Даступны выпуск дыстрыбутыва Whonix 18.0, накіраванага на прадастаўленне гарантаванай ананімнасці, бяспекі і абароны прыватнай інфармацыі. Дыстрыбутыў заснаваны на Debian GNU/Linux і выкарыстоўвае Tor для забеспячэння ананімнасці. Напрацоўкі праекту распаўсюджваюцца пад ліцэнзіяй GPLv3. Для загрузкі падрыхтаваны выявы віртуальных машын у фармаце ova для VirtualBox (2.5 ГБ c LXQt і 1.6 ГБ кансольны) і qcow2 для гіпервізара KVM (3.4 ГБ c LXQt і 2.3 ГБ кансольны).
Асаблівасцю Whonix з'яўляецца падзел дыстрыбутыва на два асобна запускаюцца кампанента – Whonix-Gateway з рэалізацыяй сеткавага шлюза для ананімных камунікацый і Whonix-Workstation з працоўным сталом. Кампаненты ўяўляюць сабой асобныя сістэмныя асяроддзі, якія пастаўляюцца ўсярэдзіне адной загрузнай выявы і што запускаюцца ў розных віртуальных машынах. Вынахад у сетку з асяроддзя Whonix-Workstation вырабляецца толькі праз шлюз Whonix-Gateway, што ізалюе працоўнае асяроддзе ад прамога ўзаемадзеяння з навакольным светам і дапушчае выкарыстанне толькі фіктыўных сеткавых адрасоў. Падобны падыход дазваляе абараніць карыстача ад уцечкі рэальнага IP-адрасы ў выпадку ўзлому web-браўзэра або эксплуатацыі ўразлівасці, якая дае атакаваламу root-доступ да сістэмы.
Узлом Whonix-Workstation дазволяць атакаваламу атрымаць толькі фіктыўныя сеткавыя параметры, бо рэальны IP і параметры DNS утоеныя за мяжой сеткавага шлюза, які працуе на базе Whonix-Gateway, які накіроўвае трафік толькі праз Tor. Пры гэтым варта ўлічваць, што кампаненты Whonix разлічаны на запуск у форме гасцявых сістэм, г.зн. не выключана магчымасць эксплуатацыі крытычных 0-day уразлівасцяў у платформах віртуалізацыі, якія могуць падаць доступ да хост-сістэме. У сувязі з гэтым, не рэкамендуецца запускаць Whonix-Workstation на тым жа кампутары, што і Whonix-Gateway.
У Whonix-Workstation па змаўчанні падаецца карыстацкае асяроддзе LXQt. У пастаўку ўключаны такія праграмы, як VLC і Tor Browser. У пастаўцы Whonix-Gateway можна знайсці набор серверных прыкладанняў, у тым ліку Apache httpd, ngnix і IRC-серверы, якія могуць выкарыстоўвацца для арганізацыі працы ўтоеных сэрвісаў Tor. Магчымы пракід па-над Tor тунэлямі для Freenet, i2p, JonDonym, SSH і VPN. Пры жаданні, карыстач можа абыйсціся толькі Whonix-Gateway і падлучыць праз яго свае звычайныя сістэмы, у тым ліку Windows, Што дазваляе забяспечыць ананімны выхад для працоўных станцый, якія ўжо знаходзяцца ва ўжытку.
Сістэмнае асяроддзе грунтуецца на раўналежна які развіваецца тымі ж распрацоўнікамі абароненым дыстрыбутыве Kicksecure, які пашырае Debian дадатковымі механізмамі і наладамі для падвышэння бяспекі: AppArmor для ізаляцыі, усталёўка абнаўленняў праз Tor, выкарыстанне PAM-модуля tally2 для абароны ад падбору пароляў, пашырэнне энтрапіі для RNG, адключэнне suid, адсутнасць адчыненых сеткавых партоў па змаўчанні, выкарыстанне рэкамендацый ад праекту KSPP (Kernel Self Protection да т.п.
Асноўныя змены:
- Пакетная база дыстрыбутыва абноўлена з Debian 12 да Debian 13.
- Серада працоўнага стала Xfce заменена на LXQt. Па змаўчанні задзейнічаны пратакол Wayland.
- У склад уключана ўтыліта ram-wipe, ачышчальная змесціва АЗП перад перазагрузкай сістэмы.
- У склад уключаны пакет USBGuard для кіравання актывацыяй падключаюцца USB-прылад з мэтай абароны ад нападаў праз шкоднасныя USB-прылады, такіх як BadUSB.
- Для запуску прывілеяваных працэсаў задзейнічаны фрэймворк privleap (аналаг sudo).
- У пастаўку ўключаны ўтыліты nmap і nping.
- З пастаўкі выдалены xpdf.
- Для кіравання падсветкай задзейнічаны пакет backlight-tool-dist.
- Для кіравання раскладкамі клавіятуры задзейнічаны пакеты set-system-keymap, set-console-keymap, set-labwc-keymap, set-grub-keymap.
- Паскорана загрузка і аптымізавана спажыванне памяці.
- Цалкам перапісаны і партаваны на Wayland пакет Kloak, які ўжываецца для супрацьстаяння ідэнтыфікацыі карыстача па характары ўводу з клавіятуры і руху мышы.
- Дададзена падтрымка IPv6.
- На боку Whonix-Gateway па змаўчанні актываваны пакет user-sysmaint-split, які рэалізуе паасобныя загрузныя сеансы для працы і суправаджэння (SYSMAINT – system maintenance).
Крыніца: opennet.ru
