Privacy en veiligheid zijn dringende zorgen voor ons allemaal deze dagen – er gaat geen dag voorbij dat we niet worden gebombardeerd met beveiligingsnieuwskoppen over hacks, inbreuken en de toegenomen opslag en bewaking van gevoelige persoonlijke informatie door overheden en bedrijven.
Gelukkig, als het op beveiliging aankomt, doen Linux gebruikers het beter dan hun Windows- of Mac-gebruikende tegenhangers. Linux biedt inherente veiligheidsvoordelen ten opzichte van propriëtaire besturingssystemen dankzij de transparantie van de open-source code en de constante, grondige controle die deze code ondergaat door een levendige wereldwijde gemeenschap. Hoewel transparante broncode op het eerste gezicht een nachtmerrie voor de privacy lijkt, is het eigenlijk het tegenovergestelde. Als gevolg van de “vele ogen” die Linux voortdurend op zijn code heeft, worden kwetsbaarheden in de beveiliging zeer snel opgespoord en verholpen. In tegenstelling tot propriëtaire OS’en zoals Windows of MacOS, is de broncode verborgen voor buitenstaanders – met andere woorden, gebruikers zijn afhankelijk van Microsoft of Apple om kwetsbaarheden te vinden, te repareren en openbaar te maken. Linux is ook een relatief onpopulair doelwit voor kwaadwillende hackers vanwege de kleine gebruikersbasis.
Hoewel alle Linux “distro’s” – of gedistribueerde versies van Linux software – veilig zijn door ontwerp, gaan bepaalde distro’s verder en verder als het aankomt op het beschermen van de privacy en veiligheid van gebruikers. We hebben een lijst samengesteld van onze favoriete uitzonderlijk veilige Linux distro’s en met enkele van hun hoofdontwikkelaars gesproken om uit de eerste hand te weten te komen wat deze distro’s zo geweldig maakt. Dit artikel is bedoeld om u te helpen uw opties te evalueren en de distro te kiezen die het beste aan uw individuele behoeften voldoet.
Waarom een gespecialiseerde veilige Linux distro kiezen?
Terwijl de overstap van een propriëtair OS naar een normale Linux distro zoals Ubuntu, Fedora of Debian uw privacy online aanzienlijk kan verbeteren, is er ook een brede selectie van gespecialiseerde Linux distro’s beschikbaar voor gebruikers met serieuze privacy behoeften, zoals pentesters en ethische hackers wiens werk vereist dat zij hun identiteit online verbergen. Al deze “veilige Linux distro’s” hebben een intense focus op het bieden van maximale veiligheid, privacy en anonimiteit online, en veel van deze distro’s bevatten Tor technologieën en bieden een indrukwekkende selectie van hacking, pentesting en digitale forensische tools. Zoals u zich kunt voorstellen, zijn deze kenmerken en middelen van onschatbare waarde bij het beoordelen van de beveiligingsinfrastructuur van een organisatie of het uitvoeren van een beveiligingsaudit.
Elke distro biedt een unieke set van eigenschappen en voordelen, ontworpen om aan de verschillende eisen en prioriteiten van gebruikers te voldoen. Echter, deze voordelen komen met een aantal tradeoffs. De meest populaire besturingssystemen en programma’s hebben meestal de zwakste privacybescherming, maar zijn ook compatibel met de meerderheid van de websites en bieden de meeste ondersteuning. Terwijl bepaalde veilige Linux distro’s relatief mainstream en gebruiksvriendelijk zijn, hebben andere een steile leercurve, vooral voor minder technisch onderlegde gebruikers.
Onze Top 7 Linux Distro’s voor veiligheid, privacy en anonimiteit
Qubes OS
Qubes OS is een ideale keuze voor gebruikers die risico’s willen beperken door hun digitale leven te compartimenteren. Een belangrijk kenmerk van dit besturingssysteem is de beperking van risicovolle toepassingen tot afzonderlijke virtuele machines. Meerdere virtuele machines – of “Qubes” – worden gebruikt om systemen te organiseren en te scheiden rond “werk”, “persoonlijk”, “internet” enzovoort. Deze Qubes, die handig zijn voorzien van een kleurcodering om gebruikers te helpen ze van elkaar te onderscheiden, zijn uiterst veilig en kunnen privacyvoorvechters gemoedsrust bieden in een digitale omgeving die steeds indringender wordt. Als gevolg van deze compartimentering, als je toevallig malware downloadt naar je werk machine, zullen je persoonlijke bestanden niet worden aangetast en vice versa.
Integratie van verschillende Qubes wordt verzorgd door de Application Viewer, die een illusie creëert voor de gebruiker dat alle systeem applicaties direct op de desktop worden uitgevoerd – terwijl ze in werkelijkheid geïsoleerd worden gehost in aparte Qubes. De Dom0 domain manager, die de virtuele schijven van alle andere VM’s beheert, is geïsoleerd van het netwerk om aanvallen vanuit een geïnfecteerde VM te voorkomen.
In een gesprek met de LinuxSecurity-redacteuren zei Qubes OS Community Manager Andrew David Wong: “In plaats van te proberen alle beveiligingsfouten in software te verhelpen, gaat Qubes ervan uit dat alle software bugs bevat en verdeelt ze dienovereenkomstig, zodat wanneer fouten onvermijdelijk worden uitgebuit, de schade beperkt blijft en de meest waardevolle gegevens van de gebruiker worden beschermd.” De “Security by Isolation” aanpak met behulp van containers – aka “Qubes” – elimineert de zorg van gecompromitteerde programma’s.
Wat maakt Qubes OS zo geweldig:
- De “Security by Isolation” aanpak met behulp van containers – aka “Qubes” – elimineert de zorg van gecompromitteerde programma’s.
- Al deze Qubes zijn geïntegreerd in een gemeenschappelijke desktop omgeving en kleur-gecodeerd om gebruikers te helpen georganiseerd te blijven.
- Sandboxing beschermt systeemcomponenten.
- Qubes OS biedt volledige schijfversleuteling voor maximale bestandsbescherming.
Tails
Tails maakt gebruik van het Tor-netwerk, een netwerk dat bekend staat om zijn privacy- en anonimiteitsvoordelen, om gebruikers online veilig te houden. Alle verbindingen lopen via dit netwerk, waardoor de locatie van gebruikers en andere privé-informatie verborgen blijft. Tails wordt geleverd met een veilige browser, een veilige e-mailclient en andere veilige internettools. Tails is de meest bekende op privacy gerichte distro, en een populaire keuze onder minder technisch onderlegde beveiligingsenthousiastelingen.
Een medewerker van het Tails Project legt uit: “Met Tails kan iedereen elke computer veranderen in een veilige omgeving, vrij van malware en in staat om censuur te omzeilen.”
Bovenop de privacy en anti-censuur eigenschappen van Tor, stelt Tails gebruikers wereldwijd in staat door het ontwikkelen en distribueren van een geïntegreerd en veilig besturingssysteem dat gebruikers standaard beschermt tegen de meeste surveillance en censuur bedreigingen. De distro biedt een veiligheidsniveau dat individuele applicaties niet kunnen bereiken omdat ze uiteindelijk afhankelijk zijn van de veiligheid van het onderliggende besturingssysteem.
Het Tails Project leunt zwaar op donaties en partnerschappen om zijn onafhankelijkheid te behouden en de Linux-gemeenschap te blijven dienen.
Wat maakt Tails zo geweldig:
- De nauwe integratie met het Tor-netwerk zorgt voor anonimiteit online.
- De meegeleverde webbrowser is vooraf geconfigureerd voor maximale veiligheid en bevat add-ons zoals NoScript, Ublock Origin, en HTTPS Everywhere.
- Gebruikers krijgen toegang tot Onion Circuits, een waardevol hulpmiddel waarmee ze kunnen zien hoe hun PC door het Tor-netwerk reist.
- Tails wordt geleverd met de Aircrack-NG wireless network auditing tool.
- Het OS is versleuteld en ontworpen om met volledige functionaliteit op een USB-stick te draaien.
- De distro bevat een ingebouwde Bitcoin-portemonnee, ideaal voor gebruikers die veilige transacties met cryptocurrency’s willen uitvoeren.
Kali Linux
Kali Linux is een distro die standaard wordt gebruikt voor pentesting. Het is een van de meest populaire distro’s onder pentesters, ethische hackers en beveiligingsonderzoekers wereldwijd en bevat honderden tools.
Een medewerker van Kali Linux geeft wat inzicht in de geschiedenis van de distro en de voordelen die het gebruikers biedt: “Vernoemd naar een Hindoe-godin, Kali bestaat al een lange tijd – maar het wordt nog steeds wekelijks bijgewerkt, kan worden uitgevoerd in live-modus of geïnstalleerd op een schijf, en kan ook worden gebruikt op ARM-apparaten zoals Raspberry Pi.”
Wat maakt Kali Linux zo geweldig?
- Kali Linux maakt gebruik van LUKS full-disk encryptie om gevoelige pentesting gegevens te beschermen tegen verlies, knoeien en diefstal.
- Deze flexibele distro biedt volledige aanpassing met live-build.
- Gebruikers kunnen hun Kali Linux installaties automatiseren en aanpassen via het netwerk.
- De “Forensics”-modus maakt deze distro perfect voor forensisch werk.
- Er is een Kaili Linux-trainingssuite beschikbaar genaamd Kali Linux Dojo, waar gebruikers kunnen leren hoe ze hun eigen Kali ISO kunnen aanpassen en de basisbeginselen van pentesting kunnen leren. Al deze bronnen zijn gratis beschikbaar op de website van Kali. Kali Linux heeft ook een betaalde pentesting cursus die online kan worden gevolgd, met een 24-uurs certificatie examen. Als u voor dit examen slaagt, bent u een gekwalificeerde pentester!
Parrot OS
Parrot OS kan worden gezien als een volledig draagbaar laboratorium voor een breed scala aan cyberbeveiligingsactiviteiten, van pentesting tot reverse engineering en digitaal forensisch onderzoek – maar deze op Debian gebaseerde distro bevat ook alles wat u nodig hebt om uw gegevens te beveiligen en uw eigen software te ontwikkelen.
Parrot OS wordt regelmatig bijgewerkt en biedt gebruikers een brede selectie van hardening en sandboxing opties. De tools van de distro zijn ontworpen om compatibel te zijn met de meerderheid van de apparaten via containerisatie technologieën zoals Docker of Podman. Parrot OS is zeer licht van gewicht en draait verrassend snel op alle machines – waardoor het een geweldige optie is voor systemen met oude hardware of beperkte middelen.
Wat maakt Parrot OS zo geweldig?
- De distro biedt pentesters en digitale forensische experts het beste van twee werelden – een state-of-the-art “laboratorium” met een volledige suite van tools, vergezeld van standaard privacy en beveiligingsfuncties.
- Applicaties die draaien op Parrot OS zijn volledig gesandboxed en beschermd.
- Parrot OS is snel, lichtgewicht en compatibel met de meeste apparaten.
BlackArch Linux
Deze populaire pentesting distro is afkomstig van Arch Linux, en bevat meer dan 2.000 verschillende hacking tools – zodat je kunt gebruiken wat je nodig hebt zonder nieuwe tools te hoeven downloaden. BlackArch Linux biedt frequente updates, en kan worden uitgevoerd vanaf een USB-stick of CD of geïnstalleerd op uw computer.
BlackArch Linux is vergelijkbaar met zowel Kali Linux en Parrot OS in dat het kan worden gebrand op een ISO en uitgevoerd als een live-systeem, maar is uniek in dat het geen desktop-omgeving biedt. Deze opkomende distro biedt echter wel een grote selectie van voorgeconfigureerde Window Managers.
Wat maakt BlackArch Linux zo geweldig?
- BlackArch Linux biedt een grote selectie van hacking tools en voorgeconfigureerde Window Managers.
- De distro biedt een installer met de mogelijkheid om te bouwen vanaf broncode.
- Gebruikers kunnen tools individueel of in groepen installeren met de modulaire package functie.
Whonix
Soms kan het gebruik van een live OS onhandig zijn – je moet je machine iedere keer opnieuw opstarten als je het wilt gebruiken, wat vervelend en tijdrovend is. Door een OS op uw HD te installeren, loopt u echter het risico dat het OS wordt gecompromitteerd. Whonix biedt een oplossing voor deze hachelijke situatie – het is een virtuele machine die in het gratis programma Virtualbox werkt en als doel heeft om veiligheid, privacy en anonimiteit op het Internet te bieden.
Deze op Debian gebaseerde distro werkt in twee delen – het eerste deel, bekend als de Gateway, routeert alle verbindingen naar het Tor netwerk. Het tweede deel, bekend als het Workstation, draait gebruikersapplicaties en kan alleen direct communiceren met de Gateway. Het Workstation VM kan alleen IP adressen “zien” op de Interne LAN, die identiek zijn in elke Whonix installatie. Daarom hebben gebruikersapplicaties geen kennis van het echte IP adres van de gebruiker, noch hebben ze toegang tot enige informatie over de fysieke hardware van de machine waar het OS op draait. Dit gesplitste ontwerp stelt de gebruiker in staat om volledig anoniem te blijven en vermindert het risico van DNS lekken, die prive-informatie zoals uw web browse geschiedenis onthullen.
Whonix heeft onlangs een amnesic live-modus toegevoegd die de activiteiten van de gebruiker “vergeet” – zonder sporen op schijf achter te laten. De distro werkt momenteel aan het creëren van een uniforme desktop-ervaring. Whonix-ontwikkelaar Patrick Schleizer legt uit: “Onze aankomende Whonix-Host breidt veel van onze gebruiksvriendelijkheid en hardening functies uit naar de gehele desktop.”
Whonix moedigt gebruikers aan om feedback te geven op hun ervaring, en waardeert donaties en bijdragen om de voortdurende inspanningen van het project te ondersteunen.
Wat maakt Whonix zo geweldig?
- Whonix wordt geleverd met de Tor Browser en de Tox privacy instant messenger applicatie – waardoor volledig anoniem surfen op het web en instant messaging gegarandeerd is.
- Het OS maakt gebruik van een innovatief Host/Guest ontwerp om de identiteit van gebruikers achter de anonieme proxy te verbergen en IP en DNS lekken te voorkomen.
- De distro bevat vooraf ingestelde Mozilla Thunderbird PGP e-mail.
- Linux Kernel Runtime Guard (LKRG), een kernel module die runtime integriteitscontroles van de Linux kernel uitvoert om beveiligingslekken en exploits te detecteren, kan eenvoudig op Whonix worden geïnstalleerd.
Openwall GNU/*/Linux (Owl)
Openwall GNU/*/Linux (of kortweg Owl) is een kleine distro met verbeterde beveiliging voor servers met Linux en GNU software als kern, die momenteel alleen wordt gebruikt als onderzoeksmodel voor hoe de basis van een veilige distributie eruit zou moeten zien. Owl is onderdeel van het Openwall Project, dat momenteel een selectie van actieve projecten en diensten aanbiedt. Openwall is feitelijk opgericht in 1996 (maar onder zijn huidige naam in 1999) door de bekende Russische beveiligingsontwikkelaar Alexander Peslyak, beter bekend als Solar Designer, die beroemd is om zijn onderzoek en publicaties over exploitatie en beveiligingstechnieken voor computers.
Om maximale veiligheid te garanderen, combineert Owl verschillende benaderingen om het aantal en/of de impact van kwetsbaarheden in zijn softwarecomponenten en de impact van gebreken in software van derden die een gebruiker kan installeren te verminderen. De primaire benadering is proactieve, grondige controle van broncode voor meerdere klassen van beveiligingskwetsbaarheden. Andere belangrijke benaderingen zijn de consequente toepassing van het “least privilege”-beginsel en de invoering van privilegescheiding. Owl gebruikte ook sterke cryptografie in zijn kerncomponenten, in tegenstelling tot veel andere distro’s in die tijd, en bevat handhaving van beveiligingsbeleid door middel van pro-actieve wachtwoordcontrole, netwerk adres-gebaseerde toegangscontrole, en integriteitscontrole, naast andere waardevolle mogelijkheden.
Een onderscheidend kenmerk van Owl is dat de distro geen door de gebruiker toegankelijke SUID binaries heeft, maar toch volledig functioneel is. Owl was ook een van de eerste distro’s die container virtualisatie uit de doos aanbood, met behulp van OpenVZ.
We hebben Owl in dit artikel opgenomen ondanks het feit dat de distro momenteel in de wachtstand staat vanwege de belangrijke rol die Owl heeft gespeeld in de open-source beveiligingsgemeenschap sinds de oprichting. Dat gezegd hebbende, nieuwe gebruikers zouden voorzichtig moeten zijn met het selecteren van Owl en andere distro’s die niet langer worden ontwikkeld, tenzij ze het zien als een leermogelijkheid of van plan zijn om code en/of ideeën van het project te lenen.
Wij geloven dat er nog steeds ruimte is in de beveiligingsgemeenschap voor een andere distro zoals Owl die kan worden gebruikt als basis voor het bouwen van veilige systemen met hulpmiddelen afkomstig van het Openwall Project, waaronder John the Ripper, Linux Kernel Runtime Guard, en verschillende hashing technieken voor wachtwoorden.
Wat maakt Owl zo geweldig?
- Owl bood compatibiliteit met de meerderheid van Linux/GNU distro’s in die tijd, en kon worden gezien als een solide basis voor het bouwen van een systeem.
- De distro bood een complete build-omgeving waarmee een compleet systeem opnieuw kon worden gebouwd met slechts één simpel commando – “make buildworld”.
- Proactieve controle van broncode beschermt tegen meerdere klassen van beveiligingskwetsbaarheden.
- De distro past consequent het least privilege principe en privilege separation toe.
- De centrale componenten van Owl zijn beveiligd met sterke cryptografie.
- Het beveiligingsbeleid wordt afgedwongen met proactieve wachtwoordcontrole, netwerkadres-gebaseerde toegangscontrole, integriteitscontrole en andere mogelijkheden.
- Owl biedt container virtualisatie out of the box.
- De distro is volledig functioneel, ondanks dat er geen voor de gebruiker toegankelijke SUID-binaire bestanden zijn.
Lees meer over de concepten achter Openwall.
Dank aan Solar Designer voor het corrigeren van een aantal belangrijke problemen met de Openwall GNU/*/Linux (Owl) sectie van een eerdere versie van dit artikel.
The Bottom Line
Het is duidelijk dat Linux een grote verscheidenheid aan distro-opties biedt voor pentesters, software-ontwikkelaars, beveiligingsonderzoekers en gebruikers met een verhoogde zorg voor hun veiligheid en privacy online. Het kiezen van de beste Linux distro voor uw eigen privacy behoeften is een evenwichtsoefening – elke distro biedt een andere balans tussen privacy en gemak.
Gebaseerd op uw specifieke eisen en wensen, is het waarschijnlijk dat één (of vele!) van de distro’s die hierboven zijn beschreven, goed bij u passen – ze bieden de tools en mogelijkheden die u in een distro zoekt, maar ook de gemoedsrust dat uw systeem veilig is en uw privacy wordt beschermd in dit snel veranderende moderne digitale bedreigingslandschap.