Qubes OS - операционная система для параноиков (теория)

Fisher

Местный
Регистрация
2 Апр 2017
Сообщения
264
Реакции
764
Ну что, злодеи, речь сегодня пойдет о всеми нами любимой теме анонимности и безопасности в сети интернет, а именно о самой современной и функциональной на данный момент связке ОС КУБЫ(Qubes OS)+ Whonix.

Начну я со следующей лесенки основных принципов безы, по которым мы постепенно доберемся и до самой связки.

1. Использование операционной системы и софта с наиболее совершенным кодом. Простыми словами нас не отъ**ать, потому что отсутствуют дыры\узвимости. Естественно в реальной жизни такого не бывает и дыры есть ВСЕГДА, но мы можем существенно усилить нашу броню пересев с гнилого Windows на самый стабильный из unix дистрибутивов ДИБИЛИАН (Debian) www.debian.org/



В данный пункт, например, можно отнести использование таких популярных дистрибутивов как Tails, Jondo live, Parrot Security OS, Whoinix и многие другие. Все они являются немного доработанным дебиллионом для нужд безопасности.

Далее на данной системе уже строоится цепочка впнов,туннелей, дедиков в зависимости от нашей параноидальности и осуществляется вход в сеть. И все бы было у нас хорошо, но даже здесь нас могут достать подкованные в айти специалисты. Можете, например, почитать про критическую уязвимость в ядре Linux, позволяющую получить рут доступ к компьютеру habrahabr.ru/post/275543/

(Обратите, кстати, внимание, что именно разрабы дебилиана первыми залатали дыру).
Также не исключено, что вы можете словить малварь, которую под видом пдф документа\подгона с "ментовским" дедиком вам прислал ваш коллега ВАСЯ из жабы.
При успешной атаке на систему дальнейшее вычисление вашего реального айпи-адреса, который всегого лишь является первым звеном цепочки торов\тунелей являеется лишь делом техники.




tumblr_notexoJfmd1u31k7oo1_1280.jpg


Вывод: мы существенно снижаем таким образом пространство для возможной атаки, но дыры остаются.


2. Использование изолированных операционных систем.
Суть здесь заключается в следующем. У нас есть несколько операционных систем, причем связь между ними может быть как по локальной сети, так и путем использования софта для виртуализации (Oracle Virtual Box, VMware и прочие). На практике это может выглядеть, например, так: у нас есть компьютер с Windows7 и поднятым на нем VPN, далее мы устанавливаем виртуал бокс и запускаем виртуалку Дебилиана, на котором уже настраиваем все как в пункте 1. Таким образом даже если наш супер-защишенный дебилиан дает сбой, то максимум,что получит злоумышленник это айпишник ВПН сервиса. Здесь я привел самую простую цепочку из одной виртуалки. но мы можем ее усложнять сколько угодно, добавляя новые звенья.

Отдельно стоит отметить систему ХУИНИКС(Whoinix) www.whonix.org, которая представляет из себя два образа дебилиана для Virtual Box, настроенных для максимальной безы\анонимности . Первый образ шлюз - Whoinix gateway, заворачивает весь наш траффик в сеть TOR, а второй рабочая станция - Whoinix Workstation, с которой мы уже заходим в интернет. Причем, рабочая станция настроена таким образом, что вообще не может принимать никакого траффика кроме сети TOR. Это полностью исключает любую возможную утечку нашего айпи адреса или днс. На рабочей станции хуиникса легко настраивается впн\ссх\покси, что избавляет нас от постоянного ввода предельно тупорылой капчи и защищает нас от недобросовестных выходных нод тора, которые могут сниффать траффик. При желании можно подключить к нашему шлюзу Хуиникс любую другую виртуалку\несколько виртуалок. Можете даже Виндоус подключить, только учитывайте при этом его дырявость.


Whonix_concept_refined_w_600.jpg


Конечно, и при использовании изолированных систем мы не получаем абсолютной защиты.


Во-первых уязвима наша основная система (хост), на которой установлен Виртуал Бокс. Если злоумышленник получает к ней доступ, то следом за ней зведой летят и все запущенные виртуалки
(Сложно такое представить, ведь наша основная система остается неизвестной потенциальным недоброжелателям. Ну допустим мы как-то случайную словили малварь в скачанной левой проге из-за дырявости Windows, ну а далее уже охота за нашими данными. Решение - использовать в качестве хоста вместо Windows Линукс ).

Во-вторых, уязвимым может оказаться и сам софт виртуализации, ведь, как правило, целью его разработчиков является удобство и быстродействие, а не безопасность и анонимность. Тут есть и общие папки\буфер обмена, технология drag and drop для перетаскивания файлов из одного окна в другое. Все это желательно отключить в настройках Virtual box.
Стоит отметить, что атаки на гипервизоры ( научное название виртуалок) являются очень сложными и трудоемкими и уж точно не для рядового кулхацкера.


3. Использование операционной системы, которая уже базируется на софте для виртуализации (ОЦ КУБЫ - Qubes OS). Сначала гипервизор XEN в виде фундамента, а на нем уже все остальное. www.qubes-os.org

Чтобы вы хоть примерно понимали, что это такое, представьте детский конструктор, где каждый "кубик" это отдельная операционная система. Вот что из этого можно накрутить:

Dom0 (основная система хоста, на которой все запускается, подключения к интернету не имеет).

Куб1 с нашими сетевыми устройствами для подключения к вайфай,

Куб2 где траффик заворачивается в ВПН
КУб3 где траффик завернутый в ВПН заворачивается в туннель
Куб4 траффик завернутый в туннель заворачивается в сеть тор при помощи шлюза ХУИНИКС (встроены в последние версии Qubes по дефолту)
Куб5 траффик после тора заворачивается в впн,жоп,туннель, дед, во что хотите.

300px-Qubes_security_domains.png


Можете играться\добавлять новые звенья\переставлять все это дело почти в любой последовательности за считанные скунды. Если надоест, то можете поднять цепочку любой длины на одном единственном "кубе".

Каждая такая виртуалка жрет около 200-600 мб оперативы и запускается за несколько секунд.


snapshot9.png
_________________________________________________



Далее уже идут рабочие кубы:

1.Куб "KARDING" для работы c ЭПС подключен к кубу с дедом нужной нам страны\города

2.Куб "BANDITISM" для очень черных дел подключен к кубу с торификацией\впн\тунелями...

3. Куб "RABOTA" для серых дел - цепочка менее пароноидальная.

3.Куб "BRODYGA" для серфингаинтернета\ютуба\музыки\ - только ВПН.

4. Куб "KLADOVKA" вообще не подключен к интернету, здесь складируются все важные файлы, документы, пароли.

5. Куб "WINDA7" для запуска виндоус приложений нужных нам в работе.

Естественно это все лишь пример, и вы можете создавать какие угодно кубы под свои личные нужды.

Теперь самое вкусное - Куб запускается по уже готовому шаблону. Т.е. нам не надо устанавливать 5 виртуалок, а достаточно выбрать уже предсутановленный шаблон ДЕБИЛИАНА и штамповать по нему сколько угодно систем (создание и запуск очередной оси занимает буквально несколько секунд). Также между кубами реализован безопасный буфер обмена, а файлы отправлять с куба на куб можно нажатием правой кнопки мыши. Тем не менее, во избежание потенциальных уявимостей разрабы рекомендуют не отправлять данные с особенно "черных" доменов на "белые" (C кубом, который знает ваш реальный айпи вообще нет никакой нужды обмена данными)

r2b1-appsmenu-3_w_600.png


Также предусмотрена специальная песочница для открытия подозрительных файлов, щелкаем по любому файлу правой кнопкой мыши, выбираем disposal vm и он открывается в отдельной системе, которая при закрытии уничтожается.

Отдельно стоит упомянуть, что все программы запускаются в основной системе dom0, что позволяет исключить необходимость запуска графического интерфейса на таком большом числе виртуалок. Т.е. выглядит это как обычный рабочий стол с кучей ярлыков из разных систем.

Естественно, что для запуска QUBES вам понадобится более менее современный ноутбук или компьютер с 64 битным процем. Если раньше не работали с линукс-системами, то лучше поработайте.

Вот минимальные системые требования, но я бы увеличил еще объем оперативки до предела.
64-bit Intel or AMD processor (x86_64 aka x64 aka AMD64)
4 GB RAM
32 GB disk space

Огромным плюсом будет наличие ssd жесткого диска. Конечно, можно установить и на флешку 64 Гига с юсб 2.0, но периодически будет подвисать\тормозить (неприятно, но терпимо)

Ну вот собственно и всё c теоретической частью, вопросы\обсуждения привествуются. Практика по данной ос будет опубликована почти сразу за этим материалом.
 
Последнее редактирование:

demonha

Местный
Регистрация
17 Май 2018
Сообщения
157
Реакции
88
Это уже совсем сильное шифрование
 

ballldezhno

Пользователь
Регистрация
23 Апр 2019
Сообщения
15
Реакции
19
тема-как раз для максимальных параноиков тк всё максмльно зашифровано,ну хоть людям спокойно будет)
 

master1908

Местный
Регистрация
13 Июн 2019
Сообщения
1,127
Реакции
309
Это не паранойя а перестраховка всего лишь , и перестраховка я скажу замечательная , если бы это не пользовалось спросом то и не создавалось бы , а те кто считает что это паранойя желаю чтоб вас никогда не отслеживали и не взламывали , всем удачи!!!
 

Chudesnoe

Местный
Регистрация
14 Авг 2018
Сообщения
959
Реакции
447
Страшная сила страшная паранойя
 

Bakss

ПРОБЫ НЕ ДАВАТЬ!
Регистрация
23 Июн 2019
Сообщения
1,437
Реакции
1,158
скачаю себе такую систему
 

XimjjjKarDinal

Местный
Регистрация
25 Авг 2019
Сообщения
396
Реакции
213
Че это ребята за шняга? Для параноиков таких как я? Я читать не стал думаю может кто тоипоясни))
 

sulfo

Местный
Регистрация
9 Апр 2019
Сообщения
181
Реакции
171
Да неплохая тема. Только много заморочек ради анонимности. Есть много других, простых вариантов и более безопасных
 

Jamshid

Местный
Регистрация
10 Сен 2019
Сообщения
232
Реакции
36
Ну что, злодеи, речь сегодня пойдет о всеми нами любимой теме анонимности и безопасности в сети интернет, а именно о самой современной и функциональной на данный момент связке ОС КУБЫ(Qubes OS)+ Whonix.

Начну я со следующей лесенки основных принципов безы, по которым мы постепенно доберемся и до самой связки.

1. Использование операционной системы и софта с наиболее совершенным кодом. Простыми словами нас не отъ**ать, потому что отсутствуют дыры\узвимости. Естественно в реальной жизни такого не бывает и дыры есть ВСЕГДА, но мы можем существенно усилить нашу броню пересев с гнилого Windows на самый стабильный из unix дистрибутивов ДИБИЛИАН (Debian) www.debian.org/



В данный пункт, например, можно отнести использование таких популярных дистрибутивов как Tails, Jondo live, Parrot Security OS, Whoinix и многие другие. Все они являются немного доработанным дебиллионом для нужд безопасности.

Далее на данной системе уже строоится цепочка впнов,туннелей, дедиков в зависимости от нашей параноидальности и осуществляется вход в сеть. И все бы было у нас хорошо, но даже здесь нас могут достать подкованные в айти специалисты. Можете, например, почитать про критическую уязвимость в ядре Linux, позволяющую получить рут доступ к компьютеру habrahabr.ru/post/275543/

(Обратите, кстати, внимание, что именно разрабы дебилиана первыми залатали дыру).
Также не исключено, что вы можете словить малварь, которую под видом пдф документа\подгона с "ментовским" дедиком вам прислал ваш коллега ВАСЯ из жабы.
При успешной атаке на систему дальнейшее вычисление вашего реального айпи-адреса, который всегого лишь является первым звеном цепочки торов\тунелей являеется лишь делом техники.




tumblr_notexoJfmd1u31k7oo1_1280.jpg


Вывод: мы существенно снижаем таким образом пространство для возможной атаки, но дыры остаются.


2. Использование изолированных операционных систем.
Суть здесь заключается в следующем. У нас есть несколько операционных систем, причем связь между ними может быть как по локальной сети, так и путем использования софта для виртуализации (Oracle Virtual Box, VMware и прочие). На практике это может выглядеть, например, так: у нас есть компьютер с Windows7 и поднятым на нем VPN, далее мы устанавливаем виртуал бокс и запускаем виртуалку Дебилиана, на котором уже настраиваем все как в пункте 1. Таким образом даже если наш супер-защишенный дебилиан дает сбой, то максимум,что получит злоумышленник это айпишник ВПН сервиса. Здесь я привел самую простую цепочку из одной виртуалки. но мы можем ее усложнять сколько угодно, добавляя новые звенья.

Отдельно стоит отметить систему ХУИНИКС(Whoinix) www.whonix.org, которая представляет из себя два образа дебилиана для Virtual Box, настроенных для максимальной безы\анонимности . Первый образ шлюз - Whoinix gateway, заворачивает весь наш траффик в сеть TOR, а второй рабочая станция - Whoinix Workstation, с которой мы уже заходим в интернет. Причем, рабочая станция настроена таким образом, что вообще не может принимать никакого траффика кроме сети TOR. Это полностью исключает любую возможную утечку нашего айпи адреса или днс. На рабочей станции хуиникса легко настраивается впн\ссх\покси, что избавляет нас от постоянного ввода предельно тупорылой капчи и защищает нас от недобросовестных выходных нод тора, которые могут сниффать траффик. При желании можно подключить к нашему шлюзу Хуиникс любую другую виртуалку\несколько виртуалок. Можете даже Виндоус подключить, только учитывайте при этом его дырявость.


Whonix_concept_refined_w_600.jpg


Конечно, и при использовании изолированных систем мы не получаем абсолютной защиты.


Во-первых уязвима наша основная система (хост), на которой установлен Виртуал Бокс. Если злоумышленник получает к ней доступ, то следом за ней зведой летят и все запущенные виртуалки
(Сложно такое представить, ведь наша основная система остается неизвестной потенциальным недоброжелателям. Ну допустим мы как-то случайную словили малварь в скачанной левой проге из-за дырявости Windows, ну а далее уже охота за нашими данными. Решение - использовать в качестве хоста вместо Windows Линукс ).

Во-вторых, уязвимым может оказаться и сам софт виртуализации, ведь, как правило, целью его разработчиков является удобство и быстродействие, а не безопасность и анонимность. Тут есть и общие папки\буфер обмена, технология drag and drop для перетаскивания файлов из одного окна в другое. Все это желательно отключить в настройках Virtual box.
Стоит отметить, что атаки на гипервизоры ( научное название виртуалок) являются очень сложными и трудоемкими и уж точно не для рядового кулхацкера.


3. Использование операционной системы, которая уже базируется на софте для виртуализации (ОЦ КУБЫ - Qubes OS). Сначала гипервизор XEN в виде фундамента, а на нем уже все остальное. www.qubes-os.org

Чтобы вы хоть примерно понимали, что это такое, представьте детский конструктор, где каждый "кубик" это отдельная операционная система. Вот что из этого можно накрутить:

Dom0 (основная система хоста, на которой все запускается, подключения к интернету не имеет).

Куб1 с нашими сетевыми устройствами для подключения к вайфай,

Куб2 где траффик заворачивается в ВПН
КУб3 где траффик завернутый в ВПН заворачивается в туннель
Куб4 траффик завернутый в туннель заворачивается в сеть тор при помощи шлюза ХУИНИКС (встроены в последние версии Qubes по дефолту)
Куб5 траффик после тора заворачивается в впн,жоп,туннель, дед, во что хотите.

300px-Qubes_security_domains.png


Можете играться\добавлять новые звенья\переставлять все это дело почти в любой последовательности за считанные скунды. Если надоест, то можете поднять цепочку любой длины на одном единственном "кубе".

Каждая такая виртуалка жрет около 200-600 мб оперативы и запускается за несколько секунд.


snapshot9.png
_________________________________________________



Далее уже идут рабочие кубы:

1.Куб "KARDING" для работы c ЭПС подключен к кубу с дедом нужной нам страны\города

2.Куб "BANDITISM" для очень черных дел подключен к кубу с торификацией\впн\тунелями...

3. Куб "RABOTA" для серых дел - цепочка менее пароноидальная.

3.Куб "BRODYGA" для серфингаинтернета\ютуба\музыки\ - только ВПН.

4. Куб "KLADOVKA" вообще не подключен к интернету, здесь складируются все важные файлы, документы, пароли.

5. Куб "WINDA7" для запуска виндоус приложений нужных нам в работе.

Естественно это все лишь пример, и вы можете создавать какие угодно кубы под свои личные нужды.

Теперь самое вкусное - Куб запускается по уже готовому шаблону. Т.е. нам не надо устанавливать 5 виртуалок, а достаточно выбрать уже предсутановленный шаблон ДЕБИЛИАНА и штамповать по нему сколько угодно систем (создание и запуск очередной оси занимает буквально несколько секунд). Также между кубами реализован безопасный буфер обмена, а файлы отправлять с куба на куб можно нажатием правой кнопки мыши. Тем не менее, во избежание потенциальных уявимостей разрабы рекомендуют не отправлять данные с особенно "черных" доменов на "белые" (C кубом, который знает ваш реальный айпи вообще нет никакой нужды обмена данными)

r2b1-appsmenu-3_w_600.png


Также предусмотрена специальная песочница для открытия подозрительных файлов, щелкаем по любому файлу правой кнопкой мыши, выбираем disposal vm и он открывается в отдельной системе, которая при закрытии уничтожается.

Отдельно стоит упомянуть, что все программы запускаются в основной системе dom0, что позволяет исключить необходимость запуска графического интерфейса на таком большом числе виртуалок. Т.е. выглядит это как обычный рабочий стол с кучей ярлыков из разных систем.

Естественно, что для запуска QUBES вам понадобится более менее современный ноутбук или компьютер с 64 битным процем. Если раньше не работали с линукс-системами, то лучше поработайте.

Вот минимальные системые требования, но я бы увеличил еще объем оперативки до предела.
64-bit Intel or AMD processor (x86_64 aka x64 aka AMD64)
4 GB RAM
32 GB disk space

Огромным плюсом будет наличие ssd жесткого диска. Конечно, можно установить и на флешку 64 Гига с юсб 2.0, но периодически будет подвисать\тормозить (неприятно, но терпимо)

Ну вот собственно и всё c теоретической частью, вопросы\обсуждения привествуются. Практика по данной ос будет опубликована почти сразу за этим материалом.
так много
...
при чем с хабра все молочик. хабр классный форум для ИТ
 

BenzoNux

Местный
Регистрация
10 Сен 2019
Сообщения
134
Реакции
23
Кали Линукс как по мне достаточно. Вполне
 

Connor_Hilfiger

Местный
Регистрация
10 Сен 2019
Сообщения
32
Реакции
5
Ой наделают всякого бреда, которым не пользуются
 

Mendeleev34

Местный
Регистрация
10 Сен 2019
Сообщения
50
Реакции
4
в чём она лучше чем всеми нами известная линукс,я вообще на обычной винде 7 сижу
 

Fahrenheit

Местный
Регистрация
10 Сен 2019
Сообщения
149
Реакции
87
Автор ошибся причислив Debian к Unix. Дебиан есть Linux (LinixIsNotUniX)
 

Shul9

Местный
Регистрация
10 Сен 2019
Сообщения
84
Реакции
22
Каждый по своему боится за свою попу)
 

KirtanErenrih

Местный
Регистрация
10 Сен 2019
Сообщения
73
Реакции
12
тема очень длинная, многие параноики так же и лентяи, ищущие м находящие пути немного легче чем долгое нудное чтиво, вещь очень хорошая, но то чувство когда один из тех же лентяев, и так и остался сидеть с анонимными браузерами и лицензионными ВПН. и этого вроде как достаточно. ( Жаль нет спец. маршрутизатора)
 

FlaweOfficial

Местный
Регистрация
5 Июл 2019
Сообщения
49
Реакции
11
Очень нужная и полезная тема, ток видосика еще не хватает
 

CAGEGG

Местный
Регистрация
12 Сен 2019
Сообщения
51
Реакции
14
Видео не хватает про эту операционную систему к сожалению, ибо я один из таких параноиков, думал о ней давно еще, буду на днях ставить наверное
 

dovajoker

Местный
Регистрация
12 Сен 2019
Сообщения
63
Реакции
5
очень хорошая информация
Сообщения автоматически объединены,
интересно для каких именно
 
Сверху