LINUX.ORG.RU

Liberté Linux: дистрибутив LiveUSB для настоящих анонимусов

 , , , ,


0

5

Увидел свет Liberté Linux 2010.1 — основанный на Hardened Gentoo дистрибутив для анонимусов. Liberté — легковесный (240 MiB) образ, который устанавливается в виде директории на USB-подобных устройствах, и при первой загрузке создает виртуальный раздел LUKS, известный также как OTFE.

Чем примечателен Liberté? Все сетевые соединения создаются через Tor, что позволяет пользователю скрыть свое местоположение без какой-либо конфигурации компьютера, который может являться и случайно подвернувшимся ноутбуком или нетбуком. Будущие версии дистрибутива позволят анонимусам общаться между собой напрямую через скрытые сервисы Tor'а, но сегодня не об этом.

Liberté также представляет собой удобную платформу для разработки образов LiveUSB или LiveCD, основанных на Gentoo. Из новшеств:

  • Простая установка (Syslinux) в Линукс и в других ОС, а также в наличии скрипт для упрощенного запуска в QEMU
  • Виртуальный зашифрованный раздел с динамически изменяющимся размером
  • Специальный браузер, обходящий брандмауэр (для регистрации в беспроводных сетях)
  • Автоматическое изменение адреса MAC у беспроводных интерфейсов
  • Экономия энергии с помощью Laptop Mode Tools

Скачать новую версию можно с сайта проекта на SourceForge, полный список изменений приводится там же. Пожаловаться на неподдерживаемую конфигурацию устройств можно в багтрекере, желательно вместе с необходимыми опциями ядра.

Подробности

Перемещено JB из Linux General



Проверено: maxcom ()

Блин, моя паранойя подсказывает что там может сидеть зловред, следящий за анонимусом...

minakov ★★★★ ()
Ответ на: комментарий от minakov

Ваши опасения, несомненно, оправданы, но в отличии от многих других проектов, имеющих отношение к безопасности, в Liberté Linux просмотреть исходники вполне под силу любому анонимусу: 5600 строк без конфигурации приложений, конфигурации ядра, и бинарников. После чего анонимус может построить LiveUSB за ~6 часов на относительно современном десктопе, и для этого ему даже не понадобится Gentoo.

Более того, в Liberté можно быть гораздо более уверенным в отсутствии закладок, чем, скажем, используя emerge --rsync в своем, личном, теплом и ламповом Gentoo. При построении образа автоматически проверяются подписи всех скачанных архивов начиная с stage3 autobuild, а вместо emerge --rsync используется emerge-webrsync с поддержкой GnuPG.

liberte ()

>Чем примечателен Liberté? Все сетевые соединения создаются через Tor, что позволяет пользователю скрыть свое местоположение без какой-либо конфигурации компьютера, который может являться и случайно подвернувшимся ноутбуком или нетбуком.

Я думаю все такие параноики уже носят с собой по Linux-устройству следую принципу презерватива - лучше пусть будет когда не нужен, чем не будет когда вдруг понадобился. Кроме того, используя чужую аппаратуру нет гарантий защиты от аппаратных логгеров. Так что смысла особого в задумке не вижу.

anonymous ()
Ответ на: комментарий от anonymous

> Я думаю все такие параноики уже носят с собой по Linux-устройству следую принципу презерватива - лучше пусть будет когда не нужен, чем не будет когда вдруг понадобился.

Это довольно непродуманное заявление.

Во-первых, параноик может быть нищебродом, скажем, в Китае. А с флешкой он может пойти в интернет-кафе, и там с нее загрузиться (таких там даже арестовывали).

Во-вторых, при пересечении границы у анонимуса могут изьять устройство, или запустить его и поинтересоваться, что там и как. А SD-карточку можно засунуть в башмак ботинка, и никто ее не найдет (например, см. основатель WikiLeaks, приезжавший на конференцию в США).

В третьих, Liberté Linux - целостное решение, предотвращающее разного рода открытые утечки траффика. Например, некоторые браузеры будут делать ненужные DNS запросы в открытую, несмотря на прокси. А полностью под Tor'ом анонимус редко сидит, а даже если и сидит, то есть шанс что-то упустить. Уверен ли, например, анонимус, что клиент DHCP не посылает имя хоста серверу DHCP? В Liberté весь траффик проверялся попакетно.

Ну и в четвертых, флешку можно дать человеку, который ничего не понимает в Линукс и в настройках прокси, но которому необходима анонимность. Потом с этим человеком можно даже общаться без опасности обнаружения самого факта общения, но об этом в следующей версии.

От аппаратных закладок действительно никто не застрахован, но тут уже необходимо действовать согласно обстоятельствам. Главное, что отсутствие аппаратных закладок - единственное требование для обеспечения полной анонимности при загрузке с USB/SD.

liberte ()
Ответ на: комментарий от liberte

>Во-первых, параноик может быть нищебродом, скажем, в Китае. А с флешкой он может пойти в интернет-кафе, и там с нее загрузиться...

Да право Вам, коллега. Нынче мобильные компьютеры очень дёшевы и позволить их может чуть ли не каждый российский школьник.

>Во-вторых, при пересечении границы у анонимуса могут изьять устройство, или запустить его и поинтересоваться, что там и как. А SD-карточку можно засунуть в башмак ботинка, и никто ее не найдет


Зачем так примитивно - могут же ботинок просканировать. Надёжнее глотать или в разные глубокие места засовывать.
А если серьёзно, то не вижу смысла провозить в такой «шпионской вылазке» этот дистрибутив (который всегда скачать можно в сети), а не проверенный образ своей системы.

>(например, см. основатель WikiLeaks, приезжавший на конференцию в США).


К слову, это по мне всё пропеаренная СМИ показуха. Всё его ловят ловят и никак поймать не могут, цирк устроили.
(например, см. http://nstarikov.livejournal.com/167912.html )

>В третьих, Liberté Linux - целостное решение...


1. Я честно не понял про DNS и DHCP запросы. Зачем их скрывать? Через TOR вижу смысл слать только то, за что потенциально могут искать.
А просто TOR поставить на любом дистрибутиве - это дело 5и минут.
2. Насчёт целостности спорное заявление. Не думаю что в эти 200мб влезло всё что может понадобиться пользователю. Скажем, тому же Эссенджу нужны для выступления презентации. А ставить новый софт в систему - это потенциальные дыры. Так что безголовый всё равно проколется, а у кого голова есть - не проблема настроить свой привычный дистрибутив.

>Ну и в четвертых, флешку можно дать человеку, который ничего не понимает...


И тогда остаётся уповать, чтобы этот человек случайно где-ть не снял галочку «использовать прокси».

PS. В целом я поддерживаю Ваши начинания, желаю успехов. Надеюсь, найдутся ценители такой экзотики.

anonymous ()

А толку-то, если честный анон все равно не может начать разговор в толксах.

anonymous ()
Ответ на: комментарий от anonymous

> Да право Вам, коллега. Нынче мобильные компьютеры очень дёшевы и позволить их может чуть ли не каждый российский школьник.

Ваши аргументы можно с таким же успехом использовать против образов LiveCD/LiveUSB как класс. Между тем, очень многие пользователи находят их удобными, хотя бы в качестве переносимого настроенного приложения.

> Зачем так примитивно - могут же ботинок просканировать. Надёжнее глотать или в разные глубокие места засовывать.

Ну это я образно написал про башмак, стандартная методика в такой ситуации - посылать SD-карту по почте.

> А если серьёзно, то не вижу смысла провозить в такой «шпионской вылазке» этот дистрибутив (который всегда скачать можно в сети), а не проверенный образ своей системы.

Смысл в провозе не дистрибутива, а зашифрованного виртуального раздела, который к нему прилагается. Дистрибутив можно даже обновлять поверх старого. Если же пользователь может создать и настроить собственный образ, то флаг ему в руки - он, видимо, опытный пользователь ПК со знанием Нортона и Офиса. :)

> Я честно не понял про DNS и DHCP запросы. Зачем их скрывать? Через TOR вижу смысл слать только то, за что потенциально могут искать.

Например, если анонимус заходит на узкоспециализированный форум, то это легко отследить автоматически.

> И тогда остаётся уповать, чтобы этот человек случайно где-ть не снял галочку «использовать прокси».

Он не сможет. Единственный способ обойти Tor - запустить специальный браузер, и эту возможность можно легко выключить при создании LiveUSB (если, например, не предполагается использование открытых беспроводных сетей с регистрацией).

> В целом я поддерживаю Ваши начинания, желаю успехов. Надеюсь, найдутся ценители такой экзотики.

Спасибо. Как пример - у аналогичного (но гораздо более тяжеловесного) дистрибутива T(A)ILS довольно много пользователей, судя по комментариям на сайте.

liberte ()

Они коммунисты?

Nxx ★★★★★ ()

Ага, было бы еще круто, если бы он сразу же ломал ближайшие вайфай сети и конектился к инету.

Zhbert ★★★★ ()
Ответ на: комментарий от Nxx

Это просто символика, Архитект - в FAQ описано, как заменить на другую.

liberte ()
Ответ на: комментарий от Zhbert

Я с самого начала хотел добавить такой функционал, но пока ограничился только добавлением пакета aircrack-ng, для использования которого требуются некоторые знания. Не уверен, возможен ли такой способ автоматического взлома - разве что через MAC spoofing в открытых сетях с регистрацией.

liberte ()
Ответ на: комментарий от liberte

> Это просто символика

Ну это понятно, что символику можно изменить. Кто ж с этим спорит.

Nxx ★★★★★ ()

>Специальный браузер, обходящий брандмауэр (для регистрации в беспроводных сетях)
что это такое? не специальным браузером инвестироваться нельзя?

Novell-ch ★★★★★ ()
Ответ на: комментарий от Nxx

Я имею в виду, что её можно изменить, не пересобирая дистрибутив. В образ встроена альтернативная тема для fbsplash.

liberte ()
Ответ на: комментарий от Novell-ch

Что означает «инвестироваться»? Для регистрации в открытых беспроводных сетях (например, в гостиницах или забегаловках) необходимо подлючиться к любому адресу и ввести пароль - в то время, когда полноценного соединения к Интернету еще не существует, и Tor не может создать контур. Для этой цели есть возможность запустить браузер под другим юзером, которого брандмауэр пропустит на порты, обычно используемые для регистрации.

liberte ()

Одобряю. Вопрос: если вдруг таможенники обнаружат флешку с этим дистром и решат вставить и глянуть, предусмотрена ли на этот случай защита?

Glassie ()
Ответ на: комментарий от liberte
>>-----Цитата---->>

А SD-карточку можно засунуть в башмак ботинка, и никто ее не найдет

<<-----Цитата----<<

Вы наверное давно российскими авиокомпаниями не летали...

Kosyak ★★★ ()
Ответ на: комментарий от Glassie

Смотря что понимать под защитой. Таможенники увидят обычную флешку (FAT/FAT32) с директориями и файлами. Две директории в корне диска будут называться liberte и otfe. Внутри первой директории будет находиться сам дистрибутив (содержимое скачанного zip-файла, ~20 файлов и директорий), а внутри второй - файл liberte.vol с виртуальным зашифрованным разделом, открыть который можно только зная пароль (например, программой FreeOTFE).

liberte ()
Ответ на: комментарий от Kosyak

> Вы наверное давно российскими авиокомпаниями не летали...

Летал - в отличии западных аэропортов, в России от меня даже не требовалось положить ноутбук отдельно в ящик для просвечивания, например. :)

liberte ()
Ответ на: комментарий от liberte

Да, но ботинки снимать заставляют (в s7 точно)

Kosyak ★★★ ()

а ssh тоже через TOR будет?

anonymous ()
Ответ на: комментарий от liberte

>Во-первых, параноик может быть нищебродом, скажем, в Китае. А с флешкой он может пойти в интернет-кафе, и там с нее загрузиться (таких там даже арестовывали).

А как же камеры видеонаблюдения? Сюрпрайз!

>А SD-карточку можно засунуть в башмак ботинка, и никто ее не найдет >((например, см. основатель WikiLeaks, приезжавший на конференцию в США).)


Вы все еще верите в сказки? Ну ничего скоро ты пойдешь в школу и тебе там объяснят что и как


Windos7 ()
Ответ на: комментарий от Kosyak

В таком случае анонимусу действительно остается только проглотить карточку (с надеждой, что его не покажут потом на канале Урал-News в кабинете следователя рядом с судном), ну или послать по почте до востребования. :)

liberte ()

Re: Liberté Linux: дистрибутив LiveUSB для настоящих анонимусов

Отличная идея для дистрибутива. Только linux.org.ru через TOR не работает, насколько я знаю.

power ()
Ответ на: комментарий от anonymous

SSH в образе нет (стандартные причины его использования не входят в цели дистрибутива), но если ssh туда установить, то запуск должен производиться как torify ssh, потому что ssh не поддерживает определения прокси, и обычный запуск ssh будет заблокирован брандмауэром.

liberte ()

Как-то ради интереса сделал себе подобное «Гнездо параноика» - Arch в виртуальной машине на шифрованом разделе, выход в интернет через этот самый Tor, периодически меняющийся mac и freenet, будь он неладен и прочие мелочи, вроде «безопасных» настроек для браузера. А потом я просто не знал, что с этим делать. Так и лежит себе, обновляясь раз в две недели.

GblGbl ★★ ()

> Только linux.org.ru через TOR не работает, насколько я знаю.

К сожалению, многие форумы (и т.н. борды) запрещают постинг с конечных нод сети Tor, из-за злоупотребления сетью несознательными анонимусами. Обычно это не целенаправленная блокировка всей сети, а автоматическая блокировка нод, уличенных в неправильном поведении. Тем не менее, мне неизвестны сайты, которые полностью отсекают доступ через Tor. Кроме того, я думаю, что с постоянным увеличением количества пользующихся Tor'ом (а в последние годы его аудитория сильно увеличилась, что видно из значительно выросшей пропускной способности), сайты будут находить другие способы блокировки нежелательного контента.

liberte ()
Ответ на: комментарий от liberte

>потому что ssh не поддерживает определения прокси

О_О Я что-то пропустил в этой жизни, или у меня какой-то особенный, уличный ssh? О_О

novitchok ★★★ ()
Ответ на: комментарий от GblGbl

> А потом я просто не знал, что с этим делать.

Возможно, Вы не настоящий анонимус, ну или живете в стране, где использование Tor'а не является необходимым. :)

В любом случае, в Liberté Linux основная мотивация - анонимное общение между двумя и более анонимусами. Для этой цели имя скрытого сервися Tor'а является постоянным (сохраняется между перезагрузками), а также есть поддержка генерации сертификатов для шифрования общения при использовании постоянных email-like адресов - описано здесь. Осталось реализовать обмен сообщениями - что, в общем, довольно простая задача.

liberte ()
Ответ на: комментарий от novitchok

SSH поддерживает функционирование через SOCKS или HTTP proxy, без отдельного туннеля (т.е. не функционирование самого ssh, как proxy - например, ssh -D)? В мануале не нашел, а через torify/socksify ssh работает на ура.

liberte ()

>Будущие версии дистрибутива позволят анонимусам общаться между собой напрямую через скрытые сервисы Tor'а

Эй, анонимус! Да нет, не ты, вон тот, в красной шапочке!

null123 ()
Ответ на: комментарий от liberte

Ну ещё раз почитай мануал и доки по тунелированию ssh, погугли, весьма полезные статейки попадаются)))) Дистропейсатель ты наш:D
Азов не освоил, а туда же, все хотят быть Дениской.

novitchok ★★★ ()

Параноики одобрают. Вот только как насчет доверия разработчикам дистра?

DNA_Seq ★★★★ ()
Ответ на: комментарий от anonymous

>принципу презерватива - лучше пусть будет когда не нужен, чем не будет когда вдруг понадобился

зонтик возьмешь - дождя не будет

DNA_Seq ★★★★ ()

Отдельный дистрибутив для анонимуса - не слишком ли жирно?

dm1024 ★★★ ()
Ответ на: комментарий от DNA_Seq

Разработчики Liberté Linux гарантируют Вам, что Вы можете доверять разработчикам Liberté Linux. Но если вдруг Вам недостаточно таких гарантий, то выше я написал про доступность чтения сорсов самому обычному анонимусу.

liberte ()
Ответ на: комментарий от liberte

>Пруфы будут?

Ты здоров? На что пруф? на man ssh, или на man ssh_config, или помочь тебе составить запрос в гугль, типа: ssh+определение+proxy?
Или ты просто так тут попузыриваешь?

novitchok ★★★ ()
Ответ на: комментарий от novitchok

Уважаемый novitchok, мне не совсем ясна цель Ваших выпадов. Я знаю, что ssh не поддерживает функционирование через прокси без внешнего туннеля - более того, я подозреваю, что это знаете и Вы. Другим участникам треда Ваша клоунада вряд ли интересна, в таком случае - зачем? Вы пытаетесь затроллить разработчика дистрибутива для анонимусов? В своем ли Вы уме, уважаемый?

liberte ()

А как долго живет флешка с таким установленным дистрибутивом ? Вроде ж количество перезаписей в виду используемого там типа памяти не так велико.

vs240 ()
Ответ на: комментарий от null123

Между прочим, у популярной загадки про нахождение анонимуса Waldo (в полосатой красно-белой шапочке) есть интересные коннотации с криптографической теорией Zero-Knowledge Proofs.

liberte ()
Ответ на: комментарий от liberte

Деточка моя, троллить тебя, да упаси господь, ты ж у нас «разработчик дистрибутива». Но кто это там сказал:

>потому что ssh не поддерживает определения прокси


ссылку дать? Ибо эта фраза выдаёт в «разработчике», мягко скажем, человека некомпетентного более чем полностью, в том вопросе, который он сам затронул этой фразой, всего лишь.
Короче, цель моих выпадов: показать явное 4.2 в декларациях «разработчика».
Ещё вопросы?

novitchok ★★★ ()
Ответ на: комментарий от vs240

Насколько я знаю, у современных флешек количество перезаписей довольно большое (сотни тысяч). В любом случае, для Liberté Linux ограничение на перезаписи не является проблемой, так как та часть конфигурации пользователя, которая является постоянной (persistent) записывается только во время выключения компьютера в виде архива изменений. В остальном же частота записи такая же, как и с обычной флешкой: пользователь сохранил файл на шифрованном разделе - записалось соответствующее количество секторов, и т.д. И, конечно, пользователь может сохранить резервную копию директории otfe с виртуальным разделом (что само по себе весьма разумно).

liberte ()
Ответ на: комментарий от novitchok

> Ещё вопросы?

Да, есть один вопрос - но он, к сожалению, не совсем подходит для данного ресурса. :)

liberte ()
Ответ на: комментарий от liberte

>Во-вторых, при пересечении границы у анонимуса могут изьять устройство, или запустить его и поинтересоваться, что там и как.

При пересечении границы удобнее USB Cam Watch (4 Гб, камера, часы). Труднее всего найти то, что не прячут :)

quickquest ★★★★★ ()
Ответ на: комментарий от quickquest

Осталось только выяснить, поддерживает ли это чудо японской техники установку на себя Линукса. :)

liberte ()
Ответ на: комментарий от liberte

>Осталось реализовать обмен сообщениями - что, в общем, довольно

>простая задача.

>liberte (19.11.2010 11:01:47)

Интереснее, если появятся подобные банковские системы электронных платежей. Чтобы о проводимых операциях знал только клиент банка и сам банк. Это нужнее

anonymous ()

Спасибо.

Готовое решение, разумные мысли.... Надо попробовать

kx6GRLVwpAUe ()
Ответ на: комментарий от novitchok

Давай дуй на дватиреч, ты адресом ошибся.

anonymous ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.