Sigurniji operativni sistemi — Tejls (1.

deo)
30.11.2015

Autor: Petar Simović

Svakako da danas više vodimo računa o sopstvenoj privatnosti kako na internetu na
društvenim mrežama tako i lokalno na svom računaru. Naravno da je stalno potrebno paziti
na koje linkove klikćemo na internetu, kakve fajlove otvaramo u elektronskoj pošti, koje
programe pokrećemo na našem računaru i sa kojim pravima izvršavanja. To bi trebalo da
bude rutina svakog odgovornog korisnika, a ne paranoično ponašanje. Pošto smo već kod
onih malo nepoverljivih i opravdano paranoičnih korisnika, vreme je da predstavimo Tejls
(eng. TAILS, TheAmnestic Incognito Live System), za kojeg su verovatno mnogi čuli, a
možda ga i isprobali, ili ga odavno koriste.
Tejls je baziran na Debijanu (eng. Debian), pokreće se u živom modu (eng. live mode), što
znači da neće pristupati hard disku vašeg računara, već samo radnoj ili glavnoj memoriji.
Obično se narezuje na neki spoljnji medijum kao što su DVD i USB, sa kojeg se pokreće pri
startovanju računara. U ovom opisu nećemo proći kroz proces pravljenja butabilnog USB-a
ili DVD-a, ali ćemo uputiti na neophodan softver kojim to možete uraditi. Takođe, detaljno
ćemo objasniti primenu ovog operativnog sistema, kao i softver kojim je opremljen.

Pre svega nam je potreban sam operativni sistem koji dolazi u

podrazumevanom .iso formatu, a može se preuzeti sa strane Tejls
projekta: https://goo.gl/uRzSD7. Kada imamo .iso sliku sistema, najpre bi trebalo da
proverimo autentičnost i verodostojnost preuzetog .isofajla, to jest da se uverimo da fajl nije
presretnut negde na mreži, menjan, kao i da je baš od onoga od koga bi trebalo da bude.
Ovo nije neophodno, ali se toplo preporučuje zbog mogućeg tzv. „čoveka u sredini”
(eng. Man In The Middle, ili najčešće skraćeno MiTM). Da bismo to uradili, potrebno je da
preuzmemo i digitalni potpis .iso slike, kao i da u gpg (eng. Gnu Privacy Guard) ubacimo
javni ključ Tejlsovog razvojnog tima, koji garantuju svojim digitalnim potpisom za sistem.
Javni ključ možete preuzeti sa https://tails.boum.org/tails-signing.key i ubaciti ga u gpg
izvršavanjem komande:
gpg --keyid-format long --import tails-signing.key

Potom je potrebno preuzeti i digitalni potpis sa https://goo.gl/YpoVOU(ovaj potpis važi samo

za verziju 1.7) i sačuvati ga u folderu gde je i .iso slika. U trenutku pisanja ovog teksta
najnovija verzija je 1.7, pa je komanda koja se izvršava iz foldera gde su digitalni potpis i
slika sledeća:
gpg --keyid-format 0xlong --verify tails-i386-1.7.iso.sig tails-
i386-1.7.iso

Prvi način je da sistem pokrenemo iz virtuelne mašine korišćenjem Virtuelboksa

(eng. Virtualbox, https://goo.gl/rwxEO8), dok je drugi metod sa živim operativnim sistemom
na spoljašnjem medijumu praktičniji i prenosiviji. Pa ukoliko koristite USB, trebate program
za pravljenje žive distribucije na njemu, a to su Junetbutin
(eng. Unetbootin, https://unetbootin.github.io/) i Jumi (eng. Yumi, http://goo.gl/8pnNww), dok
je u slučaju narezivanja sistema na CD i DVD podrazumevani program na vašem linuksu
poput Brazera i Iksefberna (eng. Xfburn) dovoljan.
Nakon startovanja Tejlsa, pri prikazivanju plavog grafičkog korisničkog interfejsa, treba da
odaberete da li želite još opcija ili ne. Za početnike koji samo žele da koriste osnovne
programe koje Tejls pruža, odgovorite sa ne. Ali ukoliko želite ili imate potrebu da promenite
vašu mak (eng. MAC) adresu kako bi bilo teže da vas identifikuju po uređaju koji koristi
mrežu, ili želite da zamaskirate Tejls da izgleda kao da je Vindouz osam (eng. Windows 8)
operativni sistem na mreži i tako se lakše stopi u okolinu ne privlačeći neželjenu pažnju na
mreži koju koristite, ili je prosto zabranjen pristup Tor mreži, pa morate da koristite tzv. Tor
mostove (eng. Tor bridges) – onda je potrebno da odaberete opciju da (eng. Yes) i tu
konfigurišete ove tri opcije u skladu sa vašom situacijom.
Nakon toga imate funkcionalno okruženje. Zatim je potrebno da se povežete na mrežu i
sačekate da se automatski pokrene Tor i da se pojavi obaveštenje da je Tor spreman za
korišćenje. Ovo je bitno jer je ceo operativni sistem napravljen oko ideje o lakom korišćenju
Tor mreže. Svi programi koji koriste mrežu su podešeni da koriste Tor kako bi korisnik ostao
anoniman i na taj način mu obezbedio privatnost, dok će programi koji pokušavaju da izađu
na mrežu bez Tora biti prekinuti radi bezbednosti. Više možete pročitati na samom sajtu
projekta: https://goo.gl/jDt1X. Samo da podsetimo čitaoce da smo Tor mrežu detaljnije
opisivali u tri broja LiBRE! časopisa (22, 23. i 24).
Osnovni programi su Pidžin, kojeg smo u prethodnom broju opisali, Kloz mejl klijent
(eng. Claws mail), Ki-pas-iks (eng. KeePassX) menadžer za čuvanje svih vaših naloga pod
jednom šifrom, kao i neizostavni Tor internetski pregledač (eng. Tor Browser Bundle). To su
samo programi koji se vide sa radne površi, ali, naravno, ima ih još. Izdvojićemo svakako
MAT (eng. Metadata Anonymisation Toolkit), alat za brisanje metapodataka, opisan u broju
26, Elektrum (eng. Electrum), prenosivi novčanik za anonimnu digitalnu kripto-valutu —
bitkoin (eng. Bitcoin), o kojoj će biti više reči u nekom od narednih brojeva.
 Pored sigurnosnih, tu je
i ceo Libreofis paket, kao i programi za grafičku obradu:
o Gimp,
o Inkskejp (eng. Inkscape),
o Skribus (eng. Scribus).
Što se tiče programa za obradu, uređivanje, snimanje zvuka i video materijala, tu su:
o Odasiti (eng. Audacity),
o Traverso,
o Pitivi i drugi.
Međutim, još je interesantnije to da se Tejls može instalirati (ne narezati) na fleš memoriju i
pri tom šifrovati sve podatke datotečnog sistema fleš memorije na koju se instalira
(eng. persistance, https://goo.gl/yzwES0), osim nekoliko neophodnih za pokretanje sistema.
To znači da možete da čuvate podatke unutar Tejlsa i nakon što ugasite računar, za razliku
od opcije živog operativnog sistema, koji će obrisati sav RAM po gašenju ili restartovanju.
Ovo brisanje RAM-a je korisno jer sprečava takozvani „napad hladnog startovanja”
(eng. cold boot attack, Vikipedija: https://goo.gl/AUUbUP), jer RAM čuva sadržaj i do minut
ili dva posle gašenja računara, a uz pomoć malo kompresovanog vazduha memorija se
može momentalno zamrznuti i time znatno produžiti vreme čuvanja podataka u RAM-u.
Podsećamo da se u RAM-u mogu nalaziti razni enkripcioni ključevi, pa je ovo svojstvo
veoma korisno. Pored brisanja RAM-a pri gašenju ili restartovanju, Tejls ima i opciju da
šifrujete klipbord (eng. clipboard), to jest onaj deo memorije u koji se sprema sadržaj kada
kliknete na opciju za kopiranje (eng. copy).

Za kraj, važno je reći da je Tejls dizajniran za najkritičnije slučajeve kada su korisnici čak i u
neposrednoj životnoj opasnosti ukoliko njihov identitet bude otkriven. Od dna pa do vrha
sistem je dizajniran i osmišljen sa digitalnom sigurnošću i privatnošću na umu, jer je
namenjen za uzbunjivače, novinare, aktiviste i sve one kojima su neophodni anonimnost i
privatnost za posao kojim se bave u uslovima represivnih režima država u kojima borave.
Kao primer bismo naveli Edvarda Snoudena (eng. Edward Joseph Snowden), kome je Tejls
svakako dosta pomogao da pobegne i prosledi poverljive dokumente novinarima. Ali ne
samo za ljude sa opasnim poslom, sistem je namenjen za sve obične korisnike koji žele da
iskoriste svoje pravo na privatnost među računarskim mrežama.

Sigurniji operativni sistemi — Fripto (2. deo)

10.02.2016

Autor: Petar Simović

Fripto (eng. Freepto) je još jedan operativni sistem koji dosta podseća na već opisani Tejls
(eng. Tails). Fripto je, kao i Tejls, zasnovan na Debijanu i ciljna grupa korisnika su mu
aktivisti, istraživački novinari, uzbunjivači ili, jednostavnije rečeno – svi oni kojima je
sigurnost i privatnost u radu na računaru na prvom mestu. Fripto dolazi u formatu .img
„slike” za razliku od većine drugih distribucija koje dolaze u standardnom .iso formatu. Ovaj
operativni sistem možete pokrenuti samo sa U-es-be-a (eng. USB) tako što ćete celu .img
„sliku” kopirati na u-es-be upotrebom komande dd iz terminala (ukoliko koristite Gnu/Linuks
operativni sistem), ili pomoću programa JunetButin (eng. UnetBootin) na Vindous

operativnim sistemima.
„Slika” operativnog sistema se može preuzeti sa glavnog sajta Fripto
projekta http://www.freepto.mx/en/, u sekciji za preuzimanje. Ovde možete pronaći i heš
(eng. hash, SHA512) vrednosti same „slike” operativnog sistema koje skidate, kao i
digitalno potpisane heš vrednosti iste „slike” koju savetujemo da obavezno proverite kako
biste izbegli da se ponovi incident sa Linuks Mint operativnim sistemom i zamenjenim
„slikama” operativnog sistema (više o incidentu sa Mint OS na: http://goo.gl/2LR5kL ).
Međutim, ono što je razlika između Tejlsa i Fripa, jeste da Tejls sve veze sa internetom
rutira kroz Tor mrežu i to se ne može onesposobiti/isključiti, dok Fripto ima opciju šifrovanja
svega kroz Tor ali se mora prethodno uključiti. Takođe je dozvoljeno i izlaženje na mrežu i
bez bilo kakve anonimne mreže. TorTp je program koji uključuje anonimni mod i rutira sve
konekcije kroz Tor mrežu. TorTp je program otvorenog koda i dostupan je na Githabu (eng.
Github) https://goo.gl/QoHbhl .
Kada uspešno napravite butabilni u-es-be od praznog fleša i Fripto „slike”, pokrenite
računar uz pomoć fleša nameštenim kao prvi uređaj sa koga se čita operativni sistem.
Nakon toga, upaliće se ekran sa logoom Fripto operativnog sistema gde treba da izaberete
opciju Fripto sa automatskom detekcijom procesora (eng. Freepto (autodetect CPU)).
Detaljna uputstva možete naći na: https://goo.gl/cuIya0. Ova uputstva se odnose na
promenu podrazumevane administratorske šifre, iz: live u neku koja vama odgovara i koju
ćete samo vi znati, kao i kreiranje šifrovanog fleša sa kojeg se Fripto pokreće. Ovo
šifrovanje fleša može potrajati jer se prazan prostor na fleš disku sa kojeg ste pokrenuli
Fripto popunjava nasumičnim podacima koji se takođe šifruju pa ovaj proces može trajati i
preko sat vremena, zavisno od veličine fleš memorije koja treba da se popuni.
Što se programa tiče, najinteresantniji su oni koji su zaduženi za privatnost podataka i
komunikaciju, a u fripto su uključeni:

o GPG (eng. Gnu Privacy Guard) za potrebe šifrovanja elektronske pošte i podataka,
digitalno potpisivanje poruka i podataka, kao i proveru potpisa i autentičnosti;
o TorTp već pomenuti program za rutiranje svih konekcija preko Tor mreže;
o MAT i Bličbit (eng. BleachBit) koji su tu za brisanje metapodataka, nepotrebnih fajlova i
logova koje drugi programi ostavljaju, kao i sigurno brisanje podataka;
o Trukript (eng. TrueCrypt) i tomb za šifrovanje i sakrivanje (steganografija) fajlova na već
šifrovanom fleš disku;
o Tor pretraživač (eng. Tor Browser Bundle – TBB) internet pretraživač specijalno
modifikovan tako da koristi samo Tor mrežu i spreči deanonimizaciju korisnika zbog
svoje uniformnosti (jedistvena dijagonala pretraživača i podešavanja za sve korisnike
TBB-a kako bi svi izgledali identično posmatraču Tor mreže);
o Tu je naravno i Florens, virtuelna tastatura za slučaj da koristite Fripto na tuđem
računaru sa instaliranim ki-logerom (eng. keylogger) i zaštitnim zidom (eng. Firewall);
o Neizostavni su naravno i IksČet (eng. XChat), Pidžin (eng. Pidgin) i FajlZila
(eng. FileZilla), koji su svi već podešeni da sav internet saobraćaj provode kroz Tor
mrežu, a Pidžin je instaliran sa podrazumevanim OTR (eng. Off The Reccord)
dodatkom.
Međutim, ovo nije cela lista. Tu su i programi za promenu hardverske Mek (eng. MAC –
Media Access Control address) adrese koji sprečavaju rutere na koje se kačite da vas prate
po hardverskoj adresi uređaja koji se za njih vezuje, OpenVi-Pi-En (eng. OpenVPN) kako
biste osim Tora mogli koristiti i/ili VPN. Naravno tu su i AjsDov (eng. IceDove) mejl klijent i
AjsVisl (eng. IceWeasel), internet pretraživač, i mnoštvo drugih korisnih programa koje
možete videti na priloženim slikama. Njih nećemo opisivati jer nemaju mnogo veze sa

zaštitom i privatnošću.
Svi programi koji vam nedostaju mogu se naknadno instalirati ili pri testu ovog operativnog
sistema sa još nešifrovanog fleša, ili poslije šifrovane instalacije na isti (eng. resistance).
Međutim, ono što je zamerka je da programi dugo nisu osveženi (eng. update) novijim
verzijama koje postoje već odavno, kao i da Tor pretraživač nije hteo da se pokrene i skine
novu verziju prilikom testiranja, a da pri tom ne šifruje celu fleš memoriju. Iako nas ovaj
problem ne sprečava da koristimo Tor mrežu u simbiozi sa drugim programima (pa i za
pretraživanje interneta) pomoću TorTpa, ovo slabo održavanje kao i sam format (.img) u
kojem dolazi operativni sistem čine ga odbojnim upravo onima kojima je namenjen, a to su
aktivisti i novinari koji nisu nužno stručni za snalaženje u nepredviđenim softverskim
situacijama i bagovima. Ukoliko iz nekog razloga ne volite prethodno opisani Tejls, a imate
dosta iskustva sa Linuks operativnim sistemima, dobro rukujete terminalnim programima za
zaštitu, dobro znate kako šta funkcioniše – onda možete odabrati Fripto kao zamenu za
Tejls. Mada, Tejls toplo preporučujemo, čak i ako ispunjavate sve predhodno navedene
uslove a privatnost i anonimnost u digitalnom svetu su vam presudne, ili bar ljudima sa
kojima komunicirate.

Iako Fripto ima dosta potencijala i korisnih rešenja, neaktivna i manja zajednica kao i veoma
usporen razvoj i zastareo softver ga svakako čine odbojnim. Ali, kao što smo već rekli,
Fripto se može koristiti u manje opasnim situacijama, za pretraživanje vesti iz kafića ili rad
nad podacima u manje stranom i prijateljskom okruženju (tuđ računar, nepoznati ljudi).
Naravno, ukoliko ste koristili šifrovanje celog fleš diska, što je obavezno ako nameravate da
zaista koristite Fripto za stvaran rad, a ne samo za test, gubitak šifrovane fleš memorije na
kojoj je Fripto sa vašim privatnim podacima nije nikakav problem, jer ga osim vas koji znate
šifru niko neće moći dešifrovati, pokrenuti operativni sistem i pročitati vaše fajlove. Samo se
potrudite da šifra bude duga i netrivijalna. Na kraju krajeva, Fripto i Tejls nisu jedini sigurniji
operativni sistemi o kojima će se govoriti u ovom serijalu. Ima još zanimljivih sistema koji će

tek biti predstavljeni.

Sigurniji operativni sistemi (3. deo) — Huniks

24.03.2016

Autor: Petar Simović

Nešto drugačiji operativni sistem i pristup obezbeđivanju korisnika dolazi nam u vidu
virtualnih mašina.

Ono što je osnovna razlika između prethodno opisanih operativnih sistema Tejlsa i Friptoa i
sada Huniksa (eng. Whonix) u činjenici je da se Huniks izvršava kao virtualna mašina
obično iz programa za virtualizaciju, Virtualboksa (eng. Virtualbox). Ovo dalje praktično
znači da vam je potreban operativni sistem domaćin iz kojeg ćete pokrenuti program koji
može da učita i pokrene virtualne operativne sisteme, tj. potreban vam je softver
Virtualboks, koji možete naći i preuzeti za svoju platformu ovde: https://goo.gl/3t02OT.

Huniks ne možete
instalirati kao svaki debijan ili ubuntu na vaš računar kao podrazumevani operativni sistem,
već ga morate pokrenuti iz programa za virtualizaciju. Ovo može zvučati komplikovano, ali
samo sačekajte da počnemo sa pokretanjem Huniksa. Tek tada stvari počinju da izgledaju
kao da su ih projektovali pravi paranoici.
Dostupan je za Gnu-Linuks, Vindouz, Mek OS i Kjubz operativni sistem o kome ćemo pisati
u nekom od narednih delova ovog serijala. Sam operativni sistem je zasnovan na debijanu;
otvorenog je koda i dostupan je na Githabu (eng. Github) https://goo.gl/0UOkOo, a
distribuira se kao slobodan softver pod Gnuovom Opštom javnom licencom i drugim
licencama.
Uslovno rečeno, mana je što će korisnik morati da preuzme dva velika fajla od po 1,7GB sa
zvanične strane projekta Huniks za svoj operativni sistem (https://goo.gl/yuFFfE) kao i da
instalira Virtualboks.
Minimalni hardverski zahtevi su da imate 1GB radne memorije i 10GBslobodnog prostora
na disku (izvor: https://goo.gl/iPLimu). Iako ništa nije rečeno za procesor, valjalo bi da je
neki dvojezgraš, jer se u isto vreme pokreću dve virtualne mašine. Možete koristiti
simultano i svoj „domaći” ili primarni operativni sistem pri tom ne pominjući programe koje
pokrećete unutar oba operativna sistema.
Huniks je, ustvari, operativni sistem koji se sastoji iz dva dela, tj. dve virtualne mašine.
Jedna radi kao posrednik ili kapija prema mreži (eng. Gateway) za drugu, dok je ova druga
radna stanica koju sve vreme direktno koristite.
Pošto je Huniks virtualni operativni sistem, ne izvršava se direktno na nekom hardveru, već
se za svoje potrebe obraća Virtualboksu i postojećem operativnom sistemu vašeg računara.
Ovo mu pruža veću portabilnost i kompatibilnost sa najpoznatijim operativnim sistemima,
dok ujedno izolacija od postojećeg operativnog sistema kroz virtualne mašine doprinosi
kako sigurnosti postojećeg (domaćina), tako i virtualnog operativnog sistema. Međutim, za
kreatore Huniksa ni ovo nije bila dovoljan sigurnost, pa su otišli i korak dalje u potrazi za još
većom, kroz dodatnu izolaciju za totalne paranoike.
 Način funkcionisanja je
sledeći:
o Virtualna mašina Huniks, koja funkcioniše kao posrednik, prvo se pokreće i povezuje na
Tor mrežu;
o Kada se pokrene i druga virtualna mašina (radna stanica), ona se obraća posredničkoj
virtualnoj mašini za pristup mreži;
o Posrednička virtualna mašina sve zahteve od radne stanice rutira kroz Tor mrežu.
Na ovaj način korisnik, koristeći radnu stanicu, nema načina da onemogući rutiranje kroz
Tor; aplikacije ne moraju da se pojedinačno konfigurišu da koriste Tor, već to radi
posrednička virtualna mašina za sve programe automatski. Ukoliko se desi da pokrenete
neki program zaražen virusom unutar radne stanice Huniksa, to neće imati nikakvog efekta
na pravi (nevirtualni sistem vašeg računara, tj. domaćina) operativni sistem, čak i ako virus
dobije administratorske (sudo, root) privilegije izvršavanja. Još jedna važna osobina je da
se pomoću izolacije u dva nivoa i rutiranjem mrežne aktivnosti radne stanice preko
posredničke virtualne mašine a kroz Tor sprečavaju poznata DNS curenja (eng. DNS leaks)
informacija. Za one neupućene, curenje DNS informacija otkriva vašem provajderu koje
sajtove posećujete (link, a ne IP adrese) iako koristite neku vrstu šifrovanog tunela za

pretraživanje interneta.
A sada pređimo na instaliranje. Instalacija Virtualboksa je trivijalna i podrazumevaće se da
je čitaoci mogu sami obaviti ili preuzimanjem sa navedenog sajta ili preko menadžera
paketa (eng. package manager). Više ćemo se baviti podešavanjima i samim korišćenjem
Huniksa. Najpre je potrebno pokrenuti Virtualboks i u njega uvesti prethodno preuzete
fajlove virtualnih mašina posrednika i radne stanice kao što je pokazano na sledećim
slikama. Proces uvoženja radne stanice je identičan, pa za njega nisu prikazane posebne

slike.
 Valja napomenuti i da je
dozvoljeno menjati podrazumevano alociranu memoriju i procesorske jedinice za virtualne
mašine pa se savetuje da ukoliko imate na raspolaganju viška radne memorije ili neki
četvorojezgarni ili jači procesor, dodelite radnoj stanici više od 768MBmemorije i više od
jednog procesora. Koliko ćete biti „velikodušni” u poklanjanju sistemskih resursa radnoj
stanici Huniks, direktno će imati uticaja na njegove performanse, naročito kada budete
pokretali više programa paralelno. Kada ovo obavite, vaš Virtualboks bi trebalo da izgleda
ovako:

Sada je potrebno
pokrenuti prvo posredničku virtualnu mašinu (Gateway) i sačekati da se ona učita i
sinhronizuje sa stvarnim vremenom. Ovo je veoma važno jer Tor i druge aplikacije neće
raditi ukoliko nisu usklađene sa vremenom na mreži. Kada se ovo uspešno završi, pokrenite
drugu virtualnu mašinu (radnu stanicu) operativnog sistema Huniks i sačekajte da se i ona
učita. Ako sve prođe kako treba, dobićete ekran o upozorenju da je Huniks
eksperimentalan, pod kakvom je licencom i slične informacije na dve strane, i to na
nemačkom i engleskom. Posle vas čeka poruka o prvom startovanju i eventualno
upozorenje da treba da osvežite repozitorijum, ali to nije od ključne važnosti za prvo
testiranje. Može se takođe desiti da se posle ovih upozorenja i obaveštenja sama radna
stanica restartuje ili čak ugasi, pa ćete je morati ponovo pokrenuti iz Virtualboksa.
Sada ste spremni za korišćenje Huniksa. Možete pokrenuti pretraživač Tor, povezati se na
neki IRC pomoću Iks-četa (eng. Xchat), ili konfigurisati Mozilinog (eng. Mozilla) klijenta
elektronske pošte. Tu je i Kgpg klijent za lakše baratanje javnim i tajnim GPG ključevima,
kao i popularni MAT (eng. Metadata Anonymisation Toolkit) za čišćenje metapodataka,
menadžer šifara, VLC plejer i drugi. Za više informacija idite na https://goo.gl/lVxXkc.
Naravno, posle puštanja u rad možete da instalirate bilo koji drugi program koji može da se
instalira i na debijanu. Šifra za administratorske privilegije je changeme, koju bi trebalo da
promenite ukoliko želite da koristite Huniks posle testiranja. Više informacija
na: https://goo.gl/Frs0cW.
Za pohvalu je sam sajt https://www.whonix.org/, koji će se svideti naprednijim i iskusnijim
korisnicima jer obiluje informacijama kako o samom projektu, tako i o raznim naprednim
podešavanjima i kombinovanjem anonimnih mreža i tunela (https://goo.gl/Zl36YH). Ovo je
samo jedan primer na koji je autor naišao, a ima ih dosta, previše za nabrajanje u ovom
tekstu. Tu su aktivan forum i IRC kanal gde možete pitati zajednicu ako vam nešto ne polazi
za rukom, ili nešto ne razumete.
Ostavićemo vas da isprobate ovaj sistem i uverite se na delu u njegove podobnosti, a
sigurni smo da će se baš Huniks svideti onim sa najviše paranoje.
Sigurniji operativni sistemi (4. deo) — Kjubz
23.04.2016

Autor: Petar Simović

Kjubz (eng. Qubes) se razlikuje od prethodnih operativnih sistema koje smo do sada opisali
(Tejls, Fripto i Huniks) a koji su bili ili virtuelne mašine ili portabilni operativni sistemi za
pokretanje sa spoljne memorije. Kjubz je operativni sistem koji se instalira na disk, baš kao i
Ubuntu, Mint ili neki drugi operativni sistem koji koristite na vašem računaru za
svakodnevnu upotrebu. Baš tako, Kjubz može u potpunosti da zameni vaš trenutni desktop
operativni sistem i uz to da poboljša vašu privatnost, sigurnost sistema i ličnih podataka.

Ono što nam Kjubz nudi je „razumno siguran operativni sistem” (to je zapravo njihov slogan:
„Reasonably secure opearting system”) koji implementira izolovanje programa kroz
virtuelizaciju, tj. izolovanje pojedinačnih programa kao da se pokreću u virtuelnim mašinama
nezavisnim od sistema. Još jedan veliki plus za Kjubz je što je FLOSS (eng. Free and Libre
Open-Source Software), što vam daje slobodu da menjate kod i prilagođavate ga
sopstvenim potrebama.
Prvo treba reći da Kjubz nije kao Tejls za širok spektar korisnika. Još uvek je u razvoju i
ukoliko niste iskusni Gnu-Linuks korisnik, može vam se učiniti više konfuznim i nepraktičnim
nego korisnim. Drugo, minimalne hardverske zahtevnosti ne favorizuju stariji hardver jer je
potrebno najmanje četiri gigabajta radne memorije, a preporučljivo je koristiti novije SSD
(eng. Solid State Drive) diskove, a možete naleteti i na probleme sa grafičkom kartom (više
na: https://goo.gl/qtfkgi).
Ali zašto biste izabrali baš Kjubz za svakodnevni operativni sistem? Najvažniji aspekt je
svakako sigurnost koja je na specifičan način implementirana. Naime, Kjubz koristi Ksen
hipervizor (eng. Xen hypervisor) koji je drugi tip virtuelizacije od one koju smo upoznali kod
Huniksa pokrećući je iz Virtuelboksa (eng. VirtualBox).
Kod Virtuelboksa sigurnost virtuelne mašine direktno zavisi od sigurnosti operativnog
sistema iz koga je Virtuelboks pokrenut, kao i samog Virtuelboksa, dok kod Ksena ne
postoji operativni sistem domaćin i sigurnost svih viruelnih mašina zavisi samo od njega. Na
ovaj način nema potrebe za procesorski zahtevnom apstrakcijom hardvera kao kod
Virtuelboksa jer se virtuelne mašine direktno izvršavaju na postojećem hardveru, onakvom
kakav jeste. Dok Ksen ujedno predstavlja virtuelni operativni sistem koji upravlja virtuelnim
mašinama koje se izvršavaju paralelno. Valja pomenuti i da je Ksen takođe FLOSS softver
pod GPL licencom (https://goo.gl/ZEekyK).
Kad smo već kod virtuelnih mašina, Kjubz dolazi sa već preinstaliranim virtuelnim
mašinama za različite namene (bankarstvo, lični podaci i programi, posao). Svaka od ovih
virtuelnih mašina označena je različitim bojama kako bi se korisnik lakše snalazio koju
virtuelnu mašinu za šta sme da koristi. Šta će korisnik raditi u svakoj od virtuelnih mašina
svakako je na samom korisniku, a boje su tu da mu sugerišu da odvoji privatne i poverljive
stvari od potencijalno štetnih. Evo i praktičnog primera o čemu zapravo pričamo.

Situacija sa današnjim operativnim sistemima je da na istom operativnom sistemu otvaramo

sumnjivu poštu i klikćemo na još sumnjivije linkove, instaliramo svakojake programe kojima
olako dajemo admistratorska prava (sudo), čeprkamo po konfiguracionim fajlovima
sistema, itd. Dok u isto vreme od pojedinačnih programa i operativnog sistema očekujemo
da nas zaštite od sve sofisticiranijih napada i virusa, zaboravljamo da nas operativni sistem
ne može zaštititi od nas samih ukoliko sumnjivom programu damo administratorska prava.
Kjubz, međutim, rešava ovaj problem već pomenutom izolacijom programa u zasebne
virtuelne mašine. Time se sprečava da ukoliko neki na primer virus koji ste otvorili iz mejla ili
iz novog programa koji ste izvršili iz jedne virtuelne mašine ugrozi bilo koju drugu virtuelnu
mašinu. Još jedan primer bi bio anonimno pretraživanje pomoću Tor mreže dok u isto
vreme unutar druge virtuelne mašine možete nesmetano gledati video koji zahteva
nesigurni fleš plejer (eng. flash player).
Još jedno sigurnosno svojstvo je postojanje virtuelne mašine za jednokratnu upotrebu koja
sve što ste u njoj radili briše nakon što je ugasite. Ovo je veoma korisno ako pristupate
nekoj veb stranici kojoj posebno ne verujete kao u slučaju kada ipak želite da odete na sajt
za koji vas je pretraživač upozorio da je opasan. Sa virtuelnom mašinom za jednokratnu
upotrebu to možete uraditi ne kopromitujući ostale virtuelne mašine.

Ono što radite u jednoj virtuelnoj mašini, koja se još naziva i domen, ostaje unutar nje.
Tako, na primer, kada neki fajl preuzmete unutar jednog domena, on nije vidljiv u ostalima
ukoliko ga specijalnom opcijom ne prebacite u drugi domen. Slično tome, ono što ste
selektovali i kopirali u jednom domenu ne možete nalepiti (eng. paste) u drugom. Svaki
domen može imati drugi operativni sistem pa je tako moguće koristiti različite domene za
različite namene koji se paralelno ali nezavisno izvršavaju izolovani jedni od drugih.
Prilikom instalacije postoji opcija, koja je još uvek u razvoju, da sav saobraćaj rutira kroz Tor
mrežu, baš kao što to radi i Huniks. Ali to nije sve, Huniks kapija i radna stanica postoje kao
virtuelne mašine unutar Kjubza tako da možete isprobavati i naprednije mrežne
ekperimente poput kombinovanja više anonimnih mreža i virtuelnih privatnih tunela (VPN)
za dodatnu (paranoičnu) sigurnost.
Virtuelizacija i izolovanost je pored sigurnosti korisna jer lako možete pokretati i Vindouz
(eng. Windows) programe ukoliko instalirate Vindouz unutar Kjubza kao virtuelnu mašinu.
Više informacija o tome možete naći na https://goo.gl/f8pem1 i https://goo.gl/3tlk8M.

Naravno da postoje i određene mane koje se ogledaju u instaliranju i osvežavanju već

instaliranog softvera. Naime, instalirani program je vidljiv samo unutar jednog
domena/virtuelne mašine, pa ukoliko vam nedostaje neki program na više domena, morate
ga instalirati na svakom pojedinačno. Slična priča je i za osvežavanje softvera novijim
verzijama koje se svakako savetuje iz bezbednosnih razloga.

Da kreatori Kjubza (//Invisiblethingslab//) vode računa o sigurnosti ne samo softvera već i

hardvera na kome će se njihov sistem izvršavati možemo videti kroz sertifikovani hardver za
koji je provereno da, prosto rečeno, sve radi kako treba. Za sada sertifikovani hardver je
Librem, laptop sačinjen od otvorenog hardvera i slobodnog BIOS-a (više
na: https://puri.sm/, https://www.qubes-os.org/doc/certified-laptops/)

Sve što smo ovde opisali i mnogo više možete naći na oficijalnom sajtu Kjubza
(https://www.qubes-os.org/), a tamo možete pogledati i video od pola sata koji objašnjava i
pokazuje opisane osobine ovog neobičnog operativnog sistema (https://goo.gl/bNXDWA).
Kjubz sa svojom sigurnosnom arhitekturom izraženom kroz virtuelizaciju i izolaciju
programa u zasebne virtuelne mašine svakako predstavlja novo poglavlje u dizajnu
bezbednijih operativnih sistema.

Sigurniji operativni sistemi (5. deo) — Subgraf

19.08.2017

Autor: Petar Simović

U ovom delu bolje ćemo upoznati najnoviji operativni sistem koji unosi dosta noviteta u polju
zaštite korisnika od raznih napada preko mreže i onih unutar sistema – takozvanih virusa.
Radi se o distribuciji zasnovanoj na Debijanu koja nosi naziv Subgraf (eng. Subgraph).
Subgraf se trudi da pruži što bezbedniji operativni sistem za svakodnevnu upotrebu
prosečnog korisnika. Bezbednost operativnog sistema i svi propratni zaštitni mehanizmi i
karakteristike, o kojima ćemo se upoznati u nastavku, minimalno opterećuju korisnika i
suptilno su sakriveni čineći sistem veoma jednostavnim za korišćenje. Grafičko desktop
okruženje je Gnom, pa na prvi pogled nećete ni primetiti da se radi o nekoj sigurnosnoj

distribuciji.

Karakteristike
Glavna filozofija Subgrafa je povećanje troškova napada na korisnika ovog operativnog
sistema kroz razne strategije odbrane. Nijedan sistem nije apsolutno siguran, a ukoliko
napadač želi da napadne nekog korisnika to ima izvesnu cenu u vremenu, resursima i
ljudstvu. Kada se radi o masovnom nadzoru i hakovanju od strane nekog napadača, ono se
može učiniti dovoljno teškim i skupim za uspešno izvođenje kroz upotrebu odgovarajućeg
softvera zaštite komunikacija i sistema. Sa tom idejom, Subraf implementira sledeće
zaštitne mehanizme:

1. Deterministička kompilacija: obezbeđuje da se izvorni kod uvek kompajlira u isti izvršni

kod. Ovo omogućeva da korisnici posle preuzimanja izvornog koda i kompajliranja mogu da
uporede heš vrednosti svog kompajliranog programa sa onom vrednosti na sajtu Subgrafa i
uvere se u autentičnost programa.
2. Grsecurity/Pax linuks jezgra: Sigurnosno unapređeno i ojačano linuks jezgro
(eng. kernel), što u suštini podrazumeva zaštitu adresnog prostora i omogućava korisniku
da definiše najniže privilegije koje neki ili svi programi mogu da imaju.
3. Izolovanje rizičnih aplikacija: podrazumeva da rizična aplikacija ima samo jedan
određen izolovan pristup resursima poput fajl sistema, procesora ili memorije. Na taj način
se smanjuje i ograničava potencijalna šteta koju virus ili napadač može napraviti ako zarazi
neki program. Ovo je veoma korisno jer se većina virusa aktivira kliktanjem na neproverene
linkove unutar veb pretraživača ili otvaranjem sumnjivih fajlova iz mejlova. Za potrebe
izolovanja aplikacija (eng. sandbox) Subgraf je razvio svoj Oz sistem koji može programima
da ograniči i izoluje pristup fajlovima, mreži, audio reprodukciji, sistemskim pozivima
(seccomp) i interakcije između X11 programa (xpra). Više možete pročitati u
njihovom priručniku, a Oz sistem, kao i sav Subgrafov softver je otvorenog koda i možete
ga naći na githabu.
4. Subgraf Metaproksi i aplikacioni fajervol (eng. firewall): Subgraf sav odlazni saobraćaj
rutira kroz Tor anonimnu mrežu, međutim nisu svi programi prilagođeni da komuniciraju sa
soks proksijem (eng. socks proxy) koji koristi Tor mreža, pa se u takvim situacijama koriste
programi poput torifaja (eng. Torify). Metaproksi ovo automatski radi za sve programe koji
podrazumevano ne koriste Tor, a time se izbegava ručno konfigurisanje za svaki program
kao u slučaju korišćenja torifaja. Za dodatnu anonimnost, za svaki program se uspostavlja
odvojeno Tor mrežno kolo (eng. Tor circuit). Aplikacioni fajervol kontroliše koji program sme
da pristupi mreži, a ukoliko neki program pokuša da pristupi mreži bez dozvole, fajervol će o
tome odmah obavestiti korisnika koji može taj pristup privremeno ili stalno odobriti. Na ovaj
način se pokušava postići da korisnik uvek ima uvid koji se program povezuje sa mrežom.

5. Obavezna enkripcija
fajl sistema: Ukoliko se odlučite da instalirate Subgraf, šifrovanje diska tj. celog fajl sistema
je obavezno za razliku od većine distribucija. Time se želi sprečiti pristup podacima ukoliko
izgubite kompjuter.
6. Brisanje RAM memorije: Ovo nije novo i sa ovom funkcionalnošću smo se sretali i kod
drugih sigurnosnih operativnih sistema (npr. Tejls). Brisanje RAM memorije pri gašenju
računara je uvek dobro došlo jer sprečava izvlačenje podataka iz memorije neposredno
posle gašenja računara (eng. cold boot attack).
7. Sigurniji sistem izvršavanja: Odnosi se na pisanje već postojećih aplikacija kao što su
Subgraf mejl (eng. Subgraph Mail) mejl klijent, KojIM (eng. CoyIM) mesindžera i pomenutog
Metaproksija u memorijski sigurnim višim jezicima Go i Java koji sprečavaju prekoračenje
bafera i izbegavaju pokazivače na proizvoljne memorijske lokacije.
Više možete saznati na sajtu i Subgraf priručniku.
Instalacija
Da biste pokrenuli Subgraf, potrebni su vam najmanje dvojezgarni procesor
(eng. Core2Duo, 64-bit) ili jači, dva gigabajta radne memorije (2GB RAM) i dvadeset
gigabajta prostora na disku, kao što kažu kreatori sistema. Sliku sistema u ISO formatu
možete preuzeti sa navedenog linka, a po preuzimanju slike sistema preuzmite i heš i
digitalni potpis preuzete ISO slike kako biste proverili njenu autentičnost. Podrazumeva se
da su svi preuzeti fajlovi u istom folderu.
gpg --recv-key --keyserver pgp.mit.edu
B55E70A95AC79474504C30D0DA11364B4760E444
gpg --verify subgraph-os-alpha_2016-12-30_1.iso.sha256.sig
subgraph-os-alpha_2016-12-30_1.iso.sha256
sha256sum -c subgraph-os-alpha_2016-12-30_1.iso.sha256
 Treba napomenuti i to
da Subgraf ne možete testirati koristeći VirtuelBoks (eng. VirtualBox), već morate koristiti
Kvemu (eng. Qemu), ali standarndo narezivanje ISO slike na di-vi-di (eng. DVD) ili
pravljenje butabilnog u-es-be (eng. USB) uređaja je podrazumevan način. Više možete
saznati u navedenom priručniku.
Kada pokrenete Subgraf, imaćete opcije za pokretanje sistema bez instalacije tzv. lajv
(eng. live), i instalaciju. Ukoliko se odlučite za lajv mod, zahtevi za RAM memorijom su
duplo veći (4GB) jer se sistem kopira i koristi iz iste memorije ne koristeći disk.

Kada pokrenete lajv ili

instalirate sistem, dočekaće vas lep plavi desktop sa natpisom „Subgraf”.
 Kako biste koristili Tor
pretraživač i druge programe bez problema, neophodno je da ažurirate sistem, a možda i
restartujete ukoliko sistem nije lajv nego je instaliran. Potrebno je i dozvoliti odlazni
saobraćaj, zbog fajervola, kako biste se povezali na Debijanove servere za ažuriranje
softvera.
sudo apt update
sudo apt upgrade
sudo apt dist-upgrade --auto-remove --purge

Programi
Programi koje dobijate uz sistem su Heks-čet (eng. Hexchat) IRC klijent, Tor
pretraživač, Ajsdav/Tandrbrd (eng. Icedove/Thunderbird) mejl
klijent, Onionšer (eng. OnionShare) za deljenje fajlova preko
Tormreže, KojIm mesindžer, Ki-pas-iks (eng. KeePassX) za šifre, MATza brisanje
metapodataka, VLC plejer, Rikočet (eng. Ricochat) za ćaskanje unutar Tor mreže, kao i
druge programe.
Sigurnost
Iako Subgraf ima dosta sigurnosnih barijera za razliku od običnog linuks sistema poput
Debijana ili Fedore, rupe i nedostaci u ovom sistemu postoje. Osnovna mana je što nisu svi
programi izolovani, već samo odabranih 22. Ovo ima potencijalno velike negativne
posledice po ceo sistem, jer svaki od neizolovanih programa predstavlja način na koji
napadač može da preuzme kontrolu nad celim sistemom. To znači da ako korisnik preuzme
sa interneta neki zaraženi fajl i otvori ga neizolovanim programom, sva zaštita pada u vodu i
ceo vaš sistem je zaražen. Ipak treba imati razumevanja i progledati kroz prste Subgrafu za
sada jer je još uvek u alfa verziji razvoja. Ni drugi oprobani, detaljno testirani i sigurni
operativni sistemi kao Tejls takođe nisu otporni na ovakvu vrstu napada jer i ne izoluju
(eng. sandbox) programe jedne odrugih. Više o ovome, dubljoj sigurnosnoj analizi Subgrafa
i primerima eksploita možete videti na ovom i ovom linku.

Sigurniji operativni sistemi (5. deo) — Diskrit

linuks
25.03.2018

Autor: Petar Simović

Možda je neko do sada čuo za derivat Ubuntua sa fokusom na privatnost UPR – Remiks
Ubuntu privatnosti (eng. Ubuntu Privacy Remix). Ko se ne seća ili nije ni znao za UPR,
ukratko, to je bila modifikovana distribucija Ubuntua sa uklonjenim drajverima i neophodnim
softverom iz kernela za povezivanje na bilo kakvu mrežu. Nije se moglo povezati na lokalnu
mrežu (eng. LAN), širokopojasnu mrežu (eng. WLAN), blutut (eng. Bluetooth), Čvor-do-
čvora vezom (eng. PPP) ni infracrveno povezivanje (eng. Infrared connection). Znači,
Diskrit ne može izaći na internet i ne može pristupiti vašem disku u računaru. Sve to u
cilju izolovanja sistema za rad sa osetljivim podacima od mogućih upada u sistem preko
mreže ili u slučaju da su podaci ili hardver već zaraženi, komunikaciju iz sistema ka
napadaču. Osnovni ciljevi sistema su bili zaštita od kilogera (eng. keyloggers), rutkita
(eng. rootkits), spajvera (eng. spyware) i potencijalnih virusa sa vašeg diska.

UPR je ugašen 2017. godine, a zamenio ga je Diksrit linuks (eng. Discreete Linux), koji se
može sada smatrati nastavkom ili poboljšanjem UPR-a, pa ne čudi što je Diskrit linuks
zadržao navedene ili preuzeo navedena svojstva zaštite od UPR-a. To svakako nisu sve
sigurnosne mere Diskrit-a, nove su dodate kako bi ovaj operativni sistem bio u koraku sa
vremenom i konkuretan sa ostalima iz bezbednosne branše. Da bismo razumeli zašto su se
autori prvo UPR-a, a sada i Diskrit linuksa odlučili za sigurnosni sistem sa kojim ne možete
pristupiti mreži niti disku u vašem računaru, moramo prvo biti svesni nekoliko špijunksih
programa koje je obelodanio Snouden (eng. Edward J. Snowden), i drugo, kako zapravo

virusi uspevaju da zaraze naš sistem.

Američki špijunski programi
Otkriveni špijunksi programi su: Foksacid (eng. FOXACID) – program Američke
Bezbednosne agencija NSA (eng. National Security Agency) koji omogućava ovoj agenciji
da pobedi u trci sa vremenom i kada uputite zahtev za nekom veb-stranom, i posluži vam
lažnu veb-stranicu sa podmetnutim virusom i eksploitom u njoj. To je omogućeno pomoću
još jednog programa pod kodnim imenom Kvantum (eng. QUANTUM) koji je prethodno
obezbedio kompromitovanje rutera koje koriste još u samoj fabrici jer su kompanije bile
primorane da sarađuju sa Američkom bezbednosnom službom. Turbina (eng. TURBINE) je
još jedan program koji se oslanjao na hardverske implante koje je NSA instalirala na mnoge
uređaje korisnika i koji joj je omogućavao da automatski pristupa računarima korisnika i iz
njihovih računara neprimećeno izvlači podatke ili ih špijunira prisluškujući mikrofon ili
kameru.

Kako virusi uspevaju da zaraze naš sistem

Napadač ima dosta mogućnosti na raspolaganju kada želi da upadne u vaš sistem.
Najosnovniji napadi su namerno navođenje korisnika da pokrene određeni zaraženi
program, iskorišćavanje sigurnosnog propusta poput prekoračenja bafera (eng.
[https://en.wikipedia.org/wiki/Buffer_overflow[buffer overflow]]) u nekom korisnikovom
softveru itd. Kada pričamo o načinima da virusi dođu na korisnički računar, to je najčešće
kroz neproverena preuzimanja sa interneta, preko mejla, na veb-stranama, kroz
dokumenta, itd. Da ne zaboravimo da dobro prikriveni virusi mogu zaobići i antiviruse,
vatreni zid (eng. Firewall), IDS (eng. intrusion detection systems), ili čak vazdušnu izolaciju
(eng. air gap). Međutim, da bi bilo koji od ovih napada ostvario svoj cilj da napadaču
obezbedi pristup vašem računaru, internet veza sa vašim sistemom mora da postoji. Znači
vodeći principi su zabarakidiraj ulaze u sistem, izlaze iz njega i tako spreči širenje virusa.

Kako se Diskrit brani

Tvorci Diskrita su sve to imali u vidu kada su kreirali ovaj sistem, vagajući između
jednostavnog korisničkog iskustva i najveće sigurnosne mere zaštite koja se može ostvariti
očuvavajući sistem upotrebljivim.

Osobine:
o nema povezivanja na internet
o nema pristupa disku – zbog poznatih napada na sisteme kroz firmver (eng. firmware)
hard diskova na kojima se može sakriti virus i preživeti formatiranje (detalnjiji tekst o
ovom napadu),
o operativni sistem je nepromenljiv – Diskrit se samo može pokrenuti sa medijuma, ali na
njemu se ne mogu čuvati podaci zato što je sistem samo za čitanje (eng. read-only file
sytem, ISO 9660,SquashFS),
o jedini pristup je preko spoljnih medija kao U-Es-Be (USB), koji se poreću kao ne izvršni
(eng. mount as noexec). Direktan pristup memoriji je takođe ograničen spoljnim
medijima jer su zabeleženi napadi instaliranja firmvera sa virusom kroz memoriju na
druge uređaje. Spoljne tastature koje se vezuju moraće da imaju prvo odobrenje
odkorisnika da se radi o tastaturi pre nego što istoj bude dozvoljen unos, da bi se
sprečili napadi poput (BADUSB-a).
o samo digitalno kriptografski potpisan kernel se može učitati i startovati Diskrit linuks, što
sprečava napadače da podmetnu njihov izmenjeni kernel koji recimo otvara pristup
internetu.
o administratorske rut (eng. root) privilegije nisu dozvoljene, međutim pre učitavanja imate
izbor da učitate Diskrit verziju sa omogućenim rut privilegijama ako su one neophodne
za neki posao.

Postavlja se logično pitanje: Kako koristiti Diskrit linuks ako ne možemo na internet i
nemamo pristup disku, a ni u samom Diksritu ne možemo čuvati datoteke? Korisnik ipak
može priključiti u-es-be i sa njega učitati datoteke u operativni sistem, a sve što na sistemu
radi može sačuvati takozvanom kriptoboks obliku (eng. cryptobox). Kriptoboks koje je
zapravo virtuelni kontejner ili datoteka određene veličine, šifrovan lozinkom koju korisnik
odabere. Takva jedna datoteka u šifrovanom obliku sa strane uvek izgleda kao gomila
nasumičnih karaktera i ne može se nikada reći koliko se datoteka nalazi u njemu, tj. koliko
je napunjen. Sličnu tehiku koristi Verakript (eng. VeraCrypt) i nekadašnji Trukript
(eng. TrueCrypt) za koje takođe imate podršku u Diskritu.
Sistem je namenjen zviždačima (eng. whistleblowers), novinarima, aktivistima, advokatima i
drugima koji nisu nužno i IT eksperti, pa se može reći da je Diskrit orijentisan ka prosečnim
korisnicima u potrazi za većom privatnosti.
Uključeni softver

Na raspolaganju vam je širok spektar alata i programa uključenih u Diskrit linuks i njima je
sistem dobro opemljen kako vam ništa od programa ne bi zatrebalo i da ne biste
instaliranjem dodatnog i potencijalno zaraženog softvera ugrozili sistem i svoje poverljive
podatke.
U sistemu se nalaze razni programi od editora teksta, preko celog Libre ofisa (eng. Libre
Office), kalkulatora, virtuel boksa (eng. VirtualBox), imenika. Tu su i programi za obradu
slika i crtanje poput GIMP-a, inkskejpa (eng. Inskscape), skribusa, onda programa za
šifrovanje i otklanjanje metapodataka poput GPG-a, Verakripta (eng. VeraCrypt), MAT-a
(data Anonymisation Toolkit) i kriptboks čarobnjaka.
Uključeni si i programi za audio i video poput VLC-a i ritamboksa (eng. Rythmbox),
programa za narezivanje Brasero, pa čak i veb-pregledač Fajrfoks ESR (eng. Firefox ESR),
a tu su naravno i sistemski programi poput terminala, pregledača logova, DISKS-a, i drugih.
Zaključak
Sistem je veoma siguran, sprečava većinu načina na koji se virusi i drugi neželjini softver
obično infiltrira na korisnički sistem. Operativni sistem Diskrit je i dalje u fazi testiranja i
daljeg razvoja (u trenutku testiranja je najnovija verzija
bila Discreete_Linux_2016.1_beta1februara 2018. godine), pa ovaj sistem još ne treba
smatrati gotovim rešenjem za kritične poslove, a prilikom testiranja i mi smo naišli na neke
bagove. Međutim, Diskrit ima svetlu budućnost ako nastavi sa daljim razvojem, praćenje
aktuelnih napada i propusta, trudeći se da iste spreči.