Tails. Абсолютная безопасность. Обзор и настройка

Привет друг. Я в своих статьях люблю рассказывать про анонимность и безопасность в сети и уже много раз объяснял почему это важно, а иногда, жизненно необходимо. Хотя это и без меня очевидно. А потому сегодня упражняться в словоблудии не буду, а сразу перейду к сути. И как ты уже понял из названия, в этой статье мы будем обсуждать операционную систему Tails.

Детальный обзор Tails. Самая защищенная ОС

В сети гуляет устойчивое мнение что Tails это, типа, супер анонимная операционная система. Это не совсем так. Анонимность, конечно в ней присутствует. Но она представлена сетью Тор с поддержкой сетевых мостов, а также автоматической подменой MAC-адреса. Что конечно замечательно, но сейчас этим вряд ли кого-то можно удивить.

На самом деле Tails больше про мобильность и безопасность, как данных так и самого пользователя. И в этом она действительно хороша, ведь у тебя всегда под рукой безопасная операционная система, настроенная так как тебе нужно, с нужным набором программ. Которую можно использовать на абсолютно любом компьютере, не боясь оставить следов. Но я забежал вперед, обо всем этом расскажу в процессе, причем именно безопасности сегодня будем уделять максимальное внимание.

Особенности Tails

Перед началом практической части, немного теории. Tails — это дистрибутив Linux основанный на Debian, появившийся в 2009 году в следствии эволюции дистрибутива Incognito. Денег на развитие проекта занесли The Tor Project, Debian и Mozilla. А самой крутой рекламой этой операционной системы стало, когда Эдвард Сноуден рассказал, что использовал Tails для кражи секретиков АНБ и общения с журналистами, которым он эти самые секретики сливал.

И тут можно отметить самые сильные стороны Tails. Почему именно она обеспечивает очень крутой уровень защиты информации. Ключевые моменты:

— она не оставляет никаких следов на компьютере на котором использовалась. Ну, собственно, факт её использования не спалили в АНБ, а раз не спалили там, значит не спалят нигде (наверно);
— после выключения или просто выдергивания флешки из компьютера, система приобретает первоначальный вид, такой как после установки. Т.е. все изменения откатываются, но при этом можно создать специальный, зашифрованный секретный раздел в котором можно хранить файлы и устанавливать дополнительный софт;
— весь трафик идет через Тор, попытки установить прямое соединение блокируется;
— система имеет кучу софта для шифрования всего на свете (предустановленный софт рассмотрим ниже).

Установка Tails

Есть мнение, что чтобы установить Tails нужно обязательно две флешки. На одну записывается образ, а потом из Live режима устанавливаешь, на другую флешку, саму систему. Можно, конечно делать и так. Если скучно и заняться нечем. Но разработчики Tails, походу, в какой-то момент осознали, что подобный способ установки, мягко говоря, геморройный, и сделали образ системы .img. И теперь достаточно скачать этот образ и записать его на флешку утилитой Etcher и сразу использовать систему.

При этом, также доступен для скачивания образ iso. Там всё по классике, две флешки и куча времени. Этот способ, кстати, мы рассматривать не будем т.к. долго и нет смысла. Образ iso можно использовать если хочешь запустить Tails на виртуальной машине.

Примечание:
Минимально необходимый размер флешки для использования Tails — 8 Gb, но чем больше будет объём флешки — тем больше можно будет выделить под раздел Persistence.

Образ Tails качаем на официальном сайте.

Etcher качаем здесь — https://www.balena.io/etcher/

После запуска Etcher, выбираем нужный образ, нужную флешку и жмем Flash!. После записи, программа проверит всё ли правильно записалось и можем начинать использовать Tails.

Etcher

При первом запуске (на самом деле при всех запусках) нас встретит экран первичной настройки:

Tails

Здесь стоит нажать на плюсик в левом нижнем углу и настроить дополнительные параметры:

tails
  1. Если планируется использовать sudo, например для установки программ, необходимо задать пароль администратора (по умолчанию отключено);
  2. В Tails по умолчанию включена подмена MAC-адреса, отключать эту функцию не стоит;
  3. По умолчанию Tails подключается к напрямую к Tor, но если, например, Tor блокируется провайдером, можно настроить соединение через мост или, если сеть не нужна, можно запретить все сетевые подключения

После выбора первичных настроек в окне приветствия, жмём «Запуск Tails».

Настройка Tails

Как я уже говорил после любой перезагрузки все внесенные изменения откатываются к первоначальному значению. Это касается как настроек установленных программ, так и все посторонние файлы также будут удалены. Вообщем система примет, так сказать, первозданный вид. При этом, конечно же существует возможность сохранять нужную информацию, настройки, утилиты и файлы. В противном случае терялся бы смысл использования Tails.

Раздел Persistence. Как сохранить данные и настройки в Tails

Для хранения данных нужно создать раздел Persistence, для этого переходим в Приложения->Tails-> Configure persistent volume. Первым делом нужно придумать пароль доступа. А потом выбрать что именно мы хотим хранить в этом разделе:

защищённый раздел

Самый стандартный параметр, включает возможность хранить любый файлы, документы и т.д. в защищенном разделе.

защищённый раздел

При включении этого параметра закладки Tor Browser будут сохранятся в защищенный раздел. Соответственно при следующем включении, с разблокированным защищенным разделом, они автоматически добавятся в браузер. Действие этого параметра не распространяется на Unsafe Browser.

защищённый раздел

Этот параметр отвечает за сохранение конфигурации сетевых соединений и устройств.

защищённый раздел

Если включить этот параметр, то пакеты установленных пользователем программ будут хранится в защищенном разделе. Не только хранится, но и обновляться при наличии подключения к сети, а при каждом запуске они будут автоматически устанавливаться. Очень полезная опция, если есть желание или необходимость использовать дополнительное ПО, которого нет в стандартной комплектации Tails.

Tails persistent

Сохраняются настройки принтеров.

Tails persistent

Благодаря этой опции в почтовом клиенте Thunderbird можно хранить письма и настройки.

Tails persistent

При включении этой опции, в защищенном разделе будут сохранятся созданные и импортированные OpenPGP ключи.

Tails persistent

Эта опция отвечает за хранение Bitcoin кошелька и настроек клиента Electrum.

Tails persistent

Про включении этой опции в зашифрованный раздел сохраняются конфигурационные файлы мессенджера Pidgin. Будут сохранены аккаунты, списки контактов, чаты, ключи шифрования. Очень удобен тот момент, что настроить, что именно будет сохранятся можно из самого Pidgin.

Tails persistent

При включении сохраняются настройки и конфигурационные файлы secure shell. В том числе созданные и импортированные ключи и публичные ключи хостов к которым мы подключались.

Tails persistent

При включении этой опции файлы из раздела Dotfiles привязываются ссылками к Домашней папке. Это позволяет сделать постоянными нужные файлы из самой Домашней папки и из ее подпапок.

Когда нужные опции включены, чтобы изменения вступили в силу, нужно перезапустить Tails. И в окне приветствия появится возможность ввести пароль от защищенного раздела, а также кнопка «Разблокировать».

Программы Tails

В Tails, как и во многих других дистрибутивах, есть некоторое количество предустановленных программ. Большую часть которых среднестатистический пользователь Linux прекрасно знает. Поэтому пройдёмся по ним максимально кратко:

Раздел «Аудио и видео»:

Аудио и видео

Audacity — бесплатный аудиоредактор, идеально подходит для записи и редактирования звука.
Brasero — приложение для записи или копирования CD или DVD дисков, в том числе для записи образов.
Видео — приложение для просмотра видео (в том числе онлайн).
Диктофон — в принципе понятно для чего нужен.
Звуковыжималка — приложение для копирования Audio CD.

Раздел «Графика»:

Графика

Inkscape — приложения для рисования, кстати довольно продвинутое.
LibreOffice Draw — рисование и составление схем.
Scribus — утилита для верстки журнальных страниц (в версии Tails 4.0 удалена, при необходимости можно установить из репозиториев)
Графический редактор (GIMP) — опенсорсный конкурент фотошопа.
Простое сканирование — простое сканирование.

Раздел «Интернет»:

интернет

Electrum Bitcoin Wallet — простой в использовании и достаточно удобный Bitcoin кошелек.
Onion Circuits — просмотр цепочек Tor и их состояния
OnionShare — программа для обмена файлами через сеть Tor, после запуска можно добавить файл, нажать Start Sharing и будет сформирована ссылка по которой можно скачать выбранный файл, также можно добавить пароль для скачивания и ограничить скачивание одним разом. Скачивание будет доступно только из сети Tor.
Tor Browser — браузер для просмотра сайтов в сети Tor
Pidgin — Jabber-мессенджер с поддержкой шифрования и возможностью передачи сообщений через сеть Tor.

Небезопасный браузер — браузер для в входа на перехватывающий портал. Иногда для получения доступа к общественной сети требуют авторизации (типа как в Mcdonalds), такая авторизация невозможна через Tor, поэтому нужно использовать браузер с прямым подключение. Так как этот браузер не является анонимным его можно использовать только для входа на перехватывающий портал.
Thunderbird — почтовый клиент, включает в себя расширение Enigmail для шифрования и аутентификации электронных писем с использованием OpenPGP и расширение TorBirdy для настройки дополнительной конфиденциальности и анонимности.

Раздел «Офис»:

tails

Bookletimposer — конвертер PDF файлов в буклеты и наоборот.
Для работа с офисными документами предустановлен LibreOffice:
Calc — работа с таблицами (аналог Excel)
Draw — рисование и создание схем
Impress — работа с презентациями (аналог PowerPoint)
Writer — работа с документами (аналог Word)

Раздел «Стандартные»:

tails

GtkHash — программа для вычисления контрольных сумм. Это необходимо для проверки целостности файла скачанного из Интернета.
KeePassXC — удобный и безопасный менеджер паролей (не забывай что базу данных нужно хранить в защищенном разделе).

Раздел «Утилиты»:

tails

Inlock VeraCrypt Volumes — позволяет открывать криптоконтейнеры созданные утилитой VeraCrypt.
Диски — менеджер дисков, в том числе можно удалять и изменять пароль защищенного раздела и создавать зашифрованные разделы на других флешках.
Пароли и ключи — позволят просматривать и управлять сохраненными паролями, ключами шифрования и сертификатами.
Просмотр документов — программа для просмотра PDF.

В Tails также есть утилиты которых нет во вкладке Приложения, но о их наличии стоит знать:

MAT — очень удобная утилита, которая умеет удалять метаданные практически из любых файлов. После обновления Tails до версии 4.0 MAT не имеет графического интерфейса, а вызывается нажатием правой кнопки мыши на нужный файл и выбором пункта «Remove metadata», после нажатия в этой же папке появится копия файла с пометкой «cleaned» в имени.

MAT

Aircrack-ng — в Tails предустановлен пакет программ для аудита безопасности (взлома) беспроводных сетей aircrak-ng.

aircrack-ng

Shred — утилита для безопасного удаления файлов, без возможности их восстановления.

shred

Экранная клавиатура — в правом верхнем углу, в разделе специальных возможностей, можно включить экранную клавиатуру, которую стоит использовать если есть подозрение, что на компьютере, с которым ты работаешь установлен аппаратный кейлогер. Клавиатура будет появляться в приложениях в которых подразумевается ввод текста.

tails

TCPdump — консольная программа для перехвата и анализа сетевого трафика.

tcpdump

Дополнительный софт, который можно установить в Tails, можно посмотреть в Менеджере пакетов Synaptic, расположенном в меню Приложения -> Системные.

Особенности использования Tails

Как я уже говорил, все изменения, не сохраняемые в persistent volume откатываются после каждой перезагрузки. Но если появилась необходимость что-то изменить в системе на постоянной основе, это можно сделать выполнив команду:

sudo mount -o remount -w /lib/live/mount/medium

Эту функция доступна только если Tails установлена на флешку. После введения команды все внесенные изменения сохранятся, это будет работать до следующей перезагрузки. После следующего запуска системы новые изменения опять будут откатываться.

Примечание:
Используй эту возможность только если на 200% понимаешь что делаешь. Некоторые изменения системы могут негативно влиять на безопасность и анонимность!

Выключение Tails

Даже с выключением Tails есть некоторые нюансы. Кроме обычных способов существует альтернативно-быстрый. А именно если просто выдернуть флешку с Tails из компьютера, то система автоматически выключится, но при этом, если смонтирован защищенный раздел, он может быть поврежден, поэтому такой способ стоит использовать только в крайних случаях.

Подключение к сети

Операционная система Tails настроена таким образом, что блокирует все сетевые соединения которые идут не через Tor. Т.е. если ты попытаешься запустить какое-то приложение не настроив, предварительно в нем Tor, то доступ в сеть ему будет автоматически закрыт. Есть несколько способов решения этой проблемы:

Один из способов, это запуск с параметром --proxy socks://localhost:9050/. Для примера чтобы использовать wget и сurl необходимо запускать их так:

wget --proxy socks://localhost:9050/ web-адрес
curl --proxy socks://localhost:9050/ web-адрес 

Другим альтернативным вариантом запуска приложений будет использование прокси-цепочек. Я подробно рассказывал как использовать proxychains здесь:

https://hacker-basement.com/2019/04/29/proxy-setting-for-linux-mr-robot-anonymity-proxychains/

OpenPGP Applet

В Tails есть очень полезная штука — OpenPGP Applet, который находится в области уведомлений:

OpenPGP Applet

Он позволят быстро зашифровать текст паролем или с использованием ключа, а также расшифровать полученный зашифрованный текст. Также, отсюда можно открыть текстовый редактор или нажав «Управление ключами» перейти к менеджеру паролей и ключей.

Для того чтобы зашифровать текст паролем нужно открыть текстовый редактор, набрать нужный текст, выделить его и скопировать в буфер обмена. После чего нажать «Шифровать буфер обмена публичным ключом», тебе будет предложено дважды ввести пароль. Если после этого вставить данные из буфера то мы увидим зашифрованный текст:

openpgp

Теперь можно его отправить по электронной почте или мессенджером. Открыть его сможет только тот кто знает пароль.

Чтобы расшифровать полученный текст, нужно сначала выделить зашифрованный текст и скопировать его в буфер обмена. При этом на значке аплета в области уведомлений появится замок. Нажав на этот замок нужно выбрать Расшифровать/Идентифицировать, после чего ввести пароль и мы увидим окно с расшифрованным текстом. По такому же принципу можно шифровать или подписывать текст используя ключи OpenPGP. Не забудь что ключи нужно предварительно создать, сделать это можно в менеджере ключей.

Резервная копия Tails

Иногда возникает необходимость сделать резервную копию флешки с установленной Tails. Это можно сделать из самой операционной системы. Для этого нужно перейти в меню Приложения -> Системные и там выбрать Tails Installer:

tails installer

В открывшемся окне выбираем «Clone the current Tails», выбираем нужную флешку и жмём Install.

Безопасное удаление файлов в Tails

Как ты наверняка знаешь, при удалении файлов система не удаляет их полностью, а удаляет только запись о них в каталоге файлов системы. Это быстро и просто, но не безопасно т.к. такой файл можно, без труда восстановить. В Tails есть возможность безопасно удалять файлы без возможности их восстановления прямо из файлового менеджера. Для этого достаточно нажать правой кнопкой мыши на нужный (вернее не нужны) файл и выбрать «Затереть»

tails wipe

Файл будет удалён безвозвратно. Хотя это не совсем корректно для флешек и SSD-дисков, но не будем углубляться в детали.

Подключение к FTP серверу

Для подключению в ftp серверу в Tails не нужно скачивать дополнительное ПО, это можно сделать прямо из файлового менеджера Nautilus. В котором нужно выбрать «Другие места» и внизу окна появиться «Подключится к серверу». Там ввести адрес сервера и нажать «Подключиться».

Заключение

Резюмируя данную статью, хочу заметить, что Tails это довольно специфическая операционная система, которая необходима далеко не всем. И предназначена она тем, кто чётко понимает зачем ему такой уровень защиты, потому что платой за высокую безопасность будет максимальная недружелюбность к пользователю и сложность в использовании.

Ну и если ты ищешь максимальной анонимности, то это не про Tails, с использованием того же Whonix можно достичь гораздо большего уровня анонимности (почитай мою статью про Whonix).

Tails идеально подходит для работы на чужих компьютерах, в том числе для тайного использования. Ты можешь не боятся, что на компьютере останутся следы твоей работы, потому что Tails уничтожит все следы своего присутствия, в том числе перед выключением очистит оперативную память (т.е. обеспечит защиту от атаки cold boot). Также Tails идеально подходит для хранения действительно важных файлов и документов. Позволяя быстро пересылать их в зашифрованном виде и быстро делать резервные копии на других носителях, и, что не менее важно, всегда иметь их под рукой в защищенном виде.

А на этом наше знакомство с дистрибутивом Tails можно считать оконченным. Но не забывай возвращаться к нам, ведь не менее интересных дистрибутивов ещё очень много и нам однозначно стоит с ними познакомиться

Твой Pulse.