Professional Documents
Culture Documents
deo)
30.11.2015
Za kraj, važno je reći da je Tejls dizajniran za najkritičnije slučajeve kada su korisnici čak i u
neposrednoj životnoj opasnosti ukoliko njihov identitet bude otkriven. Od dna pa do vrha
sistem je dizajniran i osmišljen sa digitalnom sigurnošću i privatnošću na umu, jer je
namenjen za uzbunjivače, novinare, aktiviste i sve one kojima su neophodni anonimnost i
privatnost za posao kojim se bave u uslovima represivnih režima država u kojima borave.
Kao primer bismo naveli Edvarda Snoudena (eng. Edward Joseph Snowden), kome je Tejls
svakako dosta pomogao da pobegne i prosledi poverljive dokumente novinarima. Ali ne
samo za ljude sa opasnim poslom, sistem je namenjen za sve obične korisnike koji žele da
iskoriste svoje pravo na privatnost među računarskim mrežama.
Fripto (eng. Freepto) je još jedan operativni sistem koji dosta podseća na već opisani Tejls
(eng. Tails). Fripto je, kao i Tejls, zasnovan na Debijanu i ciljna grupa korisnika su mu
aktivisti, istraživački novinari, uzbunjivači ili, jednostavnije rečeno – svi oni kojima je
sigurnost i privatnost u radu na računaru na prvom mestu. Fripto dolazi u formatu .img
„slike” za razliku od većine drugih distribucija koje dolaze u standardnom .iso formatu. Ovaj
operativni sistem možete pokrenuti samo sa U-es-be-a (eng. USB) tako što ćete celu .img
„sliku” kopirati na u-es-be upotrebom komande dd iz terminala (ukoliko koristite Gnu/Linuks
operativni sistem), ili pomoću programa JunetButin (eng. UnetBootin) na Vindous
operativnim sistemima.
„Slika” operativnog sistema se može preuzeti sa glavnog sajta Fripto
projekta http://www.freepto.mx/en/, u sekciji za preuzimanje. Ovde možete pronaći i heš
(eng. hash, SHA512) vrednosti same „slike” operativnog sistema koje skidate, kao i
digitalno potpisane heš vrednosti iste „slike” koju savetujemo da obavezno proverite kako
biste izbegli da se ponovi incident sa Linuks Mint operativnim sistemom i zamenjenim
„slikama” operativnog sistema (više o incidentu sa Mint OS na: http://goo.gl/2LR5kL ).
Međutim, ono što je razlika između Tejlsa i Fripa, jeste da Tejls sve veze sa internetom
rutira kroz Tor mrežu i to se ne može onesposobiti/isključiti, dok Fripto ima opciju šifrovanja
svega kroz Tor ali se mora prethodno uključiti. Takođe je dozvoljeno i izlaženje na mrežu i
bez bilo kakve anonimne mreže. TorTp je program koji uključuje anonimni mod i rutira sve
konekcije kroz Tor mrežu. TorTp je program otvorenog koda i dostupan je na Githabu (eng.
Github) https://goo.gl/QoHbhl .
Kada uspešno napravite butabilni u-es-be od praznog fleša i Fripto „slike”, pokrenite
računar uz pomoć fleša nameštenim kao prvi uređaj sa koga se čita operativni sistem.
Nakon toga, upaliće se ekran sa logoom Fripto operativnog sistema gde treba da izaberete
opciju Fripto sa automatskom detekcijom procesora (eng. Freepto (autodetect CPU)).
Detaljna uputstva možete naći na: https://goo.gl/cuIya0. Ova uputstva se odnose na
promenu podrazumevane administratorske šifre, iz: live u neku koja vama odgovara i koju
ćete samo vi znati, kao i kreiranje šifrovanog fleša sa kojeg se Fripto pokreće. Ovo
šifrovanje fleša može potrajati jer se prazan prostor na fleš disku sa kojeg ste pokrenuli
Fripto popunjava nasumičnim podacima koji se takođe šifruju pa ovaj proces može trajati i
preko sat vremena, zavisno od veličine fleš memorije koja treba da se popuni.
Što se programa tiče, najinteresantniji su oni koji su zaduženi za privatnost podataka i
komunikaciju, a u fripto su uključeni:
o GPG (eng. Gnu Privacy Guard) za potrebe šifrovanja elektronske pošte i podataka,
digitalno potpisivanje poruka i podataka, kao i proveru potpisa i autentičnosti;
o TorTp već pomenuti program za rutiranje svih konekcija preko Tor mreže;
o MAT i Bličbit (eng. BleachBit) koji su tu za brisanje metapodataka, nepotrebnih fajlova i
logova koje drugi programi ostavljaju, kao i sigurno brisanje podataka;
o Trukript (eng. TrueCrypt) i tomb za šifrovanje i sakrivanje (steganografija) fajlova na već
šifrovanom fleš disku;
o Tor pretraživač (eng. Tor Browser Bundle – TBB) internet pretraživač specijalno
modifikovan tako da koristi samo Tor mrežu i spreči deanonimizaciju korisnika zbog
svoje uniformnosti (jedistvena dijagonala pretraživača i podešavanja za sve korisnike
TBB-a kako bi svi izgledali identično posmatraču Tor mreže);
o Tu je naravno i Florens, virtuelna tastatura za slučaj da koristite Fripto na tuđem
računaru sa instaliranim ki-logerom (eng. keylogger) i zaštitnim zidom (eng. Firewall);
o Neizostavni su naravno i IksČet (eng. XChat), Pidžin (eng. Pidgin) i FajlZila
(eng. FileZilla), koji su svi već podešeni da sav internet saobraćaj provode kroz Tor
mrežu, a Pidžin je instaliran sa podrazumevanim OTR (eng. Off The Reccord)
dodatkom.
Međutim, ovo nije cela lista. Tu su i programi za promenu hardverske Mek (eng. MAC –
Media Access Control address) adrese koji sprečavaju rutere na koje se kačite da vas prate
po hardverskoj adresi uređaja koji se za njih vezuje, OpenVi-Pi-En (eng. OpenVPN) kako
biste osim Tora mogli koristiti i/ili VPN. Naravno tu su i AjsDov (eng. IceDove) mejl klijent i
AjsVisl (eng. IceWeasel), internet pretraživač, i mnoštvo drugih korisnih programa koje
možete videti na priloženim slikama. Njih nećemo opisivati jer nemaju mnogo veze sa
zaštitom i privatnošću.
Svi programi koji vam nedostaju mogu se naknadno instalirati ili pri testu ovog operativnog
sistema sa još nešifrovanog fleša, ili poslije šifrovane instalacije na isti (eng. resistance).
Međutim, ono što je zamerka je da programi dugo nisu osveženi (eng. update) novijim
verzijama koje postoje već odavno, kao i da Tor pretraživač nije hteo da se pokrene i skine
novu verziju prilikom testiranja, a da pri tom ne šifruje celu fleš memoriju. Iako nas ovaj
problem ne sprečava da koristimo Tor mrežu u simbiozi sa drugim programima (pa i za
pretraživanje interneta) pomoću TorTpa, ovo slabo održavanje kao i sam format (.img) u
kojem dolazi operativni sistem čine ga odbojnim upravo onima kojima je namenjen, a to su
aktivisti i novinari koji nisu nužno stručni za snalaženje u nepredviđenim softverskim
situacijama i bagovima. Ukoliko iz nekog razloga ne volite prethodno opisani Tejls, a imate
dosta iskustva sa Linuks operativnim sistemima, dobro rukujete terminalnim programima za
zaštitu, dobro znate kako šta funkcioniše – onda možete odabrati Fripto kao zamenu za
Tejls. Mada, Tejls toplo preporučujemo, čak i ako ispunjavate sve predhodno navedene
uslove a privatnost i anonimnost u digitalnom svetu su vam presudne, ili bar ljudima sa
kojima komunicirate.
Iako Fripto ima dosta potencijala i korisnih rešenja, neaktivna i manja zajednica kao i veoma
usporen razvoj i zastareo softver ga svakako čine odbojnim. Ali, kao što smo već rekli,
Fripto se može koristiti u manje opasnim situacijama, za pretraživanje vesti iz kafića ili rad
nad podacima u manje stranom i prijateljskom okruženju (tuđ računar, nepoznati ljudi).
Naravno, ukoliko ste koristili šifrovanje celog fleš diska, što je obavezno ako nameravate da
zaista koristite Fripto za stvaran rad, a ne samo za test, gubitak šifrovane fleš memorije na
kojoj je Fripto sa vašim privatnim podacima nije nikakav problem, jer ga osim vas koji znate
šifru niko neće moći dešifrovati, pokrenuti operativni sistem i pročitati vaše fajlove. Samo se
potrudite da šifra bude duga i netrivijalna. Na kraju krajeva, Fripto i Tejls nisu jedini sigurniji
operativni sistemi o kojima će se govoriti u ovom serijalu. Ima još zanimljivih sistema koji će
Ono što je osnovna razlika između prethodno opisanih operativnih sistema Tejlsa i Friptoa i
sada Huniksa (eng. Whonix) u činjenici je da se Huniks izvršava kao virtualna mašina
obično iz programa za virtualizaciju, Virtualboksa (eng. Virtualbox). Ovo dalje praktično
znači da vam je potreban operativni sistem domaćin iz kojeg ćete pokrenuti program koji
može da učita i pokrene virtualne operativne sisteme, tj. potreban vam je softver
Virtualboks, koji možete naći i preuzeti za svoju platformu ovde: https://goo.gl/3t02OT.
Huniks ne možete
instalirati kao svaki debijan ili ubuntu na vaš računar kao podrazumevani operativni sistem,
već ga morate pokrenuti iz programa za virtualizaciju. Ovo može zvučati komplikovano, ali
samo sačekajte da počnemo sa pokretanjem Huniksa. Tek tada stvari počinju da izgledaju
kao da su ih projektovali pravi paranoici.
Dostupan je za Gnu-Linuks, Vindouz, Mek OS i Kjubz operativni sistem o kome ćemo pisati
u nekom od narednih delova ovog serijala. Sam operativni sistem je zasnovan na debijanu;
otvorenog je koda i dostupan je na Githabu (eng. Github) https://goo.gl/0UOkOo, a
distribuira se kao slobodan softver pod Gnuovom Opštom javnom licencom i drugim
licencama.
Uslovno rečeno, mana je što će korisnik morati da preuzme dva velika fajla od po 1,7GB sa
zvanične strane projekta Huniks za svoj operativni sistem (https://goo.gl/yuFFfE) kao i da
instalira Virtualboks.
Minimalni hardverski zahtevi su da imate 1GB radne memorije i 10GBslobodnog prostora
na disku (izvor: https://goo.gl/iPLimu). Iako ništa nije rečeno za procesor, valjalo bi da je
neki dvojezgraš, jer se u isto vreme pokreću dve virtualne mašine. Možete koristiti
simultano i svoj „domaći” ili primarni operativni sistem pri tom ne pominjući programe koje
pokrećete unutar oba operativna sistema.
Huniks je, ustvari, operativni sistem koji se sastoji iz dva dela, tj. dve virtualne mašine.
Jedna radi kao posrednik ili kapija prema mreži (eng. Gateway) za drugu, dok je ova druga
radna stanica koju sve vreme direktno koristite.
Pošto je Huniks virtualni operativni sistem, ne izvršava se direktno na nekom hardveru, već
se za svoje potrebe obraća Virtualboksu i postojećem operativnom sistemu vašeg računara.
Ovo mu pruža veću portabilnost i kompatibilnost sa najpoznatijim operativnim sistemima,
dok ujedno izolacija od postojećeg operativnog sistema kroz virtualne mašine doprinosi
kako sigurnosti postojećeg (domaćina), tako i virtualnog operativnog sistema. Međutim, za
kreatore Huniksa ni ovo nije bila dovoljan sigurnost, pa su otišli i korak dalje u potrazi za još
većom, kroz dodatnu izolaciju za totalne paranoike.
Način funkcionisanja je
sledeći:
o Virtualna mašina Huniks, koja funkcioniše kao posrednik, prvo se pokreće i povezuje na
Tor mrežu;
o Kada se pokrene i druga virtualna mašina (radna stanica), ona se obraća posredničkoj
virtualnoj mašini za pristup mreži;
o Posrednička virtualna mašina sve zahteve od radne stanice rutira kroz Tor mrežu.
Na ovaj način korisnik, koristeći radnu stanicu, nema načina da onemogući rutiranje kroz
Tor; aplikacije ne moraju da se pojedinačno konfigurišu da koriste Tor, već to radi
posrednička virtualna mašina za sve programe automatski. Ukoliko se desi da pokrenete
neki program zaražen virusom unutar radne stanice Huniksa, to neće imati nikakvog efekta
na pravi (nevirtualni sistem vašeg računara, tj. domaćina) operativni sistem, čak i ako virus
dobije administratorske (sudo, root) privilegije izvršavanja. Još jedna važna osobina je da
se pomoću izolacije u dva nivoa i rutiranjem mrežne aktivnosti radne stanice preko
posredničke virtualne mašine a kroz Tor sprečavaju poznata DNS curenja (eng. DNS leaks)
informacija. Za one neupućene, curenje DNS informacija otkriva vašem provajderu koje
sajtove posećujete (link, a ne IP adrese) iako koristite neku vrstu šifrovanog tunela za
pretraživanje interneta.
A sada pređimo na instaliranje. Instalacija Virtualboksa je trivijalna i podrazumevaće se da
je čitaoci mogu sami obaviti ili preuzimanjem sa navedenog sajta ili preko menadžera
paketa (eng. package manager). Više ćemo se baviti podešavanjima i samim korišćenjem
Huniksa. Najpre je potrebno pokrenuti Virtualboks i u njega uvesti prethodno preuzete
fajlove virtualnih mašina posrednika i radne stanice kao što je pokazano na sledećim
slikama. Proces uvoženja radne stanice je identičan, pa za njega nisu prikazane posebne
slike.
Valja napomenuti i da je
dozvoljeno menjati podrazumevano alociranu memoriju i procesorske jedinice za virtualne
mašine pa se savetuje da ukoliko imate na raspolaganju viška radne memorije ili neki
četvorojezgarni ili jači procesor, dodelite radnoj stanici više od 768MBmemorije i više od
jednog procesora. Koliko ćete biti „velikodušni” u poklanjanju sistemskih resursa radnoj
stanici Huniks, direktno će imati uticaja na njegove performanse, naročito kada budete
pokretali više programa paralelno. Kada ovo obavite, vaš Virtualboks bi trebalo da izgleda
ovako:
Sada je potrebno
pokrenuti prvo posredničku virtualnu mašinu (Gateway) i sačekati da se ona učita i
sinhronizuje sa stvarnim vremenom. Ovo je veoma važno jer Tor i druge aplikacije neće
raditi ukoliko nisu usklađene sa vremenom na mreži. Kada se ovo uspešno završi, pokrenite
drugu virtualnu mašinu (radnu stanicu) operativnog sistema Huniks i sačekajte da se i ona
učita. Ako sve prođe kako treba, dobićete ekran o upozorenju da je Huniks
eksperimentalan, pod kakvom je licencom i slične informacije na dve strane, i to na
nemačkom i engleskom. Posle vas čeka poruka o prvom startovanju i eventualno
upozorenje da treba da osvežite repozitorijum, ali to nije od ključne važnosti za prvo
testiranje. Može se takođe desiti da se posle ovih upozorenja i obaveštenja sama radna
stanica restartuje ili čak ugasi, pa ćete je morati ponovo pokrenuti iz Virtualboksa.
Sada ste spremni za korišćenje Huniksa. Možete pokrenuti pretraživač Tor, povezati se na
neki IRC pomoću Iks-četa (eng. Xchat), ili konfigurisati Mozilinog (eng. Mozilla) klijenta
elektronske pošte. Tu je i Kgpg klijent za lakše baratanje javnim i tajnim GPG ključevima,
kao i popularni MAT (eng. Metadata Anonymisation Toolkit) za čišćenje metapodataka,
menadžer šifara, VLC plejer i drugi. Za više informacija idite na https://goo.gl/lVxXkc.
Naravno, posle puštanja u rad možete da instalirate bilo koji drugi program koji može da se
instalira i na debijanu. Šifra za administratorske privilegije je changeme, koju bi trebalo da
promenite ukoliko želite da koristite Huniks posle testiranja. Više informacija
na: https://goo.gl/Frs0cW.
Za pohvalu je sam sajt https://www.whonix.org/, koji će se svideti naprednijim i iskusnijim
korisnicima jer obiluje informacijama kako o samom projektu, tako i o raznim naprednim
podešavanjima i kombinovanjem anonimnih mreža i tunela (https://goo.gl/Zl36YH). Ovo je
samo jedan primer na koji je autor naišao, a ima ih dosta, previše za nabrajanje u ovom
tekstu. Tu su aktivan forum i IRC kanal gde možete pitati zajednicu ako vam nešto ne polazi
za rukom, ili nešto ne razumete.
Ostavićemo vas da isprobate ovaj sistem i uverite se na delu u njegove podobnosti, a
sigurni smo da će se baš Huniks svideti onim sa najviše paranoje.
Sigurniji operativni sistemi (4. deo) — Kjubz
23.04.2016
Ono što nam Kjubz nudi je „razumno siguran operativni sistem” (to je zapravo njihov slogan:
„Reasonably secure opearting system”) koji implementira izolovanje programa kroz
virtuelizaciju, tj. izolovanje pojedinačnih programa kao da se pokreću u virtuelnim mašinama
nezavisnim od sistema. Još jedan veliki plus za Kjubz je što je FLOSS (eng. Free and Libre
Open-Source Software), što vam daje slobodu da menjate kod i prilagođavate ga
sopstvenim potrebama.
Prvo treba reći da Kjubz nije kao Tejls za širok spektar korisnika. Još uvek je u razvoju i
ukoliko niste iskusni Gnu-Linuks korisnik, može vam se učiniti više konfuznim i nepraktičnim
nego korisnim. Drugo, minimalne hardverske zahtevnosti ne favorizuju stariji hardver jer je
potrebno najmanje četiri gigabajta radne memorije, a preporučljivo je koristiti novije SSD
(eng. Solid State Drive) diskove, a možete naleteti i na probleme sa grafičkom kartom (više
na: https://goo.gl/qtfkgi).
Ali zašto biste izabrali baš Kjubz za svakodnevni operativni sistem? Najvažniji aspekt je
svakako sigurnost koja je na specifičan način implementirana. Naime, Kjubz koristi Ksen
hipervizor (eng. Xen hypervisor) koji je drugi tip virtuelizacije od one koju smo upoznali kod
Huniksa pokrećući je iz Virtuelboksa (eng. VirtualBox).
Kod Virtuelboksa sigurnost virtuelne mašine direktno zavisi od sigurnosti operativnog
sistema iz koga je Virtuelboks pokrenut, kao i samog Virtuelboksa, dok kod Ksena ne
postoji operativni sistem domaćin i sigurnost svih viruelnih mašina zavisi samo od njega. Na
ovaj način nema potrebe za procesorski zahtevnom apstrakcijom hardvera kao kod
Virtuelboksa jer se virtuelne mašine direktno izvršavaju na postojećem hardveru, onakvom
kakav jeste. Dok Ksen ujedno predstavlja virtuelni operativni sistem koji upravlja virtuelnim
mašinama koje se izvršavaju paralelno. Valja pomenuti i da je Ksen takođe FLOSS softver
pod GPL licencom (https://goo.gl/ZEekyK).
Kad smo već kod virtuelnih mašina, Kjubz dolazi sa već preinstaliranim virtuelnim
mašinama za različite namene (bankarstvo, lični podaci i programi, posao). Svaka od ovih
virtuelnih mašina označena je različitim bojama kako bi se korisnik lakše snalazio koju
virtuelnu mašinu za šta sme da koristi. Šta će korisnik raditi u svakoj od virtuelnih mašina
svakako je na samom korisniku, a boje su tu da mu sugerišu da odvoji privatne i poverljive
stvari od potencijalno štetnih. Evo i praktičnog primera o čemu zapravo pričamo.
Ono što radite u jednoj virtuelnoj mašini, koja se još naziva i domen, ostaje unutar nje.
Tako, na primer, kada neki fajl preuzmete unutar jednog domena, on nije vidljiv u ostalima
ukoliko ga specijalnom opcijom ne prebacite u drugi domen. Slično tome, ono što ste
selektovali i kopirali u jednom domenu ne možete nalepiti (eng. paste) u drugom. Svaki
domen može imati drugi operativni sistem pa je tako moguće koristiti različite domene za
različite namene koji se paralelno ali nezavisno izvršavaju izolovani jedni od drugih.
Prilikom instalacije postoji opcija, koja je još uvek u razvoju, da sav saobraćaj rutira kroz Tor
mrežu, baš kao što to radi i Huniks. Ali to nije sve, Huniks kapija i radna stanica postoje kao
virtuelne mašine unutar Kjubza tako da možete isprobavati i naprednije mrežne
ekperimente poput kombinovanja više anonimnih mreža i virtuelnih privatnih tunela (VPN)
za dodatnu (paranoičnu) sigurnost.
Virtuelizacija i izolovanost je pored sigurnosti korisna jer lako možete pokretati i Vindouz
(eng. Windows) programe ukoliko instalirate Vindouz unutar Kjubza kao virtuelnu mašinu.
Više informacija o tome možete naći na https://goo.gl/f8pem1 i https://goo.gl/3tlk8M.
Sve što smo ovde opisali i mnogo više možete naći na oficijalnom sajtu Kjubza
(https://www.qubes-os.org/), a tamo možete pogledati i video od pola sata koji objašnjava i
pokazuje opisane osobine ovog neobičnog operativnog sistema (https://goo.gl/bNXDWA).
Kjubz sa svojom sigurnosnom arhitekturom izraženom kroz virtuelizaciju i izolaciju
programa u zasebne virtuelne mašine svakako predstavlja novo poglavlje u dizajnu
bezbednijih operativnih sistema.
distribuciji.
Karakteristike
Glavna filozofija Subgrafa je povećanje troškova napada na korisnika ovog operativnog
sistema kroz razne strategije odbrane. Nijedan sistem nije apsolutno siguran, a ukoliko
napadač želi da napadne nekog korisnika to ima izvesnu cenu u vremenu, resursima i
ljudstvu. Kada se radi o masovnom nadzoru i hakovanju od strane nekog napadača, ono se
može učiniti dovoljno teškim i skupim za uspešno izvođenje kroz upotrebu odgovarajućeg
softvera zaštite komunikacija i sistema. Sa tom idejom, Subraf implementira sledeće
zaštitne mehanizme:
5. Obavezna enkripcija
fajl sistema: Ukoliko se odlučite da instalirate Subgraf, šifrovanje diska tj. celog fajl sistema
je obavezno za razliku od većine distribucija. Time se želi sprečiti pristup podacima ukoliko
izgubite kompjuter.
6. Brisanje RAM memorije: Ovo nije novo i sa ovom funkcionalnošću smo se sretali i kod
drugih sigurnosnih operativnih sistema (npr. Tejls). Brisanje RAM memorije pri gašenju
računara je uvek dobro došlo jer sprečava izvlačenje podataka iz memorije neposredno
posle gašenja računara (eng. cold boot attack).
7. Sigurniji sistem izvršavanja: Odnosi se na pisanje već postojećih aplikacija kao što su
Subgraf mejl (eng. Subgraph Mail) mejl klijent, KojIM (eng. CoyIM) mesindžera i pomenutog
Metaproksija u memorijski sigurnim višim jezicima Go i Java koji sprečavaju prekoračenje
bafera i izbegavaju pokazivače na proizvoljne memorijske lokacije.
Više možete saznati na sajtu i Subgraf priručniku.
Instalacija
Da biste pokrenuli Subgraf, potrebni su vam najmanje dvojezgarni procesor
(eng. Core2Duo, 64-bit) ili jači, dva gigabajta radne memorije (2GB RAM) i dvadeset
gigabajta prostora na disku, kao što kažu kreatori sistema. Sliku sistema u ISO formatu
možete preuzeti sa navedenog linka, a po preuzimanju slike sistema preuzmite i heš i
digitalni potpis preuzete ISO slike kako biste proverili njenu autentičnost. Podrazumeva se
da su svi preuzeti fajlovi u istom folderu.
gpg --recv-key --keyserver pgp.mit.edu
B55E70A95AC79474504C30D0DA11364B4760E444
gpg --verify subgraph-os-alpha_2016-12-30_1.iso.sha256.sig
subgraph-os-alpha_2016-12-30_1.iso.sha256
sha256sum -c subgraph-os-alpha_2016-12-30_1.iso.sha256
Treba napomenuti i to
da Subgraf ne možete testirati koristeći VirtuelBoks (eng. VirtualBox), već morate koristiti
Kvemu (eng. Qemu), ali standarndo narezivanje ISO slike na di-vi-di (eng. DVD) ili
pravljenje butabilnog u-es-be (eng. USB) uređaja je podrazumevan način. Više možete
saznati u navedenom priručniku.
Kada pokrenete Subgraf, imaćete opcije za pokretanje sistema bez instalacije tzv. lajv
(eng. live), i instalaciju. Ukoliko se odlučite za lajv mod, zahtevi za RAM memorijom su
duplo veći (4GB) jer se sistem kopira i koristi iz iste memorije ne koristeći disk.
Programi
Programi koje dobijate uz sistem su Heks-čet (eng. Hexchat) IRC klijent, Tor
pretraživač, Ajsdav/Tandrbrd (eng. Icedove/Thunderbird) mejl
klijent, Onionšer (eng. OnionShare) za deljenje fajlova preko
Tormreže, KojIm mesindžer, Ki-pas-iks (eng. KeePassX) za šifre, MATza brisanje
metapodataka, VLC plejer, Rikočet (eng. Ricochat) za ćaskanje unutar Tor mreže, kao i
druge programe.
Sigurnost
Iako Subgraf ima dosta sigurnosnih barijera za razliku od običnog linuks sistema poput
Debijana ili Fedore, rupe i nedostaci u ovom sistemu postoje. Osnovna mana je što nisu svi
programi izolovani, već samo odabranih 22. Ovo ima potencijalno velike negativne
posledice po ceo sistem, jer svaki od neizolovanih programa predstavlja način na koji
napadač može da preuzme kontrolu nad celim sistemom. To znači da ako korisnik preuzme
sa interneta neki zaraženi fajl i otvori ga neizolovanim programom, sva zaštita pada u vodu i
ceo vaš sistem je zaražen. Ipak treba imati razumevanja i progledati kroz prste Subgrafu za
sada jer je još uvek u alfa verziji razvoja. Ni drugi oprobani, detaljno testirani i sigurni
operativni sistemi kao Tejls takođe nisu otporni na ovakvu vrstu napada jer i ne izoluju
(eng. sandbox) programe jedne odrugih. Više o ovome, dubljoj sigurnosnoj analizi Subgrafa
i primerima eksploita možete videti na ovom i ovom linku.
UPR je ugašen 2017. godine, a zamenio ga je Diksrit linuks (eng. Discreete Linux), koji se
može sada smatrati nastavkom ili poboljšanjem UPR-a, pa ne čudi što je Diskrit linuks
zadržao navedene ili preuzeo navedena svojstva zaštite od UPR-a. To svakako nisu sve
sigurnosne mere Diskrit-a, nove su dodate kako bi ovaj operativni sistem bio u koraku sa
vremenom i konkuretan sa ostalima iz bezbednosne branše. Da bismo razumeli zašto su se
autori prvo UPR-a, a sada i Diskrit linuksa odlučili za sigurnosni sistem sa kojim ne možete
pristupiti mreži niti disku u vašem računaru, moramo prvo biti svesni nekoliko špijunksih
programa koje je obelodanio Snouden (eng. Edward J. Snowden), i drugo, kako zapravo
Osobine:
o nema povezivanja na internet
o nema pristupa disku – zbog poznatih napada na sisteme kroz firmver (eng. firmware)
hard diskova na kojima se može sakriti virus i preživeti formatiranje (detalnjiji tekst o
ovom napadu),
o operativni sistem je nepromenljiv – Diskrit se samo može pokrenuti sa medijuma, ali na
njemu se ne mogu čuvati podaci zato što je sistem samo za čitanje (eng. read-only file
sytem, ISO 9660,SquashFS),
o jedini pristup je preko spoljnih medija kao U-Es-Be (USB), koji se poreću kao ne izvršni
(eng. mount as noexec). Direktan pristup memoriji je takođe ograničen spoljnim
medijima jer su zabeleženi napadi instaliranja firmvera sa virusom kroz memoriju na
druge uređaje. Spoljne tastature koje se vezuju moraće da imaju prvo odobrenje
odkorisnika da se radi o tastaturi pre nego što istoj bude dozvoljen unos, da bi se
sprečili napadi poput (BADUSB-a).
o samo digitalno kriptografski potpisan kernel se može učitati i startovati Diskrit linuks, što
sprečava napadače da podmetnu njihov izmenjeni kernel koji recimo otvara pristup
internetu.
o administratorske rut (eng. root) privilegije nisu dozvoljene, međutim pre učitavanja imate
izbor da učitate Diskrit verziju sa omogućenim rut privilegijama ako su one neophodne
za neki posao.
Postavlja se logično pitanje: Kako koristiti Diskrit linuks ako ne možemo na internet i
nemamo pristup disku, a ni u samom Diksritu ne možemo čuvati datoteke? Korisnik ipak
može priključiti u-es-be i sa njega učitati datoteke u operativni sistem, a sve što na sistemu
radi može sačuvati takozvanom kriptoboks obliku (eng. cryptobox). Kriptoboks koje je
zapravo virtuelni kontejner ili datoteka određene veličine, šifrovan lozinkom koju korisnik
odabere. Takva jedna datoteka u šifrovanom obliku sa strane uvek izgleda kao gomila
nasumičnih karaktera i ne može se nikada reći koliko se datoteka nalazi u njemu, tj. koliko
je napunjen. Sličnu tehiku koristi Verakript (eng. VeraCrypt) i nekadašnji Trukript
(eng. TrueCrypt) za koje takođe imate podršku u Diskritu.
Sistem je namenjen zviždačima (eng. whistleblowers), novinarima, aktivistima, advokatima i
drugima koji nisu nužno i IT eksperti, pa se može reći da je Diskrit orijentisan ka prosečnim
korisnicima u potrazi za većom privatnosti.
Uključeni softver
Na raspolaganju vam je širok spektar alata i programa uključenih u Diskrit linuks i njima je
sistem dobro opemljen kako vam ništa od programa ne bi zatrebalo i da ne biste
instaliranjem dodatnog i potencijalno zaraženog softvera ugrozili sistem i svoje poverljive
podatke.
U sistemu se nalaze razni programi od editora teksta, preko celog Libre ofisa (eng. Libre
Office), kalkulatora, virtuel boksa (eng. VirtualBox), imenika. Tu su i programi za obradu
slika i crtanje poput GIMP-a, inkskejpa (eng. Inskscape), skribusa, onda programa za
šifrovanje i otklanjanje metapodataka poput GPG-a, Verakripta (eng. VeraCrypt), MAT-a
(data Anonymisation Toolkit) i kriptboks čarobnjaka.
Uključeni si i programi za audio i video poput VLC-a i ritamboksa (eng. Rythmbox),
programa za narezivanje Brasero, pa čak i veb-pregledač Fajrfoks ESR (eng. Firefox ESR),
a tu su naravno i sistemski programi poput terminala, pregledača logova, DISKS-a, i drugih.
Zaključak
Sistem je veoma siguran, sprečava većinu načina na koji se virusi i drugi neželjini softver
obično infiltrira na korisnički sistem. Operativni sistem Diskrit je i dalje u fazi testiranja i
daljeg razvoja (u trenutku testiranja je najnovija verzija
bila Discreete_Linux_2016.1_beta1februara 2018. godine), pa ovaj sistem još ne treba
smatrati gotovim rešenjem za kritične poslove, a prilikom testiranja i mi smo naišli na neke
bagove. Međutim, Diskrit ima svetlu budućnost ako nastavi sa daljim razvojem, praćenje
aktuelnih napada i propusta, trudeći se da iste spreči.