Privatliv og sikkerhed er et presserende problem for os alle i disse dage – der går ikke en dag, uden at vi bliver bombarderet med overskrifter om sikkerhedsnyheder om hacks, brud og regeringers og virksomheders øgede lagring og overvågning af følsomme personlige oplysninger.

Glukkeligvis klarer Linux-brugere sig bedre, når det kommer til sikkerhed, end deres Windows- eller Mac-brugere. Linux har iboende sikkerhedsfordele i forhold til proprietære styresystemer på grund af åbenheden i dets open source-kode og den konstante, grundige gennemgang, som denne kode underkastes af et levende globalt fællesskab. Selv om gennemsigtig kildekode i første omgang kan virke som et mareridt for privatlivets fred, er det faktisk det stik modsatte. Som følge af de “mange øjne”, som Linux hele tiden har på sin kode, bliver sikkerhedshuller identificeret og udbedret meget hurtigt. I modsætning hertil er kildekoden i proprietære operativsystemer som Windows eller MacOS skjult for udenforstående – med andre ord er brugerne afhængige af Microsoft eller Apple for at finde, rette og afsløre sårbarheder. Linux er også et relativt upopulært mål for ondsindede hackere på grund af den lille brugerbase.

Selv om alle Linux-“distro’er” – eller distribuerede versioner af Linux-software – er sikre af design, går visse distro’er over stregen, når det gælder om at beskytte brugernes privatliv og sikkerhed. Vi har sammensat en liste over vores foretrukne ekstraordinært sikre Linux-distroer og talt med nogle af deres ledende udviklere for at finde ud af, hvad der gør disse distroer så fantastiske. Denne artikel har til formål at hjælpe dig med at vurdere dine muligheder og vælge den distro, der bedst opfylder dine individuelle behov.

Hvorfor vælge en specialiseret sikker Linux-distro?

Selv om det at flytte fra et proprietært operativsystem til en almindelig Linux-distro som Ubuntu, Fedora eller Debian kan øge dit privatliv online betydeligt, er der også et bredt udvalg af specialiserede Linux-distroer til rådighed for brugere med alvorlige behov for beskyttelse af privatlivets fred, såsom pentesters og etiske hackere, hvis arbejde kræver, at de skjuler deres identitet online. Alle disse “sikre Linux-distroer” har et intenst fokus på at give brugerne maksimal sikkerhed, privatliv og anonymitet online, og mange af dem inkorporerer Tor-teknologier og tilbyder et imponerende udvalg af værktøjer til hacking, pentesting og digital forensics. Som du kan forestille dig, er disse egenskaber og ressourcer uvurderlige, når man vurderer en organisations sikkerhedsinfrastruktur eller gennemfører en sikkerhedsrevision.

Hver distro tilbyder et unikt sæt af funktioner og fordele, der er designet til at opfylde brugernes forskellige krav og prioriteter. Disse fordele kommer dog med nogle kompromiser. De mest populære styresystemer og programmer har typisk den svageste beskyttelse af privatlivets fred, men de er også kompatible med de fleste websteder og tilbyder mest support. Mens visse sikre Linux-distroer er relativt mainstream og brugervenlige, har andre en stejl indlæringskurve, især for mindre teknisk kyndige brugere.

Vores 7 bedste Linux-distroer til sikkerhed, privatliv og anonymitet

Qubes OS

Qubes OS er et ideelt valg for brugere, der ønsker at mindske risikoen ved at opdele deres digitale liv i flere rum. Et centralt træk ved dette styresystem er begrænsningen af højrisikoprogrammer til separate virtuelle maskiner. Flere virtuelle maskiner – eller “Qubes” – bruges til at organisere og adskille systemer omkring “arbejde”, “privat”, “internet” osv. Disse Qubes, som har en praktisk farvekode, der hjælper brugerne med at skelne dem fra hinanden, er meget sikre og kan give fortalere for privatlivets fred ro i et stadig mere invasivt digitalt miljø. Som følge af denne opdeling vil dine personlige filer ikke blive påvirket, hvis du tilfældigvis downloader malware til din arbejdsmaskine, og omvendt.

Integration af forskellige Qubes leveres af Application Viewer, som skaber en illusion for brugeren om, at alle systemprogrammer udføres nativt på skrivebordet – når de i virkeligheden er hostet isoleret i separate Qubes. Dom0-domænemanageren, som administrerer alle andre VM’ers virtuelle diske, er isoleret fra netværket for at forhindre angreb fra en inficeret VM.

I en samtale med LinuxSecurity-redaktionen uddybede Qubes OS Community Manager Andrew David Wong: “I stedet for at forsøge at rette alle sikkerhedsfejl i software, antager Qubes, at al software er fejlbehæftet og opdeler den i overensstemmelse hermed, så når fejl uundgåeligt udnyttes, begrænses skaden, og brugerens mest værdifulde data er beskyttet.” Dens “Security by Isolation”-tilgang ved hjælp af containere – også kaldet “Qubes” – eliminerer bekymringen for kompromitterede programmer.

Hvad gør Qubes OS så fantastisk:

  • Den “Security by Isolation”-tilgang ved hjælp af containere – også kaldet “Qubes” – eliminerer bekymringen for kompromitterede programmer.
  • Alle disse Qubes er integreret i et fælles skrivebordsmiljø og farvekodet for at hjælpe brugerne med at holde sig organiseret.
  • Sandboxing beskytter systemkomponenter.
  • Qubes OS tilbyder fuld disk-kryptering for maksimal filbeskyttelse.

Tails

Tails bruger Tor-netværket, et netværk, der er kendt for sine fordele med hensyn til privatliv og anonymitet, til at holde brugerne sikre på nettet. Alle forbindelser går gennem dette netværk – og skjuler brugernes placering og andre private oplysninger. Tails leveres med en sikker browser, en sikker e-mail-klient og andre sikre internetværktøjer. Tails er den mest kendte distro med fokus på privatlivets fred og et populært valg blandt mindre teknisk kyndige sikkerhedsentusiaster.

En medarbejder fra Tails Project forklarer: “Med Tails kan alle gøre enhver computer til et sikkert miljø, der er fri for malware og i stand til at omgå censur.”

Oven på Tor’s egenskaber med hensyn til privatlivets fred og anti-censur giver Tails brugere over hele verden mulighed for at bruge det ved at udvikle og distribuere et integreret og sikkert styresystem, der som standard beskytter brugerne mod de fleste trusler fra overvågning og censur. Distroen giver et sikkerhedsniveau, som individuelle programmer ikke kan opnå, fordi de i sidste ende er afhængige af sikkerheden i det underliggende styresystem.

Tails-projektet er stærkt afhængig af donationer og partnerskaber for at opretholde sin uafhængighed og fortsætte med at tjene Linux-fællesskabet.

Hvad gør Tails så fantastisk:

  • Den tætte integration med Tor-netværket sikrer anonymitet på nettet.
  • Den medfølgende webbrowser er forudkonfigureret til maksimal sikkerhed og indeholder tilføjelser som NoScript, Ublock Origin og HTTPS Everywhere.
  • Brugere får adgang til Onion Circuits, et værdifuldt værktøj, der giver dem mulighed for at se, hvordan deres pc passerer gennem Tor-netværket.
  • Tails leveres med Aircrack-NG-værktøjet til revision af trådløse netværk.
  • Systemet er krypteret og designet til at køre med fuld funktionalitet på et USB-drev.
  • Distroen har en indbygget Bitcoin-wallet, der er ideel til brugere, der ønsker at foretage sikre transaktioner med kryptovaluta.

Kali Linux

Kali Linux er en branchestandard for pentesting-distro. Det er en af de mest populære distro’er blandt pentesters, etiske hackere og sikkerhedsforskere verden over og indeholder hundredvis af værktøjer.

En Kali Linux-bidragyder giver et indblik i distro’ens historie og de fordele, den tilbyder brugerne: “Kali er opkaldt efter en hindu-gudinde og har eksisteret i lang tid – men den opdateres stadig ugentligt, kan køres i live-tilstand eller installeres på et drev og kan også bruges på ARM-enheder som Raspberry Pi.”

Hvad gør Kali Linux så fantastisk?

  • Kali Linux bruger LUKS-kryptering af hele disken for at beskytte følsomme pentesting-data mod tab, manipulation og tyveri.
  • Denne fleksible distro tilbyder fuld tilpasning med live-build.
  • Brugere kan automatisere og tilpasse deres Kali Linux-installationer over netværket.
  • “Forensics”-tilstand gør denne distro perfekt til kriminalteknisk arbejde.
  • Der er en Kaili Linux-træningssuite tilgængelig kaldet Kali Linux Dojo, hvor brugere kan lære at tilpasse deres egen Kali ISO og lære det grundlæggende i pentesting. Alle disse ressourcer er tilgængelige på Kali’s websted, gratis. Kali Linux kan også prale af et pentesting-kursus mod betaling, som kan tages online, med en 24-timers certificeringsprøve. Når du har bestået denne eksamen, er du en kvalificeret pentester!

Parrot OS

Parrot OS kan ses som et fuldt bærbart laboratorium til en lang række cybersikkerhedsoperationer fra pentesting til reverse engineering og digital forensics – men denne Debian-baserede distro indeholder også alt, hvad du har brug for til at sikre dine data og udvikle din egen software.

Parrot OS opdateres ofte og giver brugerne et bredt udvalg af hærdnings- og sandboxing-muligheder. Distroens værktøjer er designet til at være kompatible med de fleste enheder via containeriseringsteknologier såsom Docker eller Podman. Parrot OS er meget let og kører overraskende hurtigt på alle maskiner – hvilket gør det til en god mulighed for systemer med gammel hardware eller begrænsede ressourcer.

Hvad gør Parrot OS så fantastisk?

  • Distroen giver pentesters og eksperter i digital kriminalteknik det bedste fra begge verdener – et topmoderne “laboratorium” med en komplet pakke af værktøjer ledsaget af standardfunktioner til beskyttelse af privatlivets fred og sikkerhed.
  • Applikationer, der kører på Parrot OS, er fuldt ud sandboxed og beskyttet.
  • Parrot OS er hurtigt, let og kompatibelt med de fleste enheder.

BlackArch Linux

Denne populære pentesting-distro stammer fra Arch Linux og indeholder over 2.000 forskellige hacker-værktøjer – så du kan bruge det, du har brug for, uden at skulle downloade nye værktøjer. BlackArch Linux tilbyder hyppige opdateringer og kan køres fra et USB-stik eller en cd eller installeres på din computer.

BlackArch Linux ligner både Kali Linux og Parrot OS, idet det kan brændes til en ISO og køres som et live-system, men det er unikt, idet det ikke tilbyder et skrivebordsmiljø. Denne kommende distro tilbyder dog et stort udvalg af forudkonfigurerede Window Managers.

Hvad gør BlackArch Linux så fantastisk?

  • BlackArch Linux tilbyder et stort udvalg af hackerværktøjer og forudkonfigurerede Window Managers.
  • Distroen tilbyder et installationsprogram med mulighed for at bygge fra kildekode.
  • Brugerne kan installere værktøjer enten enkeltvis eller i grupper med den modulære pakkefunktion.

Whonix

Sommetider kan det være besværligt at bruge et live OS – du skal genstarte din maskine hver gang du vil bruge den, hvilket er besværligt og tidskrævende. Ved at installere et OS på din HD; du løber dog en risiko for, at OS’et bliver kompromitteret. Whonix tilbyder en løsning på denne knibe – det er en virtuel maskine, der fungerer i det gratis program Virtualbox og har til formål at give sikkerhed, privatliv og anonymitet på internettet.

Denne Debian-baserede distro fungerer i to dele – den første del, kendt som Gateway, dirigerer alle forbindelser til Tor-netværket. Den anden del, der kaldes Workstation, kører brugerprogrammer og kan kun kommunikere direkte med Gateway’en. Den virtuelle arbejdsstation kan kun “se” IP-adresser på det interne LAN, som er identiske i alle Whonix-installationer. Derfor har brugerprogrammerne ikke kendskab til brugerens reelle IP-adresse, og de har heller ikke adgang til oplysninger om den fysiske hardware på den maskine, som OS’et kører på. Dette opdelte design gør det muligt for brugeren at forblive fuldstændig anonym og mindsker risikoen for DNS-lækager, som afslører private oplysninger som f.eks. din browserhistorik.

Whonix har for nylig tilføjet en amnestisk live-tilstand, der “glemmer” brugerens aktiviteter – uden at efterlade spor på disken. Distroen arbejder i øjeblikket på at skabe en ensartet skrivebordsoplevelse. Whonix-udvikler Patrick Schleizer forklarer: “Vores kommende Whonix-Host udvider mange af vores brugervenligheds- og hærdningsfunktioner til at omfatte hele skrivebordet.”

Whonix opfordrer brugerne til at give feedback på deres oplevelse og sætter stor pris på donationer og bidrag til støtte for projektets fortsatte arbejde.

Hvad gør Whonix så fantastisk?

  • Whonix leveres med Tor-browseren og Tox privacy instant messenger-applikationen – hvilket sikrer fuldstændig anonym webbrowsing og instant messaging.
  • Systemet anvender et innovativt Host/Guest-design for at skjule brugernes identitet bag den anonyme proxy og forhindre IP- og DNS-lækager.
  • Distroen indeholder forudindstillet Mozilla Thunderbird PGP e-mail.
  • Linux Kernel Runtime Guard (LKRG), et kernemodul, der udfører kørtidsintegritetskontrol af Linux-kernen for at opdage sikkerhedssårbarheder og udnyttelser, kan let installeres på Whonix.

Openwall GNU/*/Linux (Owl)

Openwall GNU/*/Linux (eller forkortet Owl) er en lille sikkerhedsforbedret distro til servere med Linux- og GNU-software som kerne, der i øjeblikket kun bruges som forskningsmodel for, hvordan grundlaget for en sikker distribution bør se ud. Owl er en del af Openwall-projektet, som i øjeblikket tilbyder et udvalg af aktive projekter og tjenester. Openwall blev reelt grundlagt i 1996 (men under sit nuværende navn i 1999) af den berømte russiske sikkerhedsudvikler Alexander Peslyak, bedre kendt som Solar Designer, der er berømt for sin forskning og sine publikationer om udnyttelse og teknikker til beskyttelse af computersikkerhed.

For at sikre maksimal sikkerhed kombinerer Owl flere tilgange for at reducere antallet og/eller virkningen af sårbarheder i sine softwarekomponenter og virkningen af fejl i tredjepartssoftware, som en bruger kan installere. Den primære tilgang er proaktiv, grundig gennemgang af kildekoden med henblik på flere klasser af sikkerhedssårbarheder. Andre vigtige fremgangsmåder er konsekvent anvendelse af princippet om mindste privilegier og indførelse af adskillelse af privilegier. Owl anvendte også stærk kryptografi i sine kernekomponenter, i modsætning til mange andre distroer på det tidspunkt, og omfatter håndhævelse af sikkerhedspolitikker gennem proaktiv adgangskodekontrol, netværksadressebaseret adgangskontrol og integritetskontrol, blandt andre værdifulde funktioner.

Et karakteristisk træk ved Owl er, at distroen ikke har nogen SUID-binære filer, der er tilgængelige for brugeren, men alligevel er fuldt funktionel. Owl var også en af de første distroer til at tilbyde containervirtualisering out of the box, ved hjælp af OpenVZ.

Vi har inkluderet Owl i denne artikel på trods af at distributionen i øjeblikket er sat på standby, på grund af den vigtige rolle som Owl har spillet i open source-sikkerhedsfællesskabet siden starten. Når det er sagt, bør nye brugere være forsigtige med at vælge Owl og andre distroer, der ikke længere er under udvikling, medmindre de ser det som en uddannelsesmulighed eller har til hensigt at låne kode og/eller idéer fra projektet.

Vi mener, at der stadig er plads i sikkerhedsfællesskabet til endnu en distro som Owl, der kan bruges som grundlag for opbygning af sikre systemer ved hjælp af værktøjer, der stammer fra Openwall-projektet, herunder John the Ripper, Linux Kernel Runtime Guard og flere password hashing-teknikker.

Hvad gør Owl så fantastisk?

  • Owl gav kompatibilitet med de fleste Linux/GNU-distroer på det tidspunkt, og kunne ses som en solid base for opbygning af et system.
  • Distroen leverede et komplet build-miljø, der var i stand til at genopbygge et helt system med kun én simpel kommando – “make buildworld”.
  • Proaktiv gennemgang af kildekoden beskytter mod flere klasser af sikkerhedssårbarheder.
  • Distroen anvender konsekvent princippet om mindste privilegier og adskillelse af privilegier.
  • Owl’s centrale komponenter er beskyttet med stærk kryptografi.
  • Sikkerhedspolitikker håndhæves med proaktiv adgangskodekontrol, netværksadressebaseret adgangskontrol, integritetskontrol og andre funktioner.
  • Owl tilbyder containervirtualisering out of the box.
  • Distroen er fuldt funktionel, på trods af at den ikke har nogen SUID-binære filer, der er tilgængelige for brugeren.

Læs mere om koncepterne bag Openwall.

Tak til Solar Designer for at rette flere vigtige problemer med Openwall GNU/*/Linux (Owl)-afsnittet i en tidligere version af denne artikel.

Bottom line

Det er tydeligt, at Linux tilbyder en bred vifte af distro-muligheder for pentesters, softwareudviklere, sikkerhedsforskere og brugere med en øget bekymring for deres sikkerhed og privatliv på nettet. At vælge den bedste Linux-distro til dine egne behov for beskyttelse af privatlivets fred er en balancegang – hver distro tilbyder en anden balance mellem privatlivets fred og bekvemmelighed.

Baseret på dine specifikke krav og bekymringer er det sandsynligt, at en (eller mange!) af de distroer, der er profileret ovenfor, kan være en god løsning for dig – og tilbyde de værktøjer og muligheder, du leder efter i en distro, og samtidig give dig ro i sindet, at dit system er sikkert, og at dit privatliv er beskyttet i dette moderne digitale trusselslandskab, der udvikler sig hurtigt.

Skriv et svar

Din e-mailadresse vil ikke blive publiceret.