Whonix 18.0 теперь доступен в виде крупного обновления. Однако, если вы о нём не слышали, позвольте нам начать с краткого введения.
Это дистрибутив на базе Debian, ориентированный на пользователей, которые заботятся о конфиденциальности и нуждаются в максимальной защите анонимности. Он основан на архитектуре безопасности, которая разделяет все действия на две виртуальные машины: виртуальную машину Gateway, которая направляет весь трафик исключительно через сеть Tor, и виртуальную машину Workstation, которая не имеет прямого доступа к интернету и может взаимодействовать только через Gateway.
Такая архитектура изолирует приложения от сетевого стека, предотвращая утечку IP-адресов даже в случае взлома программного обеспечения на рабочей станции. Теперь вернёмся к новинкам в новой версии.
Наиболее заметным изменением стал переход на среду рабочего стола LXQt, которая заменила Xfce во всей системе. В новой версии также реализована полная поддержка IPv6, представлен переработанный Kloak, работающий только с Wayland, для расширенной защиты от деанонимизации с помощью клавиатуры и мыши, а также интегрированы новейшие компоненты Kicksecure.
Ещё один компонент, который подвергся серьёзной доработке, — это Kloak, инструмент Whonix для защиты от отслеживания нажатий клавиш и движений мыши, который не позволяет злоумышленникам идентифицировать пользователя или составить его профиль на основе набора текста или движений мыши. Теперь он поддерживает исключительно Wayland и не использует устаревшую кодовую базу X11. Это обновление сокращает количество векторов для снятия цифровых отпечатков, улучшает маскировку движений мыши, добавляет естественную прокрутку, снижает загрузку процессора в режиме ожидания и обеспечивает усиленную песочницу для обнаружения композиторов.
Whonix 18.0
Пользователи Qubes получают преимущества от функции Qubes Event Buffering, которая включена по умолчанию в Qubes R4.3 и более поздних версиях и обеспечивает дополнительную защиту от анализа времени нажатия клавиш в виртуализированных средах.
Также были значительно улучшены сетевые возможности и инициализация Tor. Теперь IPv6 включен во всей системе, включая VirtualAddrNetworkIPv6, порты IPv6 в конфигурации шлюза и логику автоконфигурации в пакетах шлюза и рабочей станции.
Процедуры запуска Tor были переписаны таким образом, чтобы корректно ожидать возможности привязки к IPv6, проверять готовность сетевого интерфейса и предотвращать прослушивание Tor на недоступных IPv6-адресах. Конфигурация анонимайзера теперь использует systemd-networkd-wait-online и systemd-tmpfiles для повышения производительности и надёжности при загрузке.
Кроме того, базовая система претерпела множество изменений при переходе на LXQt. В PCManFM-Qt отключены миниатюры для защиты конфиденциальности, перестроены конфигурации Waybar, для блокировки экрана используется Swaylock, а лишние виджеты и элементы рабочего стола удалены.
Средство просмотра изображений по умолчанию переключается на Loupe, а USBGuard больше не устанавливается по умолчанию. Метапакеты были реорганизованы для большей наглядности, а шаблоны Qubes-Whonix обновлены для использования формата deb822 Debian и новых путей к репозиториям.
Что касается безопасности, то оболочка uwt для изоляции потоков Tor обеспечивает повышенную надёжность, улучшенную обработку ошибок, логику прокси-сервера с поддержкой IPv6 и более строгие параметры оболочки. Браузер Tor теперь использует IPv6, если это возможно, а в стеке добавлены новые сокеты для прослушивания IPv6 и пути IPC. Компоненты брандмауэра получили улучшенную автоматическую настройку IPv6, поддержку Qubes IPv6-адресации и исправленный диапазон обратной связи.
В Qubes-Whonix проведена значительная очистка. Удалены устаревшие модули systemd, устранены дублирующиеся запуски replace-ips, в скрипт замены добавлена логика IPv6, а также исправлено поведение, зависящее от шаблона. Обновления Proxy стали более надёжными, а переименованные пакеты, такие как qubes-thunderbird, отражены в системе.
Наконец, обновления установщика дополняют выпуск улучшенными сценариями отключения Hyper-V для пользователей Windows, более понятными журналами, более чистым кодом и повышенной надёжностью во время установки.
Для получения дополнительной информации см. объявление.
Whonix 18.0 уже доступен, и пользователи Whonix 17 могут выполнить обновление на месте, следуя опубликованным инструкциям по обновлению. Новые образы доступны для VirtualBox и KVM, а в ближайшее время ожидается отдельное объявление о Qubes-Whonix.