Whonix 18.0, дистрибуция за анонимна комуникация, беше пусната.

Whonix 18.0, дистрибуция, насочена към осигуряване на гарантирана анонимност, сигурност и защита на поверителността, вече е налична. Дистрибуцията е базирана на Debian ГНУ/Linux и использует Tor для обеспечения анонимности. Наработки проекта распространяются под лицензией GPLv3. Для загрузки подготовлены образы виртуальных машин в формате ova для VirtualBox (2.5 ГБ c LXQt и 1.6 ГБ консольный) и qcow2 для гипервизора KVM (3.4 ГБ c LXQt и 2.3 ГБ консольный).

Отличителна черта на Whonix е разделянето му на два отделно изпълними компонента: Whonix-Gateway, който реализира мрежов шлюз за анонимна комуникация, и Whonix-Workstation, който съдържа работния плот. Тези компоненти са отделни системни среди, доставяни в рамките на един зареждащ образ и изпълнявани на отделни виртуални машини. Достъпът до мрежата от Whonix-Workstation е възможен само чрез Whonix-Gateway, изолирайки работната станция от директно взаимодействие с външния свят и позволявайки използването само на фиктивни мрежови адреси. Този подход защитава потребителя от изтичане на реални IP адреси в случай на хакване на уеб браузър или експлоатация на уязвимост, която дава на атакуващ root достъп до системата.

Хакването на Whonix-Workstation би позволило на нападателя само да получи фиктивни мрежови параметри, тъй като истинските IP и DNS настройки са скрити зад мрежовия шлюз, на който работи Whonix-Gateway, който маршрутизира трафика изключително през Tor. Трябва да се отбележи, че компонентите на Whonix са проектирани да работят като гост-системи, което означава, че е възможно да се използват критични zero-day уязвимости във виртуализационни платформи, които биха могли да осигурят достъп до хост системата. Поради това не се препоръчва да се стартира Whonix-Workstation на същия компютър като Whonix-Gateway.

Whonix-Workstation се предлага по подразбиране с потребителската среда LXQt. Тя включва програми като VLC и Tor Browser. Whonix-Gateway се предлага с набор от сървърни приложения, включително Apache httpd, ngnix и IRC сървъри, които могат да се използват за стартиране на скрити Tor услуги. Тунелиране през Tor е възможно за Freenet, i2p, JonDonym, SSH и... VPNПри желание потребителят може да използва само Whonix-Gateway и да свърже обичайните си системи чрез него, включително Windows, което позволява анонимен достъп до съществуващи работни станции.

Системное окружение базируется на параллельно развиваемом теми же разработчиками защищённом дистрибутиве Kicksecure, расширяющем Debian Допълнителни механизми и настройки за повишена сигурност: AppArmor за изолация, инсталиране на актуализации чрез Tor, използване на PAM модула tally2 за защита от отгатване на пароли, разширяване на ентропията за RNG, деактивиране на SUID, неотваряне на мрежови портове по подразбиране, използване на препоръки от KSPP (Kernel Self Protection Project), добавяне на защита срещу изтичане на информация за активността на процесора и др.

Основни промени:

• Базата данни за дистрибуционните пакети е актуализирана с Debian 12 г. до Debian 13.
• Работната среда Xfce е заменена от LXQt. Протоколът Wayland е активиран по подразбиране.
• Пакетът включва помощна програма за изчистване на RAM паметта, която изчиства съдържанието на RAM паметта преди рестартиране на системата.
• Пакетът включва пакета USBGuard за управление на активирането на свързани USB устройства, за да се предпази от атаки чрез злонамерени USB устройства, като например BadUSB.
• Рамката privleap (подобна на sudo) се използва за стартиране на привилегировани процеси.
• Доставката включва помощните програми nmap и nping.
• Xpdf е премахнат от дистрибуцията.
• Пакетът backlight-tool-dist се използва за управление на подсветката.
• Следните пакети се използват за управление на клавиатурните подредби: set-system-keymap, set-console-keymap, set-labwc-keymap, set-grub-keymap.
• Скоростта на зареждане е ускорена и консумацията на памет е оптимизирана.
• Пакетът Kloak, използван за противодействие на идентификацията на потребителя въз основа на въвеждане от клавиатурата и движения на мишката, е напълно пренаписан и портиран към Wayland.
• Добавено от Поддръжка на IPv6.
• От страна на Whonix-Gateway, пакетът user-sysmaint-split е активиран по подразбиране, като имплементира отделни сесии за зареждане за работа и поддръжка (SYSMAINT - системна поддръжка).

Източник: opennet.ru