Сигурнији оперативни системи (7. део) — Хедс

Аутор: Петар Симовић

Да предходно описани Тејлс (енг. Tails) није једина дистрибуција која ће ваше сурфовање рутирати кроз тор мрежу показује нам слободна Хедс (енг. Heads) линукс дистрибуција. Ово је дистрибуција која се само може покренути са спољног медијума (ЦД/ДВД/УСБ) или виртуелне машине, али се не може инсталирати на диск као главни оперативни систем или на у-ес-бе као персистентан систем, што рецимо Тејлс може.

Хедс нам долази из познате непрофитне организације Дајн (eng. Dyne)која се бави писањем слободног софтвера отвореног кода већ дуги низ година. Чак и само име Хедс (глава) добро осликава намеру и поруку коју овај оперативни систем носи, а то је суптилна супротност у путу ка истом циљу од раније описиваног Тејлса (реп или траг). Оба оперативна система имају исти генерални циљ – осигурања радног окружења за кориснике који имају потребу за што већом приватношћу, само се разликују у пар детаља.

Наиме, Хедс је оперативни систем који у себе има укључен само отворен и слободан софтвер, док Тејлс има и неслободног фирмвера, што је и наглашено на сајту Тејлса уз образложење, да је и такав софтвер неопходан како би Тејлс радио на што већем броју хардвера. Неслободан, а поготово власнички софтвер и софтвер затвореног кода могу увести непредвиђене векторе напада на сигурност система и рањивости (енг. backdoors, vulnerabilities), па је такав софтвер непожељан поготово када се ради о сигурним оперативним системима заснованим на Линуксу.

Друга битна разлика је сам симстемски софтвер за иницијално покретање и/или управљање системом који је код већине данашњих линукс дистрибуција чувени систем-де (енг. systemd), a пре кога је био познати инит. Хедс је данас један од неколико ретких линукс оперативних система који је задржао инит систем, а за то свакако има разлога, јер је систем-де по неким мишљенима превише опширан и свеобухватан, тј. има превелики опсег сервиса којима управља, па је сигурност и сама функционалност системских програма зависна од систем-де програма. Поред наведеног, постоје и други ризици као што су сама комплексност таквог свеобухватног система па је и његово сигурносно испитивање и провера (енг. security audit) у већој мери отежана.

Док је Тејлс заснован на Дебијану, Хедс је заснован на Девуану, слободном форку Дебијана без систем-деа.

При самом покретању видећете да Хедс долази са два графичка менаџера прозора Опенбокс (енг. Openbox) и Осом-ви-ем (енг. AwesomeWM), па одмах можете изабрати који желите да користите. Подразумевани је Опенбокс, и ако не изаберете ништа он ће се покренути аутоматски.

Пре самог коришћења имаћете још један мени за одабир тастатуре, језика, временске зоне и администраторске или рут (енг. root) шифре. Ако не подесите администраторску шифру при овом менију, остаћете без рут приступа, али сте улоговани као лутер (енг. luther) корисник са шифром лутер (luther:luther). Поред ових имате и још две битне опције за већу приватност и анонимност као што је насумична мек (енг. MAC: media access control) адреса, како рутер преко кога приступате интернету не би могао тачно знати који је тачно тип уређаја у питању. Друга опција је за потребе гашења рачунара у случају вађења у-ес-бе уређаја ако сте са њега покренули Хедс.

Када већ покренете Хедс, можете приметити да користи јако мало РАМ меморије тј. да није захтеван што се системских ресурса тиче са обзиром на то да се покреће у лајв (енг. live) верзији, па га можете покренути и на старијим рачунарима са мање меморије. Наше тестирање је показало да користи тек нешто преко двеста мегабајта РАМ меморије.

На први поглед мало осиромашена са програмима са којима долази, јер нема целог офис пакета, али су зато ту најважнији алати када причамо о сигурној комуникацији и шифровању.

Ту је наравно Тор претраживач, коме нажалост није радило дугме за проверу верзије и ажурирање софтвера на најновиу верзију. Верзија Тор претраживача са којом долази Хедс (Heads 0.4 је актуелна верзија у време писања овог текста) је 7.5.2, док је најновија верзија Тор претраживача 8.0.3. на шта смо им скренули пажњу на њиховом сабредиту.

Поред Тор претраживача, ту је Тандерберд (енг. Thunderbird) мејл клијент са ТорБирди (енг. TorBirdy) додатком за рутирање свих конекција мејл клијента преко Тор мреже.

МАТ (енг. Metadata Anonymisation Toolkit) је наравно присутан за брисање метаподатака из слика, као и gpa за ГПГ кључеве и КуТеПас (енг. QtPass)за складиштење шифара. Ту је такође електрум (енг. electrum) биткоин новчаник, хексчет (енг. hexchat) за повезивање на ИРЦ. Наравно сви програми који користе интернет су подешени да комуницирају кроз Тор мрежу подразумевано.

Треба напоменути да Хедс користи ZSH уместо беша (енг. BASH), што је мало ређа појава, али команде су у главном исте, тако да беш корисници неће имати много проблема. Да су програмери мислили на све, види се и кроз чињеницу да се ажурирање система и инсталираног софтвера одвија кроз Тор мрежу, преузимајући пакете са Девуанове Тор адресе devuanfwojg73k6r.onion

Још једна од веома важних особина када се ради о сигурним линукс дистрибуцијама је свакако контрола тока извршавања програма, контрола РАМ меморије, контроле приступа томе слично. За разлику од уобичајених линукс дистрибуција, па чак и Тејлса, Хедс имплементира грсек (eng. grsec, GrSecurity), тј. сам кернел оперативног система је „печован“ са Грсеком што му у великој мери даје предност када се ради о сигурности система при повезивању на мрежу или приступа систему преко мреже, као и контроли програма који се извршавају и спречавању бројних напада на систем. Применом грсека, систем је заштићен од великог броја рањивости које вируси или други малициозни програми експлоатишу како би добили неовлашћен приступ неком делу система или неким информацијама. Грсек има следеће механизме у борби за заштиту система:

• ПАКС (енг. PAX) који раздваја меморију у којој су програми и означава је као ону по којој се не може накнадно писати, и стек као ону меморију из које се програми не могу извршавати. Тиме се спречава познато прекорачење бафера (енг. buffer overflow).

Пакс такође омогућава и АСЛР (address space layout randomization) насумичан распоред адресног простора како малициозни програми неби могли да предвиде на којој адреси ће се важни програми наћи у РАМ меморији.

• RBAC (енг. role-based access control) или контрола приступа заснована на улози још је један механизам који има за циљ да програмима да најмање могуће привилегије које су им потребне да обављају свој посао. Привилегије су дате по улогама које програми имају и сврставају се у неку од дефинисаних категорија. Основни циљ је да уколико се систем компромитује, нападач има драстично смањене могућности приступа осталим информација или деловима система.

Дистрибуција је сасвим солидна и у неким сегментима боља од свог главног ривала Тејлса, док је у некима Тејлс бољи због ширег дијапазона опција. Можда би још по неки програм могао да се нађе у Хедсу који би привукао одређену публику, али то остављамо програмерима и корисницима да се договоре. Свакако пропоручујемо да испробате Хедс, јер је већ доста добар сигурни(ји) оперативни систем, и парира осталима у својој категорији.

Приликом преузимања, не заборавите да проверите хеш и дигитални потпис преузете дистрибуције, све потребне информације (ГПГ отисак кључа као и .sig дигиталне потписе дистрибуције и .sha хешеве потписа и дистрибуције) имате на страници за преузимање, одакле имате и .onion линк ако желите анонимно преузети дистрибуцију из Тор мреже.