователя. Если вы будете устанавливать потенциально опасное ПО, посещать недоверенные сайты или как-то еще способствовать увеличению рисков, то вряд-ли удастся сохранить систему в безопасности.
Можно ли доверять Whonix?
Определенно нет. И проблема не в Whonix, а в одном из главных принципов анонимности - никому нельзя доверять. Да, Whonix - это свободная ОС, которая может быть проверена сообществом на наличие уязвимостей, однако это не дает 100% гарантию того, что уязвимостей в системе не существует. И уж тем более не дает гарантию того, что в системе нет специально оставленных закладок для спецслужб.
Ни одно готовое решение не может вызывать у вас доверие, если это решение не было сделано вами собственноручно. И даже собственноручно сделанные решения могут иметь проблемы безопасности из за вашей невнимательности или банального незнания каких-то аспектов. Например, из за неправильной настройки прокси частенько появляется риск утечки IP-адреса. Анонимность - это сложное искусство, которое требует годы практики и постоянного самосовершенствования.
Whonix, впрочем как и Tails (про которую у меня также есть статья) хорошо подойдет для анонимного выхода в интернет с целью обхода цензуры или посещения onion-ресурсов, но не более. Использовать эти операционные системы для каких-то задач криминального нестандартного уровня я бы не стал.
