petak, 19 aprila, 2024
Predstavljamo

Sigurniji operativni sistemi (7. deo) — Heds

NZT

Autor: Petar Simović

Sloboda na prvom mestu

Da predhodno opisani Tejls (eng. Tails) nije jedina distribucija koja će vaše surfovanje rutirati kroz tor mrežu pokazuje nam slobodna Heds (eng. Heads) linuks distribucija. Ovo je distribucija koja se samo može pokrenuti sa spoljnog medijuma (CD/DVD/USB) ili virtuelne mašine, ali se ne može instalirati na disk kao glavni operativni sistem ili na u-es-be kao persistentan sistem, što recimo Tejls može.

Heds nam dolazi iz poznate neprofitne organizacije Dajn (eng. Dyne)koja se bavi pisanjem slobodnog softvera otvorenog koda već dugi niz godina. Čak i samo ime Heds (glava) dobro oslikava nameru i poruku koju ovaj operativni sistem nosi, a to je suptilna suprotnost u putu ka istom cilju od ranije opisivanog Tejlsa (rep ili trag). Oba operativna sistema imaju isti generalni cilj – osiguranja radnog okruženja za korisnike koji imaju potrebu za što većom privatnošću, samo se razlikuju u par detalja.

Naime, Heds je operativni sistem koji u sebe ima uključen samo otvoren i slobodan softver, dok Tejls ima i neslobodnog firmvera, što je i naglašeno na sajtu Tejlsa uz obrazloženje, da je i takav softver neophodan kako bi Tejls radio na što većem broju hardvera. Neslobodan, a pogotovo vlasnički softver i softver zatvorenog koda mogu uvesti nepredviđene vektore napada na sigurnost sistema i ranjivosti (eng. backdoors, vulnerabilities), pa je takav softver nepoželjan pogotovo kada se radi o sigurnim operativnim sistemima zasnovanim na Linuksu.

Druga bitna razlika je sam simstemski softver za inicijalno pokretanje i/ili upravljanje sistemom koji je kod većine današnjih linuks distribucija čuveni sistem-de (eng. systemd), a pre koga je bio poznati init. Heds je danas jedan od nekoliko retkih linuks operativnih sistema koji je zadržao init sistem, a za to svakako ima razloga, jer je sistem-de po nekim mišljenima previše opširan i sveobuhvatan, tj. ima preveliki opseg servisa kojima upravlja, pa je sigurnost i sama funkcionalnost sistemskih programa zavisna od sistem-de programa. Pored navedenog, postoje i drugi rizici kao što su sama kompleksnost takvog sveobuhvatnog sistema pa je i njegovo sigurnosno ispitivanje i provera (eng. security audit) u većoj meri otežana.

Dok je Tejls zasnovan na Debijanu, Heds je zasnovan na Devuanu, slobodnom forku Debijana bez sistem-dea.

Pri samom pokretanju videćete da Heds dolazi sa dva grafička menadžera prozora Openboks (eng. Openbox) i Osom-vi-em (eng. AwesomeWM), pa odmah možete izabrati koji želite da koristite. Podrazumevani je Openboks, i ako ne izaberete ništa on će se pokrenuti automatski.

Pre samog korišćenja imaćete još jedan meni za odabir tastature, jezika, vremenske zone i administratorske ili rut (eng. root) šifre. Ako ne podesite administratorsku šifru pri ovom meniju, ostaćete bez rut pristupa, ali ste ulogovani kao luter (eng. luther) korisnik sa šifrom luter (luther:luther). Pored ovih imate i još dve bitne opcije za veću privatnost i anonimnost kao što je nasumična mek (eng. MAC: media access control) adresa, kako ruter preko koga pristupate internetu ne bi mogao tačno znati koji je tačno tip uređaja u pitanju. Druga opcija je za potrebe gašenja računara u slučaju vađenja u-es-be uređaja ako ste sa njega pokrenuli Heds.

Kada već pokrenete Heds, možete primetiti da koristi jako malo RAM memorije tj. da nije zahtevan što se sistemskih resursa tiče sa obzirom na to da se pokreće u lajv (eng. live) verziji, pa ga možete pokrenuti i na starijim računarima sa manje memorije. Naše testiranje je pokazalo da koristi tek nešto preko dvesta megabajta RAM memorije.

Programi

Na prvi pogled malo osiromašena sa programima sa kojima dolazi, jer nema celog ofis paketa, ali su zato tu najvažniji alati kada pričamo o sigurnoj komunikaciji i šifrovanju.

Tu je naravno Tor pretraživač, kome nažalost nije radilo dugme za proveru verzije i ažuriranje softvera na najnoviu verziju. Verzija Tor pretraživača sa kojom dolazi Heds (Heads 0.4 je aktuelna verzija u vreme pisanja ovog teksta) je 7.5.2, dok je najnovija verzija Tor pretraživača 8.0.3. na šta smo im skrenuli pažnju na njihovom sabreditu.

Pored Tor pretraživača, tu je Tanderberd (eng. Thunderbird) mejl klijent sa TorBirdi (eng. TorBirdy) dodatkom za rutiranje svih konekcija mejl klijenta preko Tor mreže.

MAT (eng. Metadata Anonymisation Toolkit) je naravno prisutan za brisanje metapodataka iz slika, kao i gpa za GPG ključeve i KuTePas (eng. QtPass)za skladištenje šifara. Tu je takođe elektrum (eng. electrum) bitkoin novčanik, heksčet (eng. hexchat) za povezivanje na IRC. Naravno svi programi koji koriste internet su podešeni da komuniciraju kroz Tor mrežu podrazumevano.

Treba napomenuti da Heds koristi ZSH umesto beša (eng. BASH), što je malo ređa pojava, ali komande su u glavnom iste, tako da beš korisnici neće imati mnogo problema. Da su programeri mislili na sve, vidi se i kroz činjenicu da se ažuriranje sistema i instaliranog softvera odvija kroz Tor mrežu, preuzimajući pakete sa Devuanove Tor adrese devuanfwojg73k6r.onion

Grsek

Još jedna od veoma važnih osobina kada se radi o sigurnim linuks distribucijama je svakako kontrola toka izvršavanja programa, kontrola RAM memorije, kontrole pristupa tome slično. Za razliku od uobičajenih linuks distribucija, pa čak i Tejlsa, Heds implementira grsek (eng. grsec, GrSecurity), tj. sam kernel operativnog sistema je „pečovan“ sa Grsekom što mu u velikoj meri daje prednost kada se radi o sigurnosti sistema pri povezivanju na mrežu ili pristupa sistemu preko mreže, kao i kontroli programa koji se izvršavaju i sprečavanju brojnih napada na sistem. Primenom grseka, sistem je zaštićen od velikog broja ranjivosti koje virusi ili drugi maliciozni programi eksploatišu kako bi dobili neovlašćen pristup nekom delu sistema ili nekim informacijama. Grsek ima sledeće mehanizme u borbi za zaštitu sistema:

  • PAKS (eng. PAX) koji razdvaja memoriju u kojoj su programi i označava je kao onu po kojoj se ne može naknadno pisati, i stek kao onu memoriju iz koje se programi ne mogu izvršavati. Time se sprečava poznato prekoračenje bafera (eng. buffer overflow).

Paks takođe omogućava i ASLR (address space layout randomization) nasumičan raspored adresnog prostora kako maliciozni programi nebi mogli da predvide na kojoj adresi će se važni programi naći u RAM memoriji.

  • RBAC (eng. role-based access control) ili kontrola pristupa zasnovana na ulozi još je jedan mehanizam koji ima za cilj da programima da najmanje moguće privilegije koje su im potrebne da obavljaju svoj posao. Privilegije su date po ulogama koje programi imaju i svrstavaju se u neku od definisanih kategorija. Osnovni cilj je da ukoliko se sistem kompromituje, napadač ima drastično smanjene mogućnosti pristupa ostalim informacija ili delovima sistema.

Zaključak

Distribucija je sasvim solidna i u nekim segmentima bolja od svog glavnog rivala Tejlsa, dok je u nekima Tejls bolji zbog šireg dijapazona opcija. Možda bi još po neki program mogao da se nađe u Hedsu koji bi privukao određenu publiku, ali to ostavljamo programerima i korisnicima da se dogovore. Svakako proporučujemo da isprobate Heds, jer je već dosta dobar sigurni(ji) operativni sistem, i parira ostalima u svojoj kategoriji.

Prilikom preuzimanja, ne zaboravite da proverite heš i digitalni potpis preuzete distribucije, sve potrebne informacije (GPG otisak ključa kao i .sig digitalne potpise distribucije i .sha heševe potpisa i distribucije) imate na stranici za preuzimanje, odakle imate i .onion link ako želite anonimno preuzeti distribuciju iz Tor mreže.