Die Veröffentlichung der Distribution Whonix 18.2 ist erfolgt, die darauf abzielt, garantierte Anonymität, Sicherheit und den Schutz persönlicher Informationen zu bieten. Die Distribution basiert auf Debian GNU/Linux und verwendet Tor zur Gewährleistung der Anonymität. Die Entwicklungen des Projekts werden unter der GPLv3-Lizenz veröffentlicht. Für den Download sind virtuelle Maschinenimages im OVA-Format für VirtualBox (2,6 GB mit LXQt und 1,5 GB als Konsole) sowie im QCOW2-Format für den KVM-Hypervisor (4 GB mit LXQt und 2,3 GB als Konsole) verfügbar.
Ein besonderes Merkmal von Whonix ist die Trennung der Distribution in zwei separat startbare Komponenten — Whonix-Gateway, das als Netzwerkgateway für anonyme Kommunikation fungiert, und Whonix-Workstation mit einer Benutzeroberfläche. Diese Komponenten stellen getrennte Systemumgebungen dar, die innerhalb eines einzigen Boot-Images bereitgestellt und in verschiedenen virtuellen Maschinen ausgeführt werden. Der Zugang zum Internet aus der Umgebung der Whonix-Workstation erfolgt ausschließlich über das Whonix-Gateway, wodurch die Arbeitsumgebung vom direkten Kontakt zur Außenwelt isoliert wird und nur fiktive Netzwerkadressen verwendet werden dürfen. Dieser Ansatz schützt den Benutzer vor der Offenlegung seiner echten IP-Adresse im Falle eines Angriffs auf den Webbrowser oder der Ausnutzung einer Schwachstelle, die dem Angreifer Root-Zugriff auf das System gewährt.
Ein Angriff auf die Whonix-Workstation würde es dem Angreifer ermöglichen, nur gefälschte Netzwerkparameter zu erhalten, da die echte IP-Adresse und die DNS-Einstellungen durch den Whonix-Gateway-Netzwerkrouter verborgen sind, der den Datenverkehr ausschließlich über Tor leitet. Dabei ist zu beachten, dass die Komponenten von Whonix dafür ausgelegt sind, als Gastbetriebssysteme zu laufen, was bedeutet, dass die Möglichkeit besteht, kritische 0-Day-Sicherheitslücken in Virtualisierungsplattformen auszunutzen, die Zugang zum Host-System gewähren können. Aus diesem Grund wird empfohlen, die Whonix-Workstation nicht auf demselben Computer wie den Whonix-Gateway auszuführen.
In der Whonix-Workstation wird standardmäßig eine benutzerdefinierte LXQt-Umgebung bereitgestellt. Die Lieferung umfasst Programme wie VLC und Tor Browser. In der Whonix-Gateway-Lieferung finden Sie eine Sammlung von Serveranwendungen, darunter Apache httpd, Nginx und IRC-Server, die zur Einrichtung versteckter Tor-Dienste verwendet werden können. Es ist möglich, Tor-Tunnel für Freenet, i2p, JonDonym, SSH und VPN zu tunneln. Bei Bedarf kann der Benutzer auch nur mit Whonix-Gateway arbeiten und seine üblichen Systeme, einschließlich Windows, über dieses verbinden, was einen anonymen Zugang für bereits verwendete Arbeitsstationen ermöglicht.
Die Systemumgebung basiert auf dem parallel entwickelten, von denselben Entwicklern geschützten Distribution Kicksecure, die Debian mit zusätzlichen Mechanismen und Einstellungen erweitert, um die Sicherheit zu erhöhen: AppArmor zur Isolierung, Aktualisierungsinstallation über Tor, Verwendung des PAM-Moduls tally2 zur Schutz vor Passwortknacken, Erweiterung der Entropie für RNG, Deaktivierung von SUID, keine offenen Netzwerkports standardmäßig, Anwendung der Empfehlungen des Projekts KSPP (Kernel Self Protection Project), Hinzufügen von Schutz gegen das Auslesen von CPU-Aktivitätsdaten usw.
Wesentliche Änderungen:
- Die Kicksecure-Umgebung wurde aktualisiert, wobei das Sequoia-PGP-Paket (eine OpenPGP-Implementierung in Rust) anstelle von GnuPG verwendet wird. Das Debian Fast Track-Repository ist standardmäßig deaktiviert. Bei Verwendung von LXQt wird die Installation von Qps (eine Benutzeroberfläche zur Anzeige laufender Prozesse) eingestellt. Zudem wird die Unterstützung für qemu:///session hinzugefügt, um virtuellen Maschinen von nicht privilegierten Benutzern zu starten.
- Es wurde ein interner Sicherheitsaudit durchgeführt und ein externer Audit gestartet.
- Das Kloak-Paket wurde verbessert, das zur Verhinderung der Benutzeridentifikation basierend auf Eingaben von Tastatur und Mausbewegungen dient.
- Das fwupd-qubes-vm-Paket wurde in die Qubes-Whonix-Gateway-Bereitstellung aufgenommen.
- Der Whonix-Windows-Installer und der Whonix-Windows-Starter wurden neu geschrieben.
- Die Version für Geräte mit Apple Silicon wurde optimiert.
Quelle: opennet.ru
