- Сообщения
- 57
- Реакции
- 57
Тебе говорят: поставь Tails, загрузись с флешки — и ты невидимка. Звучит как план, пока не узнаёшь что Facebook заплатила стороннему подрядчику за разработку 0-day эксплойта под Tails, чтобы деанонимизировать одного конкретного пользователя. И это не теория из учебника — парень получил 75 лет. Так что давай разберёмся, что эти системы реально могут, а где начинается сказка.
Tails — амнезия на флешке
Tails (The Amnesic Incognito Live System) — грузится с USB, весь трафик через Tor, после выключения не оставляет следов на машине. Не трогает жёсткий диск хоста, не пишет swap, при завершении работы затирает RAM случайными данными. Эдвард Сноуден его использовал, журналисты используют, в даркнете он стандарт де-факто.
Что умеет:
Где слабые места:
Главная проблема — нет изоляции на уровне VM. Всё крутится в одной системе. Если атакующий пробивает браузер или любое другое приложение — он получает доступ ко всей сессии целиком. Нет барьера между "скомпрометированным процессом" и "сетевым стеком". В январе 2025 года аудит от Radically Open Security выявил кучу уязвимостей в Tails 6.10 — через скомпрометированное приложение можно было получить информацию о Tor-цепочках, подключиться без Tor через Unsafe Browser, мониторить активность в Tor Browser и даже установить малварь через Tails Upgrader, которая переживёт перезагрузку. Всё пофиксили в 6.11, но сам факт говорит о многом.
Ну и кейс с Buster Hernandez — тот самый, которого Facebook помогла поймать. Он использовал Tails для всего, сидел через Tor, был уверен что неуязвим. Facebook наняла стороннюю контору, которая написала 0-day под GNOME Videos (дефолтный видеоплеер в Tails). Жертве подсунули специальный видеофайл, он его открыл — и эксплойт слил реальный IP. ФБР арестовали его в 2017, а в 2021 дали 75 лет. Самое интересное — Facebook даже не сообщила об уязвимости разработчикам Tails. То есть 0-day мог оставаться рабочим ещё какое-то время.
Whonix — два VM и никаких утечек
Whonix подходит к проблеме иначе. Вместо одной системы — две виртуальные машины. Gateway (шлюз) — пропускает весь трафик через Tor. Workstation (рабочая станция) — тут ты работаешь, но она вообще не знает твой реальный IP. Даже если малварь получит root на Workstation — она физически не сможет узнать твой настоящий адрес, потому что эта информация существует только на Gateway.
Что умеет:
Где слабые места:
Whonix работает на хостовой ОС — обычно это Linux или Windows. Если хост скомпрометирован, никакие VM не спасут. Гипервизор — это дополнительная поверхность атаки, и VM escape эксплойты существуют (CVE-2024-22252 для VMware, например). На практике это сложная атака, но спецслужбы уровня NSA такими вещами занимаются.
Нет амнезии — данные остаются на диске хоста между сессиями. Если машину изъяли включённой или если full-disk encryption не настроен — всё читается. Tails в этом смысле чище: выдернул флешку, RAM затёрлась, нет компьютера — нет данных.
И ещё момент — Whonix не защищает от тебя самого. Забыл и полез в личную почту из Workstation? Открыл документ с метаданными? Скопировал файл из Workstation на хост и отправил через обычный браузер? Всё, корреляция установлена.
Kodachi — швейцарский нож с вопросами
Linux Kodachi — проект одного человека (Warith Al Maawali), позиционируется как всё-в-одном для анонимности. Трафик через VPN + Tor + DNS-шифрование, встроенный набор инструментов — VeraCrypt, KeePassXC, MAT (очистка метаданных), Panic Room с уничтожением данных и затиркой RAM.
TechRadar шесть лет подряд ставит Kodachi на первое место среди приватных дистрибутивов. Звучит внушительно, но есть нюансы.
Исследователи из bitsex.net провели разбор и нашли проблемы: hardware ID не маскируется, куча ненужных приложений увеличивает поверхность атаки, встроенный бесплатный VPN — один сервер, контролируемый автором проекта. То есть весь твой трафик идёт через VPN одного человека, которому ты должен доверять полностью. А кто он, какая у него инфраструктура, логирует ли — вопросы без ответов.
Kodachi 9.0 добавил AI-шлюз для управления инструментами на естественном языке — прикольно, но для ОС, заявляющей максимальную приватность, отправка команд через AI выглядит как минимум странно.
В общем, для обычного пользователя Kodachi может быть удобнее чем Tails — графически приятнее, больше инструментов из коробки. Но для серьёзных задач доверие к одному разработчику и его VPN-серверу — это слишком большой компромисс.
Qubes OS — параноидальная изоляция
Qubes — другая философия. Тут не про анонимность напрямую, а про изоляцию. Каждая задача — в отдельной виртуальной машине (qube). Рабочие документы в одном qube, браузер в другом, почта в третьем. Если браузер скомпрометирован — атакующий застрял в одном кубе, до остальных не добраться. Whonix можно запустить внутри Qubes — получишь и изоляцию, и анонимность.
Qubes использовал Сноуден, рекомендует Фонд свободы прессы, Micah Lee из The Intercept. Это самая параноидальная ОС из доступных.
Но:
Qubes — это крепость, но крепость которую нужно строить самому. Для человека, который готов потратить время на настройку и имеет железо под это — лучшего варианта нет. Для всех остальных — порог входа слишком высокий.
Как ломают Tor — фундамент под всеми этими ОС
Все четыре системы зависят от Tor. И если Tor скомпрометирован — неважно, какая ОС сверху.
В 2024 году всплыла информация что немецкие спецслужбы провели успешные timing-атаки на Tor. Суть: если контролируешь достаточно нод (входных и выходных), можно коррелировать трафик по времени и объёму — кто куда ходил. Журналисты раскопали документы где описаны четыре успешных деанонимизации в рамках одного расследования.
В конце 2025 года появился RECTor — метод корреляции входящего трафика на entry guard с исходящим на exit node через learned embeddings. А SUMo (Sliding Subset Sum) позволяет группе провайдеров проводить распределённый анализ Tor-трафика с помощью ML-классификаторов. И TOScorr — deep learning атака на onion-сервисы с Transformer-архитектурой.
Tor Project в ответ увеличил число нод, добавил Vanguards для защиты onion-сервисов, но признал что timing-атаки — фундаментальная проблема, полностью решить которую архитектурно невозможно.
Silk Road — ни одна ОС не спасёт от OPSEC-фейлов
Росс Ульбрихт — создатель Silk Road — использовал Tor для всего, но спалился на человеческих ошибках. В 2011 году он продвигал Silk Road на BitcoinTalk под своим реальным email [email protected]. На StackOverflow спрашивал про PHP-подключения к скрытым Tor-сервисам под именем frosty — тот же alias нашли в SSH-ключе на сервере Silk Road. В его Google-аккаунте нашли ссылки на Mises Institute — ту же организацию часто упоминал Dread Pirate Roberts на форуме Silk Road.
Арестовали его в библиотеке с открытым ноутбуком — агенты разыграли семейную ссору, он отвлёкся, ноут выхватили до того как он успел закрыть крышку. Диск не зашифрован, сессия активна, все доказательства на экране.
Никакая ОС не помогла бы. Проблема была между стулом и монитором.
Что выбрать и для чего
Нет универсального ответа — зависит от модели угроз.
Tails — когда главная угроза это физический доступ. Загрузился, сделал дело, выключил — следов нет. Идеален для разовых задач, работы с чужого компьютера, ситуаций где ноутбук могут изъять. Минус — слабая изоляция, один 0-day в браузере и ты голый.
Whonix — когда нужна постоянная работа с гарантией что IP не утечёт. Два VM = архитектурная защита, а не "надеемся что приложение не сглючит". Минус — нет амнезии, хостовая ОС остаётся уязвимой.
Qubes + Whonix — параноидальный максимум. Изоляция между задачами + анонимность + можно добавить амнезию через RAM-mode. Минус — нужно железо, время и мозги на настройку.
Kodachi — для тех кто хочет "приватный Linux из коробки" без погружения в тему. Удобно, красиво, много инструментов. Минус — один разработчик, его VPN, закрытая инфраструктура. Для реальных задач — доверия мало.
Связка — самый надёжный подход это не одна ОС, а цепочка. Tails на одноразовом ноуте из объявлений, купленном за наличку, через мост obfs4 в чужом Wi-Fi — это уже несколько слоёв, каждый из которых нужно пробивать отдельно. Добавь сюда одноразовый телефон для регистраций и Monero для оплаты — и ты создал достаточно слоёв чтобы cost of attack стал неприемлемым для большинства противников.
Ни одна система не делает тебя невидимым. Каждая — один слой защиты, который работает ровно до тех пор, пока ты не ошибёшься сам.
Tails — амнезия на флешке
Tails (The Amnesic Incognito Live System) — грузится с USB, весь трафик через Tor, после выключения не оставляет следов на машине. Не трогает жёсткий диск хоста, не пишет swap, при завершении работы затирает RAM случайными данными. Эдвард Сноуден его использовал, журналисты используют, в даркнете он стандарт де-факто.
Что умеет:
- Полная амнезия — выключил и ничего не осталось. Физический доступ к машине после shutdown ничего не даст
- Весь трафик принудительно через Tor — приложение не может обойти, даже если захочет
- RAM wipe при выключении — защита от cold boot attack (хотя видеопамять пока не затирается, и это открытый тикет)
- Persistent Storage с LUKS-шифрованием — для тех кому нужно сохранять между сессиями
- Root отключён по дефолту
Где слабые места:
Главная проблема — нет изоляции на уровне VM. Всё крутится в одной системе. Если атакующий пробивает браузер или любое другое приложение — он получает доступ ко всей сессии целиком. Нет барьера между "скомпрометированным процессом" и "сетевым стеком". В январе 2025 года аудит от Radically Open Security выявил кучу уязвимостей в Tails 6.10 — через скомпрометированное приложение можно было получить информацию о Tor-цепочках, подключиться без Tor через Unsafe Browser, мониторить активность в Tor Browser и даже установить малварь через Tails Upgrader, которая переживёт перезагрузку. Всё пофиксили в 6.11, но сам факт говорит о многом.
Ну и кейс с Buster Hernandez — тот самый, которого Facebook помогла поймать. Он использовал Tails для всего, сидел через Tor, был уверен что неуязвим. Facebook наняла стороннюю контору, которая написала 0-day под GNOME Videos (дефолтный видеоплеер в Tails). Жертве подсунули специальный видеофайл, он его открыл — и эксплойт слил реальный IP. ФБР арестовали его в 2017, а в 2021 дали 75 лет. Самое интересное — Facebook даже не сообщила об уязвимости разработчикам Tails. То есть 0-day мог оставаться рабочим ещё какое-то время.
Whonix — два VM и никаких утечек
Whonix подходит к проблеме иначе. Вместо одной системы — две виртуальные машины. Gateway (шлюз) — пропускает весь трафик через Tor. Workstation (рабочая станция) — тут ты работаешь, но она вообще не знает твой реальный IP. Даже если малварь получит root на Workstation — она физически не сможет узнать твой настоящий адрес, потому что эта информация существует только на Gateway.
Что умеет:
- Архитектурная защита от утечки IP — DNS leak, WebRTC leak, любой leak в принципе невозможен из Workstation
- Малварь с root-правами на рабочей станции не может деанонимизировать пользователя
- Можно запускать несколько изолированных Workstation — разные личности на разных VM
- Работает поверх VirtualBox, KVM или Qubes
Где слабые места:
Whonix работает на хостовой ОС — обычно это Linux или Windows. Если хост скомпрометирован, никакие VM не спасут. Гипервизор — это дополнительная поверхность атаки, и VM escape эксплойты существуют (CVE-2024-22252 для VMware, например). На практике это сложная атака, но спецслужбы уровня NSA такими вещами занимаются.
Нет амнезии — данные остаются на диске хоста между сессиями. Если машину изъяли включённой или если full-disk encryption не настроен — всё читается. Tails в этом смысле чище: выдернул флешку, RAM затёрлась, нет компьютера — нет данных.
И ещё момент — Whonix не защищает от тебя самого. Забыл и полез в личную почту из Workstation? Открыл документ с метаданными? Скопировал файл из Workstation на хост и отправил через обычный браузер? Всё, корреляция установлена.
Kodachi — швейцарский нож с вопросами
Linux Kodachi — проект одного человека (Warith Al Maawali), позиционируется как всё-в-одном для анонимности. Трафик через VPN + Tor + DNS-шифрование, встроенный набор инструментов — VeraCrypt, KeePassXC, MAT (очистка метаданных), Panic Room с уничтожением данных и затиркой RAM.
TechRadar шесть лет подряд ставит Kodachi на первое место среди приватных дистрибутивов. Звучит внушительно, но есть нюансы.
Исследователи из bitsex.net провели разбор и нашли проблемы: hardware ID не маскируется, куча ненужных приложений увеличивает поверхность атаки, встроенный бесплатный VPN — один сервер, контролируемый автором проекта. То есть весь твой трафик идёт через VPN одного человека, которому ты должен доверять полностью. А кто он, какая у него инфраструктура, логирует ли — вопросы без ответов.
Kodachi 9.0 добавил AI-шлюз для управления инструментами на естественном языке — прикольно, но для ОС, заявляющей максимальную приватность, отправка команд через AI выглядит как минимум странно.
В общем, для обычного пользователя Kodachi может быть удобнее чем Tails — графически приятнее, больше инструментов из коробки. Но для серьёзных задач доверие к одному разработчику и его VPN-серверу — это слишком большой компромисс.
Qubes OS — параноидальная изоляция
Qubes — другая философия. Тут не про анонимность напрямую, а про изоляцию. Каждая задача — в отдельной виртуальной машине (qube). Рабочие документы в одном qube, браузер в другом, почта в третьем. Если браузер скомпрометирован — атакующий застрял в одном кубе, до остальных не добраться. Whonix можно запустить внутри Qubes — получишь и изоляцию, и анонимность.
Qubes использовал Сноуден, рекомендует Фонд свободы прессы, Micah Lee из The Intercept. Это самая параноидальная ОС из доступных.
Но:
- Жрёт ресурсы — минимум 16 ГБ RAM, лучше 32. Не каждый ноутбук потянет
- Кривая обучения крутая — это не "загрузился и работай", нужно понимать архитектуру
- Файлы между кубами передаются без проверки целостности — это задокументированная проблема. Атакующий в одном кубе может через это прыгнуть в другой
- GPU-ускорение не работает в изолированных VM — Firefox с новым рендерером тормозит заметно
- UEFI Secure Boot не поддерживается из коробки
- Нет амнезии по дефолту (хотя есть community-гайд по запуску dom0 из RAM)
Qubes — это крепость, но крепость которую нужно строить самому. Для человека, который готов потратить время на настройку и имеет железо под это — лучшего варианта нет. Для всех остальных — порог входа слишком высокий.
Как ломают Tor — фундамент под всеми этими ОС
Все четыре системы зависят от Tor. И если Tor скомпрометирован — неважно, какая ОС сверху.
В 2024 году всплыла информация что немецкие спецслужбы провели успешные timing-атаки на Tor. Суть: если контролируешь достаточно нод (входных и выходных), можно коррелировать трафик по времени и объёму — кто куда ходил. Журналисты раскопали документы где описаны четыре успешных деанонимизации в рамках одного расследования.
В конце 2025 года появился RECTor — метод корреляции входящего трафика на entry guard с исходящим на exit node через learned embeddings. А SUMo (Sliding Subset Sum) позволяет группе провайдеров проводить распределённый анализ Tor-трафика с помощью ML-классификаторов. И TOScorr — deep learning атака на onion-сервисы с Transformer-архитектурой.
Tor Project в ответ увеличил число нод, добавил Vanguards для защиты onion-сервисов, но признал что timing-атаки — фундаментальная проблема, полностью решить которую архитектурно невозможно.
Silk Road — ни одна ОС не спасёт от OPSEC-фейлов
Росс Ульбрихт — создатель Silk Road — использовал Tor для всего, но спалился на человеческих ошибках. В 2011 году он продвигал Silk Road на BitcoinTalk под своим реальным email [email protected]. На StackOverflow спрашивал про PHP-подключения к скрытым Tor-сервисам под именем frosty — тот же alias нашли в SSH-ключе на сервере Silk Road. В его Google-аккаунте нашли ссылки на Mises Institute — ту же организацию часто упоминал Dread Pirate Roberts на форуме Silk Road.
Арестовали его в библиотеке с открытым ноутбуком — агенты разыграли семейную ссору, он отвлёкся, ноут выхватили до того как он успел закрыть крышку. Диск не зашифрован, сессия активна, все доказательства на экране.
Никакая ОС не помогла бы. Проблема была между стулом и монитором.
Что выбрать и для чего
Нет универсального ответа — зависит от модели угроз.
Tails — когда главная угроза это физический доступ. Загрузился, сделал дело, выключил — следов нет. Идеален для разовых задач, работы с чужого компьютера, ситуаций где ноутбук могут изъять. Минус — слабая изоляция, один 0-day в браузере и ты голый.
Whonix — когда нужна постоянная работа с гарантией что IP не утечёт. Два VM = архитектурная защита, а не "надеемся что приложение не сглючит". Минус — нет амнезии, хостовая ОС остаётся уязвимой.
Qubes + Whonix — параноидальный максимум. Изоляция между задачами + анонимность + можно добавить амнезию через RAM-mode. Минус — нужно железо, время и мозги на настройку.
Kodachi — для тех кто хочет "приватный Linux из коробки" без погружения в тему. Удобно, красиво, много инструментов. Минус — один разработчик, его VPN, закрытая инфраструктура. Для реальных задач — доверия мало.
Связка — самый надёжный подход это не одна ОС, а цепочка. Tails на одноразовом ноуте из объявлений, купленном за наличку, через мост obfs4 в чужом Wi-Fi — это уже несколько слоёв, каждый из которых нужно пробивать отдельно. Добавь сюда одноразовый телефон для регистраций и Monero для оплаты — и ты создал достаточно слоёв чтобы cost of attack стал неприемлемым для большинства противников.
Ни одна система не делает тебя невидимым. Каждая — один слой защиты, который работает ровно до тех пор, пока ты не ошибёшься сам.
