Linux E X P R E S

Facebook

Anonym.OS: koncentrát anonymity z rodiny OpenBSD

openBSD.png

Čitateľovi priblížime niečo o rozdieloch BSD a Linuxu vrátane pohľadu, ako slová môžu niekedy zavádzať. Predstavíme pritom jedinečný live CD systém Anonym.OS zameraný na bezpečnosť a anonymitu, ktorý sa určite ukáže užitočný novinárom či ľuďom, ktorí pracujú v (trochu) rizikovom prostredí.


Aj keď je projekt Anonym.OS o anonymite, stojí na OpenBSD; a keďže o tematiku Linux vs BSD sa zaujíma veľa ľudí, uvedieme aspoň niekoľko informácií aj z pohľadu používania zavádzajúcich myšlienok, ktorých je nielen na internete, ale i v našom okolitom svete, naozaj veľa.

BSD vs Linux

Určite neľahká téma, pretože BSD a Linux stoja na iných základoch (iná história, iné jadro atď.) a ak chceme robiť porovnávanie s otázkou, že čo je „lepšie“, potrebujeme predovšetkým upresniť významy slov a aj detaily. Slovo „lepšie“ treba definovať, pretože pre každého môže byť lepšie niečo iné a toto slovo často odráža aj subjektívne vnímanie. Preto je niekedy nesprávne klásť otázky typu, že či je lepší mobilný internet (hoci drahší), alebo ten, ktorý máme u seba doma dostupný cez kábel (lacnejší), pretože aj jedna - navonok rovnaká vec, môže v sebe skrývať viac významov, a pokiaľ nevieme, o akom význame sa bavíme, musíme ho upresniť.

Čo je „lepšie“?

Pre porovnávanie vo svetle otázky „lepšie“ nie je ani dobré hovoriť o Linuxe všeobecne, pretože každý môže byť nakonfigurovaný inak. Konfigurácia je zložitý proces, za ktorým je množstvo práce a času a práve ona robí distribúciu distribúciou.

Obrázek:  6.jpg

Z bezpečnostných dôvodov si môžeme zmeniť aj MAC adresu našej sieťovej karty

Porovnateľný je skôr účel využívania v situácii, kedy sú oba systémy konfiguračne k sebe najbližšie - nie iba postaviť túto otázku všeobecne do vetra. Môžeme teda porovnávať isté funkcie, ktoré plnia nejaký účel, napríklad: 1) súborový systém Ext3 vs FFS; 2) ako funguje BSD a Linux ako router; 3) ako funguje BSD a Linux ako FTP server atď. Pre získanie seriózneho výsledku musíme zase testovať rôzne situácie a hľadiská vrátane bezpečnosti, simulovaných útokov atď.

Linux, BSD a ako vyzerá zavádzanie

Ak hovoríme o Linuxe, najprv sa treba spýtať - aký Linux a čo pod týmto slovom myslíme? Jadro si môže ktokoľvek upraviť a všetci vieme, že existuje aj bezpečnostná verzia jadra SELinux. Porovnanie BSD s Linuxom s jadrom SELinux a Linuxom so štandardným jadrom určite prinesie iné výsledky.

Linux - aj keď sa týmto termínom hovorovo označuje aj celý systém s aplikáciami - je terminologicky iba jadro a BSD jadro a základný systém (s programami ako chmod, passwd, ifconfig atď.). Je známe, že vývojári OpenBSD robia bezpečnostný auditing systému (nie balíkov ako OpenOffice, Firefox atď., ktoré sú v tomto prípade mimo, resp. sú pod kontrolou ich autorov) a pokiaľ sa bavíme o bezpečnosti, ktorýkoľvek distribútor Linuxu môže vykonať bezpečnostný auditing jadra a základných programov; bude to síce Linux, ale s iným obsahom.

Takisto to platí o OpenBSD - hoci ide o jeden systém, ak si niekto do prostredia X nainštaluje aplikáciu (ako balík pod kontrolou jej autora a nie vývojárov OpenBSD) s bezpečnostnými dierami a potom vyhlási, že sa niekto dostal do jeho účtu, jeho formulácia o tom, že OpenBSD má slabiny, bude zavádzajúca.

Z horeuvedeného vyplýva, že téma BSD vs Linux je príliš komplikovaná k tomu, aby niekto rýchlo zaujal jednostranné tvrdenia.

Anonym.OS - anonymita nielen tam, kde ste

BSD klony trošku zaostávali oproti Linuxu z pohľadu live CD distribúcií a i dnes je ich stále menej než linuxovských live CD. Čitateľom bude asi užitočná informácia o anonymite, keďže dnes internet sa stáva už aj nebezpečným a o OpenBSD sa v súčasnosti hovorí ako o jednom z najbezpečnejších systémov na svete, čo by rovnako malo platiť aj o jeho schopnosti vedieť nás ukrývať.

Stačí iba, ak napíšete pár poznámok vo fóre s nejakým politickým názorom a niekto potom môže monitorovať vašu IP adresu a zistiť vašu identitu. Medzi rizikové skupiny patria investigatívni novinári, diplomati, ale aj osoby v krajinách, kde sa porušujú ľudské práva.

Pre anonymitu slúži niekoľko spôsobov, medzi ktoré patrí aj anonymná sieť TOR, hoci na počítači, kde ste ho spustili, môžete po sebe nechať svoje „odtlačky“. Určite pomôžu aj anonymné proxy servery i iné riešenia, ale bezpečnostné live CD (alebo USB) je pre anonymitu vôbec to najlepšie, pretože ho budete môcť použiť v akomkoľvek počítači.

Okrem výberu systému či aplikácií je pre zachovanie bezpečnosti potrebné mať aj patričné správanie, pretože boháčovi nepomôže ani ten najdrahší a najlepší trezor, ak zabúda. A so „strateným kľúčom“ ani ten najviac zabezpečený počítač vlastne nie je zabezpečený, pretože je v rukách zlého správcu.

Obrázek:  1.jpg

Prostredie Fluxbox, menu v strede sa zobrazí po stlačení pravého tlačidla myši

Anonym.OS je starší systém OpenBSD 3.8, ktorý je však upravený pre účely anonymity a koncentruje v sebe všetky najznámejšie bezpečnostné triky. Užívateľ môže pravdaže okamžite používať anonymnú sieť TOR a vypnutá bude aj automatická aktualizácia programov ako Firefox, v ktorom bude zablokované aj používanie cookies.

TOR je sieť virtuálnych tunelov pre zabezpečenie anonymity na internete a používajú ju tisícky ľudí, aj novinári. Internet zneužívajú aj rôzne spoločnosti pre analýzu dát, kde často môžu byť i citlivejšie osobné dáta.

Po spustení vás CD navedie v angličtine už aj s bezpečnostnými tipmi - ponúkne zmeniť MAC adresu vašej sieťovej karty, vygeneruje heslo (alebo si ho vytvoríte sami) a napokon dostanete voľbu si nakonfigurovať internet.

Obrázek:  5.jpg

Heslo, pomocou ktorého sa dostaneme do administrátorského účtu, buď vygeneruje systém automaticky, alebo si ho určíme sami

Heslo je spoločné pre administrátorský i užívateľský účet. Do administrátorského účtu sa dostanete pomocou príkazu su + heslo a budete môcť nakonfigurovať niektoré vlastnosti systému manuálne (napríklad /etc/resolv.conf a pod.), čo však nie je vôbec potrebné, lebo Anonym.OS bude hneď fungovať.

Obrázek:  6.jpg

Z bezpečnostných dôvodov si môžeme zmeniť aj MAC adresu našej sieťovej karty

Po inicializácii sa adresáre /var, /etc, /dev, /tmp a /home uložia do pamäti, takže je možné meniť konfigurácie i počas behu. Anonym.OS používa jednoduchý X Window manažér Fluxbox a užívateľ má voľbu vybrať si aj CLI (command line interface) prostredie, kde pre prácu s internetom môže používať staručký textový prehliadač Lynx. Šifrovanie swap súboru je samozrejmosťou.

V grafickom prostredí Anonym.OS (Fluxbox) vidieť tri ikony na samom spodku - a to Firefox pre prezeranie webu, Thunderbird pre prácu s emailami a Gaim (instant messenger). K menu Fluxbox sa dostanete kliknutím pravým tlačidlom myši na ploche desktopu.

Okrem základného vybavenia jednoduchého grafického prostredia treba pripomenúť, že Anonym.OS je plne funkčný OpenBSD systém aj s manuálovými stránkami a všetkým, čo OpenBSD robí plnohodnotným operačným systémom. Projekt vytvorila Kaos.Theory - skupina nadšencov v zámorí, ktorých cieľom je upevňovať povedomie širšej verejnosti o našej bezpečnosti, a tak prispieť k niečomu dobrému.

Anonym.OS šifruje odchádzajúce dáta a disponuje silnými firewall pravidlami, takže ho skenery na sieti iba ťažko nájdu. Aj v prípade, že CD náhodou nebude schopné pracovať s nejakým počítačom, možné je používať ISO obraz i samotné CD v prostredí VMware Player a pravdaže aj VMware Server.

Firefox je nastavený na lokálnu stránku /static/readme.html, ktorú po jeho spustení uvidíte. Firefox používa proxy (Privoxy) adresu 127.0.0.1 a port 8118. Privoxy je vyspelé proxy riešenie s mocnými filtrovacími schopnosťami - dokáže filtrovať obsah webu, kontrolovať cookies, odstraňovať pop-up reklamy atď.

Obrázek:  2.jpg

Proxy servery vo Firefox sú už nastavené a užívateľ nemusí nič meniť

Kaos.Theory v /static/readme.html neodporúča používať P2P programy ako Bittorrent, Napster či LimeWire cez sieť TOR, pretože ju zbytočne zaťažujú. A keďže pre OpenBSD neexistuje natívny Adobe Flash, nečakajte ani, že budete môcť pozerať Youtube video. To však mi nešlo ani cez istú anonymnú webovú službu, teda často nepomôže ani Windows či Linux.

Pár tipov, ako si Anonym.OS prispôsobiť

Treba vytvoriť zapisovateľný adresár, keďže /usr adresár je na CD (/dev/cd0a) a nie je zapisovateľný. Aj keď sa s týmto treba trochu pohrať, čitateľov určite zaujme, ako sa vytvára súborový systém v pamäti; slúži k tomu príkaz mount_mfs, napríklad: mount_mfs -s 98304 swap /tmp/mnt2 (vytvorí sa 45 MB v pamäti, ktorá bude dostupná v adresári /tmp/mnt2).

Obrázek:  3.jpg

Ak máte dostatok RAM, budete mať aj dostatok zapisovateľného priestoru

Pre užívateľské zásahy do prostredia live CD určite nájdete viac krokov. Ak by ste chceli zakomponovať nejaký program do Anonym.OS, najlepšie je to realizovať formou kompilácie programu do statického binárneho súboru. Znamená to, že hoci sa program o niečo zväčší, aj keď ho kompilujete na OpenBSD 4.3, knižnice sa do programu uložia a ten bude spustiteľný na akomkoľvek OpenBSD, aj na Anonym.OS. Je to však menší programátorský oriešok a treba skúšať. Obyčajne skoro každý skript configure umožňuje voľbu --enable-static, takže to ani nie je zložité.

Anonym.OS je špeciálne zameraný na ukrytie sa na sieti a CD nemá skenovací softvér, hoci na ňom nájdete nainštalované aj rôzne balíky ako Antiword, Bash (v OpenBSD sa používa iný shell a priaznivcom shellu Bash stačí napísať do príkazového riadku: bash), Esound, GNUpg (slobodný klon PGP), Imlib, IRC klient Irssi, Links (ďalší textový www prehliadač), Mutt, staručký Midnight Commander, ncftp, GTK súborový manažér Rox-Filer, rsync, screen, unzip, zip a ešte všeličo vrátane Perlu a Pythonu.

Pokiaľ si vyberiete iba CLI prostredie, vždy budete mať možnosť prejsť do grafického sveta prostredníctvom startx. Na moje veľké prekvapenie bolo možné aktivovať i linuxovskú emuláciu (sysctl kern.emul.linux=1). Úžasné!

Obrázek:  4.jpg

Charakter jadra zmeníme príkazom "sysctl", ale iba v administrátorskom účte

Takéto CD je pre skúsenejších aj ľahké si vyrobiť z novších verzií OpenBSD, len je potrebné odchytiť adresár /var/db/pkg (obsahuje zoznam inštalovaných balíkov), aby sme nezabudli na myšlienky autorov Anonym.OS a ani na balíky ako TOR a Privoxy. Skopírovať musíme aj /etc adresár, kde sú tie najdôležitejšie konfiguračné skripty. Jadro treba prekompilovať s týmito údajmi:

option RAMDISK_HOOKS
option MINIROOTSIZE=3560
config bsd root on cd0c

To je však iba pre orientáciu, keďže tento príspevok nie je o tom, ako si také CD spraviť. Ak však sa niekto v dlhých večeroch rád pohráva s Unixom, bude mať záchytný bod. A v odkazoch nižšie sú distribúcie, na stránkach ktorých sú zverejnené návody pre tvorbu live CD s OpenBSD.

Obrázek:  7.jpg

Ak si zvolíme CLI (Command Line) prostredie, do okien (Windowed) sa vždy dostaneme príkazom "startx"

Anonym.OS má veľkosť 562 MB a po skúsenostiach s tvorbou vlastnej a úspešnej live CD i USB distribúcie (ktorú zatiaľ ešte nikto nevidel) môžem zodpovedne povedať, že v OpenBSD neexistuje niečo ako cloop (kompresia dát v ISO súboroch; cloop možno nájsť, ale je to nedorobené), hoci určite by sa dala nejaká kompresia vymyslieť. Live CD sú z tohto dôvodu o čosi menej objemné z pohľadu ponuky aplikácií a Linux tu zase akosi dostáva body.

Diskuze (2) Nahoru