Whonix является операционной системой, распространяемой под лицензией GPLv3 и нацеленной на обеспечение анонимности, приватности и безопасности данных. В её основе лежит сеть анонимизации Tor, Debian GNU/Linux и безопасность за счёт изоляции потоков. Утечки DNS-запросов невозможны.
Whonix состоит из двух частей: первая обеспечивает соединение и работу Tor и действует как шлюз, поэтому и называется Whonix-Gateway. Вторая, именуемая Whonix-Workstation, находится в совершенно изолированной сети. Любые соединения возможны только через Tor. Таким образом, даже взломав Whonix-Workstation, атакующий получит лишь фальшивые сетевые параметры, а не реальный адрес пользователя, скрытый за шлюзом. Однако, поскольку обе части рассчитаны на запуск средствами виртуализации, а существующие платформы виртуализации могут сами по себе содержать уязвимости, рекомендуется запускать Workstation и Gateway на разных физических компьютерах. Если требуется анонимизировать сетевой доступ уже существующих компьютеров (независимо от установленной операционной системы), можно использовать лишь Whonix-Gateway.
Основные изменения:
- Система разбита на отдельные пакеты, что упрощает установку различных сред рабочего стола. По умолчанию предлагается KDE. Вдобавок, Whonix больше не привязан к какой-либо версии Debian, поскольку каждый пакет имеет свою версию;
- Добавлена экспериментальная поддержка операционной системы Qubes;
- Добавлена возможность установки VPN в Whonix-Gateway;
- Задействовано по умолчанию множество профилей AppArmor;
- Обновлены пакеты из репозиториев Debian, что позволило закрыть различные уязвимости, в том числе Heartbleed;
- Из-за ошибки в VirtualBox, приводящей к потере данных, больше не рекомендуется использовать снапшоты;
- Во избежание конфликта с реальной сетью внутренний IP-адрес Whonix-Gateway и маска подсети изменены на 10.152.152.10 и 255.255.192.0;
- По той же причине изменены адрес, маска и шлюз в Whonix-Workstation: 10.152.152.11, 255.255.192.0 и 10.152.152.10 соответственно;
- Файл подкачки шифруется случайным паролем при запуске;
- Сетевой экран шлюза теперь будет отбрасывать некорректные исходящие пакеты;
- В стандартную поставку добавлен менеджер паролей fpm2;
- Отключены временные метки TCP;
- По умолчанию включен запрет любого входящего ICMP-трафика;
- Небольшие изменения для совместимости с systemd;
- Утилиты для установки пакетов будут предпочитать репозиторий Debian Wheezy вместо stable.
>>> Подробности
