Privacidade e segurança são preocupações prementes para todos nós hoje em dia – não passa um dia que não sejamos bombardeados com manchetes de notícias de segurança sobre hacks, violações e o aumento do armazenamento e monitoramento de informações pessoais sensíveis por governos e corporações.
Felizmente, quando se trata de segurança, os usuários de Linux estão se saindo melhor do que os usuários de Windows ou Mac, que usam seus pares. O Linux oferece vantagens de segurança inerentes sobre os sistemas operacionais proprietários devido à transparência de seu código de código aberto e à revisão constante e completa que este código sofre por uma comunidade global vibrante. Embora o código-fonte transparente possa parecer, a princípio, um pesadelo de privacidade, na verdade é o oposto completo. Como resultado dos “muitos olhos” que o Linux tem em seu código o tempo todo, as vulnerabilidades de segurança são identificadas e remediadas muito rapidamente. Em contraste, com SOs proprietários como Windows ou MacOS, o código fonte é escondido de pessoas de fora – em outras palavras, os usuários dependem da Microsoft ou Apple para encontrar, corrigir e revelar vulnerabilidades. Linux também é um alvo relativamente impopular para hackers maliciosos devido à sua pequena base de usuários.
Embora todas as “distros” Linux – ou versões distribuídas de software Linux – sejam seguras por projeto, certas distros vão além e acima quando se trata de proteger a privacidade e segurança dos usuários. Reunimos uma lista de nossas distros Linux favoritas excepcionalmente seguras e falamos com alguns de seus principais desenvolvedores para descobrir em primeira mão o que torna essas distros tão boas. Este artigo visa ajudá-lo a avaliar suas opções e selecionar a distro que melhor atende suas necessidades individuais.
Por que escolher uma distros Linux segura especializada?
Embora mudar de um SO proprietário para uma distro Linux regular como Ubuntu, Fedora ou Debian possa aumentar significativamente sua privacidade online, há também uma ampla seleção de distros Linux especializadas disponíveis para usuários com sérias necessidades de privacidade como pentesters e hackers éticos cujo trabalho requer que eles escondam sua identidade online. Todas essas “distros Linux seguras” têm um foco intenso em fornecer aos usuários a máxima segurança, privacidade e anonimato online, e muitas delas incorporam tecnologias Tor e oferecem uma seleção impressionante de ferramentas de hacking, pentesting e forense digital. Como você pode imaginar, essas características e recursos são inestimáveis ao avaliar a infra-estrutura de segurança de uma organização ou ao realizar uma auditoria de segurança.
Cada distro oferece um conjunto único de características e benefícios concebidos para satisfazer os diferentes requisitos e prioridades dos utilizadores. No entanto, esses benefícios vêm com alguns tradeoffs. Os sistemas operacionais e programas mais populares normalmente têm as proteções de privacidade mais fracas, mas também são compatíveis com a maioria dos websites e oferecem o maior suporte. Enquanto certas distros Linux seguras são relativamente comuns e fáceis de usar, outras têm uma curva de aprendizado íngreme, especialmente para usuários menos experientes em tecnologia.
Nossos 7 Distros Linux Top 7 para Segurança, Privacidade e Anonimato
Qubes OS
Qubes OS é a escolha ideal para usuários que procuram mitigar o risco compartimentando sua vida digital. Uma característica chave deste sistema operacional é o confinamento de aplicações de alto risco para separar máquinas virtuais. Múltiplas máquinas virtuais – ou “Qubes” – são usadas para organizar e separar sistemas em torno de ‘trabalho’, ‘pessoal’, ‘Internet’ e assim por diante. Estes Qubes, que são convenientemente codificados por cores para ajudar os utilizadores a diferenciá-los, são altamente seguros e podem oferecer aos defensores da privacidade paz de espírito num ambiente digital cada vez mais invasivo. Como resultado desta compartimentação, se por acaso você baixar malware para sua máquina de trabalho, seus arquivos pessoais não serão afetados e vice-versa.
Integração de vários Qubes é fornecida pelo Application Viewer, o que cria uma ilusão para o usuário de que todas as aplicações do sistema executam nativamente na área de trabalho – quando na realidade eles são hospedados isoladamente em Qubes separados. O gestor de domínios Dom0, que gere os discos virtuais de todas as outras VMs, está isolado da rede para evitar ataques originados por uma VM infectada.
Em uma conversa com os editores do LinuxSecurity, Andrew David Wong, gerente da comunidade do SO Qubes, elaborou: “Ao invés de tentar corrigir todos os bugs de segurança no software, Qubes assume que todo o software é buggy e o compartimenta de acordo, de modo que quando as falhas são inevitavelmente exploradas, os danos são contidos e os dados mais valiosos do usuário são protegidos”. Sua abordagem “Segurança por Isolamento” usando containers – aka “Qubes” – elimina a preocupação de programas comprometidos.
O que torna o SO Qubes tão grande:
- A abordagem “Segurança por Isolamento” usando containers – aka “Qubes” – elimina a preocupação de programas comprometidos.
- Todos estes Qubes são integrados em um ambiente desktop comum e codificados por cores para ajudar os usuários a se manterem organizados.
- Sandboxing protege os componentes do sistema.
- Qubes OS oferece criptografia de disco completo para máxima proteção de arquivos.
Tails
Tails usa a rede Tor, uma rede anunciada por seus benefícios de privacidade e anonimato, para manter os usuários seguros online. Todas as ligações correm através desta rede – ocultando a localização dos utilizadores e outras informações privadas. Tails vem com um navegador seguro, um cliente de e-mail seguro e outras ferramentas de Internet seguras. A Tails é a mais conhecida distro focada na privacidade, e uma escolha popular entre os entusiastas da segurança menos experientes em tecnologia.
Um colaborador do Projecto Tails explica, “Com a Tails, qualquer pessoa pode transformar qualquer computador num ambiente seguro livre de malware e capaz de contornar a censura”.
Para além das propriedades de privacidade e anti-censura da Tor, a Tails dá poder aos utilizadores em todo o mundo ao desenvolver e distribuir um sistema operativo integrado e seguro que protege os utilizadores da maioria das ameaças de vigilância e censura por defeito. A distro fornece um nível de segurança que aplicativos individuais são incapazes de alcançar porque, em última análise, dependem da segurança do sistema operacional subjacente.
O Projeto Tails depende muito de doações e parcerias para manter sua independência e para continuar a servir a comunidade Linux.
O que torna o Tails tão grande:
- A sua estreita integração com a rede Tor garante o anonimato online.
- O navegador web incluído está pré-configurado para máxima segurança e inclui add-ons como NoScript, Ublock Origin, e HTTPS Everywhere.
- Os utilizadores têm acesso aos Onion Circuits, uma ferramenta valiosa que lhes permite ver como o seu PC atravessa a rede Tor.
- Tails vem com a ferramenta de auditoria de rede sem fio Aircrack-NG.
- O SO é criptografado e projetado para rodar com total funcionalidade em uma unidade USB.
- A distro possui uma carteira Bitcoin embutida ideal para usuários que procuram fazer transações seguras de moedas criptográficas.
Kali Linux
Kali Linux é uma distro pentesting padrão da indústria. É uma das distros mais populares entre pentesters, hackers éticos e pesquisadores de segurança no mundo inteiro e contém centenas de ferramentas.
Um contribuidor do Kali Linux fornece alguma visão da história da distro e dos benefícios que ela oferece aos usuários: “Com o nome de uma deusa hindu, Kali já existe há muito tempo – mas ainda é atualizado semanalmente, pode ser executado em modo live ou instalado em um drive, e também pode ser usado em dispositivos ARM como o Raspberry Pi”.
O que torna o Kali Linux tão grande?
- Kali Linux usa criptografia de disco completo LUKS para proteger dados sensíveis de pentestesting contra perda, adulteração e roubo.
- Esta distro flexível oferece total personalização com live-build.
- Os usuários podem automatizar e personalizar suas instalações do Kali Linux através da rede.
- O modo “Forensics” torna esta distro perfeita para o trabalho forense.
- Existe uma suite de treinamento Kaili Linux disponível chamada Kali Linux Dojo, onde os usuários podem aprender como personalizar seu próprio Kali ISO e aprender o básico de pentesting. Todos estes recursos estão disponíveis no site do Kali, gratuitamente. O Kali Linux também possui um curso de pentesting pago que pode ser feito online, com um exame de certificação de 24 horas. Uma vez aprovado neste exame, você é um pentester qualificado!
Parrot OS
Parrot OS pode ser visto como um laboratório totalmente portátil para uma ampla gama de operações de segurança cibernética, desde pentesting até engenharia reversa e forense digital – mas esta distro baseada em Debian também inclui tudo que você precisa para proteger seus dados e desenvolver seu próprio software.
Parrot OS é frequentemente actualizado e fornece aos utilizadores uma vasta selecção de opções de endurecimento e sandboxing. As ferramentas da distro são projetadas para serem compatíveis com a maioria dos dispositivos através de tecnologias de contentorização, como Docker ou Podman. O Parrot OS é muito leve e funciona surpreendentemente rápido em todas as máquinas – tornando-o uma ótima opção para sistemas com hardware antigo ou recursos limitados.
O que torna o Parrot OS tão grande?
- A distro fornece aos pentesters e especialistas em forense digital o melhor de dois mundos – um “laboratório” de última geração com um conjunto completo de ferramentas acompanhadas por características padrão de privacidade e segurança.
- Aplicações que rodam no SO Parrot são totalmente protegidas e protegidas.
- O SO Parrot é rápido, leve e compatível com a maioria dos dispositivos.
>
BlackArch Linux
Esta distro pentesting popular vem do Arch Linux, e contém mais de 2.000 ferramentas de hacking diferentes – permitindo que você use o que precisar sem ter que baixar novas ferramentas. O BlackArch Linux oferece atualizações frequentes, e pode ser executado a partir de uma pendrive ou CD ou instalado em seu computador.
BlackArch Linux é similar tanto ao Kali Linux quanto ao Parrot OS, pois pode ser gravado em uma ISO e executado como um sistema ao vivo, mas é único no sentido em que não fornece um ambiente desktop. No entanto, esta distro up-and-coming oferece uma grande seleção de gerenciadores de janelas pré-configurados.
O que torna o BlackArch Linux tão grande?
- BlackArch Linux oferece uma grande seleção de ferramentas de hacking e gerenciadores de janelas pré-configurados.
- A distro fornece um instalador com a capacidade de construir a partir do código fonte.
- Os usuários podem instalar ferramentas tanto individualmente quanto em grupos com o recurso de pacote modular.
Whonix
Algumas vezes usar um sistema operacional ao vivo pode ser inconveniente – você tem que reiniciar sua máquina toda vez que quiser usá-la, o que é entediante e demorado. Ao instalar um sistema operacional em seu HD, você corre o risco de que o sistema operacional seja comprometido. A Whonix oferece uma solução para esta situação – é uma máquina virtual que funciona dentro do programa livre Virtualbox e tem como objetivo fornecer segurança, privacidade e anonimato na Internet.
Esta distro baseada no Debian opera em duas partes – a primeira parte, conhecida como Gateway, roteia todas as conexões para a rede Tor. A segunda parte, conhecida como Workstation, executa aplicações do usuário e pode se comunicar diretamente apenas com o Gateway. A Estação de Trabalho VM só pode “ver” endereços IP na LAN interna, que são idênticos em todas as instalações da Whonix. Portanto, os aplicativos do usuário não têm conhecimento do endereço IP real do usuário, nem têm acesso a qualquer informação sobre o hardware físico da máquina na qual o SO está rodando. Esse design dividido permite que o usuário permaneça completamente anônimo e mitiga o risco de vazamentos de DNS, que revelam informações privadas, como seu histórico de navegação na Web.
Whonix adicionou recentemente um modo ao vivo amnésico que “esquece” as atividades do usuário – não deixando vestígios em disco. A distro está atualmente trabalhando para criar uma experiência de desktop unificada. Patrick Schleizer, desenvolvedor da Whonix, explica: “Nossa próxima Whonix-Host estende muitos de nossos recursos de usabilidade e endurecimento para toda a área de trabalho”
Whonix incentiva os usuários a fornecerem feedback sobre sua experiência e agradece sinceramente as doações e contribuições para apoiar os esforços contínuos do projeto.
O que torna a Whonix tão grande?
- Whonix vem com o Tor Browser e o aplicativo de mensagens instantâneas de privacidade Tox – assegurando uma navegação totalmente anônima na web e mensagens instantâneas.
- O SO emprega um design inovador de Host/Guest para ocultar a identidade dos usuários por trás do proxy anônimo e evitar vazamentos de IP e DNS.
- A distro possui e-mail PGP Mozilla Thunderbird pré-configurado.
- Linux Kernel Runtime Guard (LKRG), um módulo do kernel que executa a verificação da integridade do kernel Linux para detectar vulnerabilidades e exploits de segurança, pode ser facilmente instalado na Whonix.
Openwall GNU/*/Linux (Owl)
Openwall GNU/*/Linux (ou Owl para abreviar) é uma pequena distro de segurança para servidores com Linux e software GNU no seu núcleo, atualmente usada apenas como modelo de pesquisa para o que a base de uma distribuição segura deve parecer. Owl é parte do Openwall Project, que atualmente oferece uma seleção de projetos e serviços ativos. Openwall foi efetivamente fundado em 1996 (mas sob seu nome atual em 1999) pelo renomado desenvolvedor de segurança russo Alexander Peslyak, mais conhecido como Solar Designer, que é famoso por suas pesquisas e publicações sobre técnicas de exploração e proteção de segurança de computadores.
Para garantir a máxima segurança, Owl combina várias abordagens para reduzir o número e/ou impacto de vulnerabilidades em seus componentes de software e o impacto de falhas em softwares de terceiros que um usuário pode instalar. A abordagem principal é a revisão proativa e completa do código fonte para múltiplas classes de vulnerabilidades de segurança. Outras abordagens chave são a aplicação consistente do princípio do privilégio mínimo e a introdução da separação de privilégios. Owl também usou criptografia forte dentro de seus componentes principais, ao contrário de muitas outras distros na época, e inclui aplicação de políticas de segurança através de verificação proativa de senha, controle de acesso baseado em endereço de rede e verificação de integridade, entre outras capacidades valiosas.
Uma característica distintiva do Owl é que a distro não tem binários SUID acessíveis a usuários, mas é totalmente funcional. A Coruja foi também uma das primeiras distribuições a oferecer a virtualização de contentores fora da caixa, usando OpenVZ.
Incluímos a Coruja neste artigo apesar da distro estar actualmente em espera devido ao importante papel que a Coruja tem desempenhado na comunidade de segurança de código aberto desde o seu início. Dito isto, novos usuários devem ser cautelosos ao selecionar Coruja e outras distribuições não mais sendo desenvolvidas a menos que eles estejam vendo isto como uma oportunidade educacional ou pretendam pegar emprestado código e/ou idéias do projeto.
Acreditamos que ainda há espaço na comunidade de segurança para outra distro como Owl que pode ser usada como base para construir sistemas seguros usando ferramentas originadas do Projeto Openwall incluindo John the Ripper, Linux Kernel Runtime Guard, e várias técnicas de hashing de senhas.
O que torna a Owl tão grande?
- Owl forneceu compatibilidade com a maioria das distros Linux/GNU na época, e poderia ser vista como uma base sólida para construir um sistema.
- A distro forneceu um ambiente de compilação completo capaz de reconstruir um sistema inteiro com apenas um simples comando – “make buildworld”.
- A revisão ativa do código fonte defende contra múltiplas classes de vulnerabilidades de segurança.
- A distro aplica consistentemente o princípio de privilégios mínimos e separação de privilégios.
- Os componentes centrais da coruja são protegidos com criptografia forte.
- As políticas de segurança são aplicadas com verificação proativa de senha, controle de acesso baseado em endereço de rede, verificação de integridade e outras capacidades.
- A coruja oferece virtualização de contêineres fora da caixa.
- A distro é totalmente funcional, apesar de não ter binários SUID acessíveis ao usuário.
Ler mais sobre os conceitos por detrás do Openwall.
Obrigado ao Solar Designer por corrigir vários problemas chave com a secção Openwall GNU/*/Linux (Coruja) de uma versão anterior deste artigo.
O resultado final
É evidente que o Linux oferece uma grande variedade de opções de distro para pentesters, programadores de software, investigadores de segurança e utilizadores com uma preocupação acrescida com a sua segurança e privacidade online. Escolher a melhor distro Linux para suas próprias necessidades de privacidade é um ato de equilíbrio – cada disto oferece um equilíbrio diferente de privacidade vs. conveniência.
Baseado nas suas necessidades e preocupações específicas, é provável que uma (ou muitas!) das distribuições perfiladas acima possa ser um grande ajuste para você – oferecendo as ferramentas e capacidades que você está procurando em uma distro, bem como a paz de espírito que seu sistema é seguro e sua privacidade é protegida neste cenário de ameaças digitais modernas em rápida evolução.