Turva ja yksityisyys ovat nykyään meidän kaikkien kiireellisiä huolenaiheita – ei kulu päivääkään, ettemme joutuisi pommitetuiksi tietoturvauutisotsikoilla hakkeroinneista, tietoturvaloukkauksista ja arkaluonteisten henkilökohtaisten tietojen lisääntyneestä tallentamisesta ja seurannasta hallitusten ja yhtiöiden toimesta.
Onneksi Linux-käyttäjät pärjäävät tietoturvan suhteen paremmin kuin Windows- tai Mac-käyttäjät. Linux tarjoaa luontaisia tietoturvaetuja omistusoikeudellisiin käyttöjärjestelmiin verrattuna, koska sen avoimen lähdekoodin koodi on läpinäkyvää ja koska elinvoimainen maailmanlaajuinen yhteisö tarkistaa sitä jatkuvasti ja perusteellisesti. Vaikka läpinäkyvä lähdekoodi saattaa aluksi vaikuttaa yksityisyydensuojan painajaiselta, se on itse asiassa täysin päinvastainen. Koska Linuxin koodia tarkkailee jatkuvasti ”monta silmää”, tietoturva-aukot tunnistetaan ja korjataan hyvin nopeasti. Sen sijaan Windows- ja MacOS-käyttöjärjestelmien kaltaisissa omistusoikeudellisissa käyttöjärjestelmissä lähdekoodi on piilossa ulkopuolisilta – toisin sanoen käyttäjät ovat riippuvaisia Microsoftista tai Applesta haavoittuvuuksien löytämisessä, korjaamisessa ja paljastamisessa. Linux on myös suhteellisen epäsuosittu kohde ilkivaltaisten hakkereiden keskuudessa pienen käyttäjäkuntansa vuoksi.
Kaikki Linux-”distrot” eli Linux-ohjelmistojen jaetut versiot ovat jo lähtökohtaisesti turvallisia, mutta tietyt distrot menevät vielä pidemmälle käyttäjien yksityisyyden ja tietoturvan suojaamisessa. Olemme koonneet listan suosikeistamme poikkeuksellisen turvallisista Linux-distroista ja puhuneet joidenkin niiden johtavien kehittäjien kanssa selvittääksemme omakohtaisesti, mikä tekee näistä distroista niin hienoja. Tämän artikkelin tarkoituksena on auttaa sinua arvioimaan vaihtoehtojasi ja valitsemaan distro, joka vastaa parhaiten yksilöllisiä tarpeitasi.
Miksi valita erikoistunut turvallinen Linux-distro?
Vaikka siirtyminen proprietäärisestä käyttöjärjestelmästä tavalliseen Linux-distroon, kuten Ubuntuun, Fedoraan tai Debianiin, voi merkittävästi parantaa yksityisyyttäsi verkossa, on saatavilla myös laaja valikoima erikoistuneita Linux-distroja käyttäjille, joilla on vakavia yksityisyydensuojan tarpeita, kuten pentestereille ja eettisille hakkereille, joiden työ edellyttää identiteettinsä kätkemistä verkossa. Kaikissa näissä ”turvallisissa Linux-distroissa” keskitytään voimakkaasti tarjoamaan käyttäjille maksimaalista turvallisuutta, yksityisyyttä ja anonymiteettiä verkossa, ja monet niistä sisältävät Tor-teknologioita ja tarjoavat vaikuttavan valikoiman hakkerointi-, pentestaus- ja digitaalisen rikostutkinnan työkaluja. Kuten voitte kuvitella, nämä ominaisuudet ja resurssit ovat korvaamattomia, kun arvioidaan organisaation turvallisuusinfrastruktuuria tai tehdään tietoturvatarkastusta.
Jokainen distro tarjoaa ainutlaatuisen joukon ominaisuuksia ja etuja, jotka on suunniteltu vastaamaan käyttäjien erilaisiin vaatimuksiin ja prioriteetteihin. Näihin etuihin liittyy kuitenkin joitakin kompromisseja. Suosituimmissa käyttöjärjestelmissä ja ohjelmissa on yleensä heikoimmat yksityisyydensuojat, mutta ne ovat myös yhteensopivia useimpien verkkosivustojen kanssa ja tarjoavat eniten tukea. Vaikka tietyt turvalliset Linux-distrot ovat suhteellisen yleisiä ja käyttäjäystävällisiä, toisissa on jyrkkä oppimiskäyrä, erityisesti vähemmän tekniikkaan perehtyneille käyttäjille.
Top 7 Linux-distroa turvallisuuteen, yksityisyyteen ja anonymiteettiin
Qubes OS
Qubes OS on ihanteellinen valinta käyttäjille, jotka haluavat vähentää riskejä lokeroimalla digitaalisen elämänsä. Tämän käyttöjärjestelmän keskeinen ominaisuus on korkean riskin sovellusten rajaaminen erillisiin virtuaalikoneisiin. Useita virtuaalikoneita – tai ”Qubeja” – käytetään järjestämään ja erottamaan järjestelmät toisistaan ”työ”, ”henkilökohtainen”, ”Internet” ja niin edelleen. Nämä Qubit, jotka on kätevästi värikoodattu käyttäjien erottamiseksi toisistaan, ovat erittäin turvallisia ja voivat tarjota yksityisyyden puolustajille mielenrauhaa yhä hyökkäävämmässä digitaalisessa ympäristössä. Tämän lokeroimisen ansiosta, jos satut lataamaan haittaohjelman työkoneellesi, se ei vaikuta henkilökohtaisiin tiedostoihisi ja päinvastoin.
Erilaisten Qubien integroinnista huolehtii Application Viewer, joka luo käyttäjälle illuusion siitä, että kaikki järjestelmäsovellukset suoritetaan natiivisti työpöydällä – vaikka todellisuudessa niitä isännöidään eristyksissä erillisissä Qubeissa. Dom0-toimialueenhallinta, joka hallinnoi kaikkien muiden VM:ien virtuaalilevyjä, on eristetty verkosta tartunnan saaneesta VM:stä lähtevien hyökkäysten estämiseksi.
Keskustelussa LinuxSecurityn toimittajien kanssa Qubes OS -yhteisöpäällikkö Andrew David Wong tarkensi: ”Sen sijaan, että Qubes yrittäisi korjata kaikki ohjelmistojen tietoturva-aukot, se olettaa, että kaikki ohjelmistot ovat bugisia, ja lokeroi ne sen mukaisesti, joten kun puutteita väistämättä hyödynnetään, vahinko pysyy aisoissa ja käyttäjän arvokkaimmat tiedot on suojattu.” Sen ”Security by Isolation” -lähestymistapa, jossa käytetään kontteja eli ”Qubeja”, poistaa huolen vaarantuneista ohjelmista.
Mikä tekee Qubes OS:stä niin hienon:
- Sen ”Security by Isolation” -lähestymistapa, jossa käytetään kontteja eli ”Qubeja”, poistaa huolen vaarantuneista ohjelmista.
- Kaikki nämä Qubit on integroitu yhdeksi yhteiseksi työpöytäympäristöksi, ja ne on merkitty väreillä, jotka helpottavat käyttäjiä pysymään järjestyksessä.
- Sandboxing suojaa järjestelmäkomponentteja.
- Qubes OS tarjoaa täyden levyn salauksen tiedostojen maksimaalista suojausta varten.
Tails
Tails käyttää Tor-verkkoa, yksityisyydensuojan ja nimettömyyden eduistaan tunnettua verkkoa, pitääkseen käyttäjät turvassa verkossa. Kaikki yhteydet kulkevat tämän verkon kautta, jolloin käyttäjien sijainti ja muut yksityiset tiedot jäävät piiloon. Tailsin mukana tulee suojattu selain, suojattu sähköpostiohjelma ja muita turvallisia Internet-työkaluja. Tails on tunnetuin yksityisyyteen keskittyvä distro, ja se on suosittu valinta vähemmän tekniikkaan perehtyneiden tietoturvan harrastajien keskuudessa.
Tails-projektin työntekijä selittää: ”Tailsin avulla kuka tahansa voi muuttaa minkä tahansa tietokoneen turvalliseksi ympäristöksi, jossa ei ole haittaohjelmia ja joka pystyy kiertämään sensuurin.”
Torin yksityisyydensuoja- ja sensuurinesto-ominaisuuksien lisäksi Tails antaa käyttäjille valtuudet kaikkialla maailmassa kehittämällä ja jakelemalla integroidun ja turvallisen käyttöjärjestelmän, joka suojaa käyttäjiä oletusarvoisesti useimmilta valvonta- ja sensuuriuhilta. Tails-projekti tarjoaa tietoturvan tason, jota yksittäiset sovellukset eivät pysty saavuttamaan, koska ne ovat viime kädessä riippuvaisia taustalla olevan käyttöjärjestelmän turvallisuudesta.
Tails-projekti luottaa vahvasti lahjoituksiin ja kumppanuuksiin säilyttääkseen riippumattomuutensa ja jatkaakseen Linux-yhteisön palvelemista.
Mikä tekee Tailsista niin hienon:
- Sen tiivis integroituminen Tor-verkkoon takaa anonymiteetin verkossa.
- Sisältyvä verkkoselain on valmiiksi konfiguroitu maksimaalista turvallisuutta varten, ja se sisältää lisäosia, kuten NoScriptin, Ublock Originin ja HTTPS Everywhere -palvelun.
- Käyttäjät pääsevät käsiksi Onion Circuitsiin, arvokkaaseen apuvälineeseensä, jonka avulla he voivat nähdä, miten heidän tietokoneensa kulkee Tor-verkon läpi.
- Tailsin mukana tulee Aircrack-NG:n langattoman verkon auditointityökalu.
- Käyttöjärjestelmä on salattu ja suunniteltu toimimaan täydellä toiminnallisuudella USB-asemalla.
- Distro sisältää sisäänrakennetun Bitcoin-lompakon, joka on ihanteellinen käyttäjille, jotka haluavat tehdä turvallisia kryptovaluuttatransaktioita.
Kali Linux
Kali Linux on alan standardin mukainen pentestausdistro. Se on yksi suosituimmista distroista pentestereiden, eettisten hakkereiden ja tietoturvatutkijoiden keskuudessa maailmanlaajuisesti, ja se sisältää satoja työkaluja.
Kali Linuxin avustaja antaa hieman tietoa distron historiasta ja sen käyttäjille tarjoamista eduista: ”Kali on nimetty hindujumalattaren mukaan, ja se on ollut olemassa jo pitkään – mutta sitä päivitetään edelleen viikoittain, sitä voidaan käyttää live-tilassa tai asentaa asemalle, ja sitä voidaan käyttää myös ARM-laitteissa, kuten Raspberry Pi:ssä.”
Mikä tekee Kali Linuxista niin loistavan?
- Kali Linux käyttää LUKS full-disk-salausta suojaamaan arkaluonteisia pentesting-tietoja katoamiselta, peukaloinnilta ja varkauksilta.
- Tämä joustava distro tarjoaa täydellisen räätälöinnin live-buildin avulla.
- Käyttäjät pystyvät automatisoimaan ja räätälöimään verkkoasennuksiaan Kali Linuxin kautta.
- ”Forensics”-tila tekee tästä distrosta täydellisen rikostekniseen työhön.
- Tässä on saatavilla Kaili Linux -koulutussarja nimeltä Kali Linux Dojo, jossa käyttäjät voivat oppia muokkaamaan omaa Kali-ISO:taan ja oppia pentestingin perusteet. Kaikki nämä resurssit ovat saatavilla Kali-verkkosivustolla maksutta. Kali Linux tarjoaa myös maksullisen pentesting-kurssin, jonka voi suorittaa verkossa ja jossa on 24 tuntia kestävä sertifiointikoe. Kun läpäiset tämän kokeen, olet pätevä pentesteri!
Parrot OS
Parrot OS:ää voidaan pitää täysin kannettavana laboratoriona monenlaisille kyberturvallisuustoiminnoille pentestoinnista käänteiseen suunnitteluun ja digitaaliseen rikostutkintaan – mutta tämä Debian-pohjainen distro sisältää myös kaiken, mitä tarvitset tietojesi suojaamiseen ja omien ohjelmistojen kehittämiseen.
Parrot OS päivitetään usein, ja se tarjoaa käyttäjille laajan valikoiman kovennus- ja hiekkalaatikkovaihtoehtoja. Distron työkalut on suunniteltu siten, että ne ovat yhteensopivia useimpien laitteiden kanssa Dockerin tai Podmanin kaltaisten konttiteknologioiden avulla. Parrot OS on erittäin kevyt ja toimii yllättävän nopeasti kaikilla koneilla – mikä tekee siitä loistavan vaihtoehdon järjestelmiin, joissa on vanha laitteisto tai rajalliset resurssit.
Mikä tekee Parrot OS:stä niin loistavan?
- Distro tarjoaa pentestereille ja digitaalisen rikostekniikan asiantuntijoille molempien maailmojen parhaat puolet – nykyaikaisen ”laboratorion”, jossa on täysi työkalupaketti vakiomuotoisten yksityisyydensuoja- ja tietoturvaominaisuuksien kera.
- Parrot OS:ssä toimivat sovellukset ovat täysin hiekkalaatikoituja ja suojattuja.
- Parrot OS on nopea, kevyt ja yhteensopiva useimpien laitteiden kanssa.
BlackArch Linux
Tämä suosittu pentestausdistro on peräisin Arch Linuxista, ja se sisältää yli 2000 erilaista hakkerointityökalua – näin voit käyttää mitä tahansa tarvitsemaasi ilman, että joudut latailemaan itsellesi uusia työkaluja. BlackArch Linux tarjoaa usein päivityksiä, ja sitä voidaan käyttää USB-tikulta tai CD-levyltä tai asentaa tietokoneelle.
BlackArch Linux muistuttaa sekä Kali Linuxia että Parrot OS:ää siinä, että se voidaan polttaa ISO-levyksi ja käyttää live-järjestelmänä, mutta on ainutlaatuinen siinä, että se ei tarjoa työpöytäympäristöä. Tämä nouseva distro tarjoaa kuitenkin suuren valikoiman valmiiksi konfiguroituja ikkunanhallintaohjelmia.
Mikä tekee BlackArch Linuxista niin hienon?
- BlackArch Linux tarjoaa suuren valikoiman hakkerointityökaluja ja valmiiksi konfiguroituja Window Managereita.
- Distro tarjoaa asennusohjelman, jossa on mahdollisuus rakentaa lähdekoodista.
- Käyttäjät voivat asentaa työkaluja joko yksitellen tai ryhmittäin modulaarisen pakettiominaisuuden avulla.
Whonix
Joskus live-käyttöjärjestelmän käyttäminen voi olla hankalaa – kone on käynnistettävä uudelleen joka kerta, kun sitä haluaa käyttää, mikä on työlästä ja aikaa vievää. Asentamalla käyttöjärjestelmän kiintolevyllesi; olet kuitenkin vaarassa, että käyttöjärjestelmä vaarantuu. Whonix tarjoaa ratkaisun tähän ahdinkoon – se on virtuaalikone, joka toimii ilmaisen Virtualbox-ohjelman sisällä ja pyrkii tarjoamaan turvallisuutta, yksityisyyttä ja anonymiteettiä internetissä.
Tämä Debian-pohjainen distro toimii kahdessa osassa – ensimmäinen osa, joka tunnetaan nimellä Gateway, reitittää kaikki yhteydet Tor-verkkoon. Toinen osa, jota kutsutaan työasemaksi, ajaa käyttäjän sovelluksia ja voi kommunikoida suoraan vain Gatewayn kanssa. Workstation VM voi ”nähdä” vain sisäisen lähiverkon IP-osoitteet, jotka ovat identtiset jokaisessa Whonix-asennuksessa. Näin ollen käyttäjäsovellukset eivät tiedä käyttäjän todellista IP-osoitetta, eikä niillä ole pääsyä mihinkään tietoihin sen koneen fyysisestä laitteistosta, jossa käyttöjärjestelmä on käynnissä. Tämä jaettu rakenne antaa käyttäjälle mahdollisuuden pysyä täysin anonyyminä ja vähentää DNS-vuotojen riskiä, jotka paljastavat yksityisiä tietoja, kuten selaushistoriaa.
Whonix on hiljattain lisännyt muistinvaraisen live-tilan, joka ”unohtaa” käyttäjän toiminnot – eikä jätä jälkiä levylle. Distro työskentelee parhaillaan yhtenäisen työpöytäkokemuksen luomiseksi. Whonix-kehittäjä Patrick Schleizer selittää: ”Tuleva Whonix-Host laajentaa monia käytettävyys- ja koventamisominaisuuksiamme koko työpöydälle.”
Whonix rohkaisee käyttäjiä antamaan palautetta käyttökokemuksistaan ja arvostaa vilpittömästi lahjoituksia ja panostuksia projektin jatkuvien ponnistelujen tukemiseksi.
Mikä tekee Whonixista niin hienon?
- Whonixin mukana tulee Tor-selain ja Tox privacy-pikaviestisovellus – varmistaen täysin anonyymin verkkoselailun ja pikaviestien lähettämisen.
- Käyttöjärjestelmä käyttää innovatiivista Host/Guest-suunnittelua, jonka avulla käyttäjien identiteetti voidaan kätkeä anonyymin välityspalvelimen taakse ja estää IP- ja DNS-tietojen vuotaminen.
- Distro sisältää esiasennetun Mozilla Thunderbird PGP-sähköpostin.
- Whonixiin on helppo asentaa Linux Kernel Runtime Guard (LKRG), ytimen moduuli, joka suorittaa Linux-ytimen ajonaikaisen eheyden tarkistuksen tietoturva-aukkojen ja -loukkausten havaitsemiseksi.
Openwall GNU/*/Linux (Owl)
Openwall GNU/*/Linux (tai lyhyesti Owl) on pieni palvelimille tarkoitettu tietoturvakorjattu distro, jonka ytimessä on Linux- ja GNU-ohjelmistoja, ja jota käytetään tällä hetkellä vain tutkimusmallina siitä, miltä turvallisen distribuution perustan tulisi näyttää. Owl on osa Openwall-projektia, joka tarjoaa tällä hetkellä valikoiman aktiivisia projekteja ja palveluja. Openwallin perusti käytännössä vuonna 1996 (mutta nykyisellä nimellään vuonna 1999) tunnettu venäläinen tietoturvakehittäjä Alexander Pesljak, joka tunnetaan paremmin nimellä Solar Designer ja joka on kuuluisa hyväksikäyttöä ja tietoturvan suojaustekniikoita koskevista tutkimuksistaan ja julkaisuistaan.
Mahdollisimman suuren tietoturvan varmistamiseksi Owlissa yhdistetään useita lähestymistapoja, joilla pyritään vähentämään sen ohjelmistokomponenttien haavoittuvuuksien lukumäärää ja/tai vaikutusta sekä käyttäjän mahdollisesti asentamien kolmansien osapuolten ohjelmistojen virheiden vaikutusta. Ensisijainen lähestymistapa on ennakoiva, perusteellinen lähdekoodin tarkistus useiden turvallisuushaavoittuvuusluokkien varalta. Muita keskeisiä lähestymistapoja ovat vähimpien oikeuksien periaatteen johdonmukainen soveltaminen ja oikeuksien erottelu. Owl käytti myös vahvaa salausta ydinkomponenttiensa sisällä, toisin kuin monet muut tuon ajan distrot, ja se sisältää tietoturvakäytäntöjen noudattamisen ennakoivan salasanojen tarkistuksen, verkko-osoitteisiin perustuvan pääsynvalvonnan ja eheyden tarkistuksen avulla, muiden arvokkaiden ominaisuuksien ohella.
Owlin erityispiirteenä on se, että distrossa ei ole käyttäjän ulottuvilla olevia SUID-kiinto-ohjelmistoja, mutta se on silti täysin toimiva. Owl oli myös yksi ensimmäisistä distroista, joka tarjosi konttien virtualisointia suoraan laatikosta OpenVZ:n avulla.
Olemme ottaneet Owlin mukaan tähän artikkeliin huolimatta siitä, että jakelu on tällä hetkellä tauolla, koska Owlilla on ollut tärkeä rooli avoimen lähdekoodin tietoturvayhteisössä sen perustamisesta lähtien. Tästä huolimatta uusien käyttäjien tulisi olla varovaisia valitessaan Owlia ja muita distroja, joita ei enää kehitetä, elleivät he pidä sitä koulutusmahdollisuutena tai aio lainata koodia ja/tai ideoita projektista.
Me uskomme, että tietoturvayhteisössä on vielä tilaa toiselle Owlin kaltaiselle distrolle, jota voidaan käyttää perustana turvallisten järjestelmien rakentamiselle käyttäen Openwall-projektista peräisin olevia työkaluja, kuten John the Ripper, Linux Kernel Runtime Guard ja useita salasanojen hakkerointitekniikoita.
Mikä tekee Owlista niin loistavan?
- Owl tarjosi yhteensopivuuden suurimman osan silloisten Linux-/GNU- distrojen kanssa, ja sitä voitiin pitää vankkana perustana järjestelmän rakentamiselle.
- Distro tarjosi täydellisen build-ympäristön, joka kykeni koko järjestelmän uudelleenrakentamiseen vain yhdellä yksinkertaisella komennolla – ”make buildworld”.
- Lähdekoodin proaktiivinen tarkastelu suojaa useiden luokkien tietoturva-aukkojen varalta.
- Distro sovelsi johdonmukaisesti vähimmän etuoikeuden periaatetta ja etuoikeuksien erottelua.
- Owlin keskeiset komponentit on suojattu vahvalla kryptografialla.
- Turvakäytäntöjä valvotaan ennakoivalla salasanojen tarkistuksella, verkko-osoitteisiin perustuvalla pääsynvalvonnalla, eheyden tarkistuksella ja muilla ominaisuuksilla.
- Owl tarjoaa konttien virtualisoinnin suoraan laatikosta.
- Distro on täysin toimiva, vaikka siinä ei ole käyttäjän saatavilla olevia SUID-kiintolevyjä.
Lue lisää Openwallin taustalla olevista käsitteistä.
Kiitos Solar Designerille useiden avainkysymysten korjaamisesta tämän artikkelin aikaisemman version Openwall GNU/*/Linux (Owl) -osiossa.
Lopputulos
On ilmeistä, että Linux tarjoaa monenlaisia distro-vaihtoehtoja pentestereille, ohjelmistokehittäjille, tietoturvatutkijoille ja käyttäjille, jotka ovat erityisen huolissaan turvallisuudestaan ja yksityisyydestään verkossa. Parhaan Linux-distron valitseminen omiin yksityisyystarpeisiin on tasapainoilua – jokainen distro tarjoaa erilaisen tasapainon yksityisyyden ja mukavuuden välillä.
Kohtaisten vaatimuksiesi ja huolenaiheidesi perusteella on todennäköistä, että yksi (tai useampi!) yllä esitellyistä distroista voisi sopia sinulle erinomaisesti – tarjoten etsimäsi työkalut ja ominaisuudet sekä mielenrauhan siitä, että järjestelmäsi on turvassa ja yksityisyytesi suojattu tässä nopeasti kehittyvässä nykyaikaisessa digitaalisessa uhkamaisemassa.