Полный разбор Tails [Часть 2]

[karakas]

hello world
Tails — это операционная система, основанная на Linux (в настоящее время Tails сделана на базе Debian 9 (Stretch)). Отсюда вытекает первая особенность программного обеспечения Tails — это подборка программ под Linux, либо кроссплатформенных программ (то есть которые работают на разных операционных системах, например, на Linux и на Windows).



Вторая особенность ПО Tails: программы подобраны для деловой деятельности требующей скрытности. То есть с одной стороны в Tails собраны программы для обычных задач: работа с документами, изображениями, видео и звуковыми файлами. Но также список программ дополнен инструментами для очистки метаданных, анонимного распространения файлов, анализа Wi-Fi сетей и другие.

Третья особенность, которая характерна для операционной системы Linux: не все программы помещены в меню. В стандартной установке Linux, в том числе и в Tails, количество программ и утилит очень велико. В меню вынесены самые часто используемые программы. Но не надо думать, что то, что вы видите в меню, это и есть все программы Tails. То, что вы видите в меню, это даже не верхушка айсберга — это самый его кончик.

Четвёртая особенность опять же связана с тем, что мы работаем внутри Linux: некоторые (зачастую очень нужные) программы имеют только интерфейс командной строки. Для многих это непревычно и поэтому трудно, но нужно ознакомиться хотя бы с азами работы в терминале — там слишком много интересного и полезного, чтобы полностью игнорировать этот пласт программ.



Офисные программы
Tails содержит LibreOffice — мощный офисный набор, который включает несколько инструментов:

• Writer — для работы с текстовыми документами (аналог Word)
• Calc — для работы с таблицами (аналог Excel)
• Impress — для работы с презентациями (аналог PowerPoint)
• Draw — приложение для рисования и черчения блок-схем
• Math — для редактирования формул

Для запуска LibreOffice выберите Applications (Приложения) → Office (Офис) → LibreOffice (выберите нужное приложение).

В настоящее время LibreOffice отлично поддерживает формат MS Word — то есть вы можете редактировать здесь документы Word.

Кстати, LibreOffice — работает и на Windows. Рекомендую вам установить этот офисный набор и туда, возможно, даже на замену MS Office.

Другие офисные инструменты:

• BookletImposer — для конвертации линейных PDF документов в буклеты и наоборот.
• Простое сканирование (Simple Scan и SANE, в меню Графика) — для поддержки сканирования.
• Просмотр документов (находится в меню Утилиты) — удобная программа для чтения PDF и других книжных форматов.
• Текстовый редактор (находится в меню Стандартные) — обычный текстовый редактор, позволяет редактировать и сохранять текстовые файлы.

Программы для работы с мультимедиа (видео, изображения, аудио)
Графика. Программы находятся в соответствующем пункте меню, позволяют редактировать изображения и создавать новые.

• GIMP — продвинутый редактор изображений. Вы можете использовать его для редактирования, улучшения и ретуши фотографий и сканов, создания рисунков и создания собственных изображений. Если вы научитесь работать в программе, то она во многом сможет вам заменить PhotoShop.
• Inkscape — это векторное приложение для рисования. Вы можете использовать его для создания разнообразных графических изображений, таких как иллюстрации, значки, логотипы, диаграммы, карты и веб-графика.
• Scribus — это приложение для вёрстки страниц. Вы можете использовать его для оформления газет, журналов, информационных бюллетеней и плакатов к технической документации.
• Простое сканирование — для сканирования фотографий и документов.
• Просмотр изображений (находится в меню Утилиты) — встроенная программа для удобного обзора фотографий и картинок. Запускается автоматически при клике по файлу картинки.
• Снимок экрана (находится в меню Утилиты) — позволяет делать скриншоты всего экрана или отдельных программ и областей.
• Libre OfficeDraw (находится в меню Офис) — приложение для рисования и черчения блок-схем

Аудио и видео. Это программы для монтирования и другой работы с видео и аудио файлами. Находятся в соответствующем пункте меню.

• GNOME Sound Recorder (Диктофон) — это простое приложение для записи звука. Аудиоклипы, записанные с помощью GNOME Sound Recorder, сохраняются в папке Recordings.
• Audacity — это многодорожечный аудиоредактор, предназначенный для записи, воспроизведения и редактирования цифрового звука.
• Brasero — это приложение для записи, копирования и удаления CD и DVD-носителей: аудио, видео или данных.
• Pitivi — это нелинейный аудио и видео редактор.
• Sound Juicer (Звуковыжималка) — это приложение для копирования CD.
• Traverso — это многодорожечный аудио-рекордер и редактор.

Что такое Терминал. Что такое командная строка. Куда вводить команды в Tails
Прежде чем перейти к другим группам программ, пара слов о командной строке. Важное, что вам нужно знать: в Linux (в Windows это тоже так, но в Linux это ещё отчётливее): функциональность программ с графическим интерфейсом это всего лишь верхушка айсберга от всей функциональности операционной системы. То есть графические приложения дают вам лишь часть возможностей. Очень много полезных утилит имеют только интерфейс командной строки. Некоторые задачи просто невозможно выполнить не ввоодя команды. Это справедливо и для Windows, в которой также очень много консольных утилит. Поэтому невозможно не выучить хотя бы самые основы.

Итак, чтобы вводить команды, нужно открыть командную строку (либо, что то же самое, Терминал или Консоль). Для этого на рабочем столе нажмите правую кнопку мыши и выберите «Открыть терминал»:

Это можно сделать в Меню в разделе Системные:

Для выполнения команд её нужно написать и нажать Enter. Сочетание клавиш Ctrl+v для вставки команды не сработает — используйте контекстное меню.



Программы для очистки метаданных
Метаданные — это «информация о другой информации». Говоря более простым языком — обычно это сведения о файлах. Зачастую, многие о них забывают или не знают где посмотреть. А ведь там могут содержаться важнейшие сведения! К примеру, вы хотите анонимно распространить файл — документ Word. Вы используете Tails, используете OnionShare, но в вашем документе в его свойствах в качестве автора указано ваше ФИО «Лебедев Пётр Семёнович»… Много ли толку будет от Tails и OnionShare в этом случае? Или вы сфотографировали телефоном документ и вновь хотите распространить его через анонимные сети и ресурсы, а в свойствах вашей JPG фотографии GPS координаты вашего дома… Ни Tails, ни OnionShare, прокси и даже VPN в этом случа не поможет.

В меню Системные есть программа MAT.

Эта программа умеет удалять метаданные из очень многих видов файлов, в том числе офисных файлов, изображений, PDF, архивов и других.

Добавляйте в программу файлы (по одному или сразу несколько) и нажимайте кнопку Очистить.

Следующая программа — PDF Redact Tools.

PDF Redact Tools помогает безопасно редактировать и извлекать метаданные из документов перед публикацией. Для её работы нужно вводить команды в терминал.

Использование:

pdf-redact-tools [-h] (-e имя_файла | -m имя_файла | -s имя_файла) [-a]

Опции:

-h, --help показать справку и выйти
-e имя_файла, --explode имя_файла
Сохранить PDF в PNG изображения
-m имя_файла, --merge имя_файла
Объединить папку PNG изображений в PDF
-s имя_файла, --sanitize имя_файла
Очистить PDF от метаданны
-a, --achromatic Конвертировать в чёрно-белый документ для
удаления цветных точек, которые могут помочь идентифицировать принтер



Анонимный выход в сеть и обмен информаций
Tor Browser — веб-браузер, основанный на Mozilla Firefox и модифицированный для защиты вашей анонимности

Pidgin — часть с шифрованием.

OnionShare — для анонимного обмена файлами. Для распространения файла, выберите его, для него будет создана ссылка. Дайте эту ссылку тому, кому вы хотите отправить файл. Эту ссылку можно открыть только при подключении к сети Tor, например, в Браузере Tor. По ссылке будет доступен для скачивания ваш файл. Как только вы закроете OnionShare, ссылка на скачивания станет бесполезной — файл больше не будет распространяться.

Почтовый клиент Thunderbird с поддержкой Enigmail для OpenPGP, а также для чтения RSS и Atom.

Gobby — для совместного написания текстов



Работа с криптовалютами
Для работы с криптовалютами имеется кошелёк Electrum — это простой в использовании клиент биткоин. В своей работе он не скачивает целиком блокчейн биткоина, поэтому очень быстро запускается и не требует синхронизации.



Аудит беспроводных сетей
Это для хакеров — в Tails уже предустановлен пакет программ Aircrack-ng.

Wi-Fi интерфейс называется wlan0.

Чтобы много раз не вводить пароль, рекомендую переключиться на пользователя root:

t=`sudo iw dev | grep 'Interface' | sed 's/Interface //'`;sudo ip link
set $t down && sudo iw $t set monitor control && sudo ip link set $t up

Смотрим сети в округе:

airodump-ng wlan0



Чтение данных с повреждённых носителей
Возможно вам придётся работать с повреждёнными носителями. Может быть, даже после форматирования. В этом вам могут помочь программы PhotoRec и TestDisk.

Они по умолчанию отсутствуют в Tails, поэтому для их установки выполните команду:

sudo apt install testdisk



Надёжное удаление файлов
Более подробно надёжное удаление файлов будет рассмотрено в следующей части. Пока только отметим, что уже предустановлены такие программы как:

• secure-delete (srm, sfill, sswap)
• shred

Шифрование и конфиденциальность

• GnuPG, реализация GNU OpenPGP для шифрования и подписи электронной почты и данных
• Monkeysign — инструмент для подписи и обмена ключами OpenPGP
• PWGen — генератор надёжных паролей
• Shamir's Secret Sharing с использованием gfshare и ssss
• Экранная клавиатура GNOME в качестве меры против аппаратных клавиатурных шпионов
• KeePassX — Менеджер паролей
• GtkHash — для вычисления контрольных сумм
• Keyringer — инструмент командной строки для шифрования секретов, передаваемых через Git
• Paperkey — инструмент командной строки для резервного копирования секретных ключей OpenPGP на бумаге

Файловые менеджеры
Tails имеет встроенный файловый менеджер, который не особо удобный. Рекомендую установить двухоконный файловый менеджер Double Commander:

sudo apt install doublecmd-gtk

Для запуска в консоли наберите:

doublecmd

Кстати, в Windows Double Commander тоже прекрасно работает — чтобы чувствовать себя везде одинаково, рекомендую использовать на всех системах кроссплатформенные программы, тогда переходы Windows ⇄ Linux будут намного более комфортными.



Краткие руководства по использованию программ Tails
Управление паролями с KeePassX:

Используя менеджер паролей KeePassX, вы можете:

• Храните много паролей в зашифрованной базе данных, которая защищена одной паролем на ваш выбор.
• Всегда используйте разные и более надёжные пароли, так как вам нужно запомнить только одну фразу-пароль, чтобы разблокировать всю базу данных.
• Генерация очень надёжных случайных паролей.

Создание и сохранение базы паролей
Выполните следующие действия, чтобы создать новую базу паролей и сохранить её на постоянном томе для использования в будущих рабочих сеансах.

Чтобы узнать, как создать и настроить постоянный том, прочитайте документацию по persistence.

1. При запуске Tails включите постоянный том.
2. В Persistent Volume Assistant убедитесь, что активирована функция сохранения личных данных. Если она деактивирована, активируйте её, перезапустите Tails и включите постоянный том.
3. Чтобы запустить KeePassX, выберите Applications (Приложения) → Accessories (Стандартные) → KeePassX.
4. Чтобы создать новую базу данных, выберите Database (Хранилище) → New database (Новое хранилище).
5. База данных зашифрована и защищена парольной фразой.
6. Укажите выбранную вами парольную фразу в текстовом поле Enter password (Введите пароль).
7. Введите тот же пароль ещё раз в текстовом поле Repeat password (Повторите пароль).
8. Нажмите ОК.

Чтобы сохранить базу данных в постоянном томе для использования в будущих рабочих сеансах:

1. Выберите Database (Хранилище) → Save database (Сохранить хранилище).
2. Сохраните базу данных как keepassx.kdbx в папке Persistent.

Обмен зашифрованными секретами с помощью keyringer
Keyringer — это программное обеспечение для шифрования и распространения секретов, эта утилита работает из командной строки.

Keyringer позволяет вам управлять и делиться секретами, используя OpenPGP и Git, с помощью пользовательских команд для шифрования, дешифрования и редактирования текстовых файлов и других видов документов. Храня эти секреты в Git, вы можете распространять их среди других людей.

Примечание: использование keyringer требует предварительных знаний Git и командной строки.

Чтобы узнать, как использовать keyringer, прочитайте документацию на веб-сайте keyringer.

Примечание: вы можете использовать команду open в keyringer для редактирования, шифрования и обмена документами LibreOffice, изображениями и т. д.

Чтобы сохранить конфигурацию ключей в разных рабочих сеансах, вы можете включить функцию Dotfiles в постоянном хранилище и сделать файлы постоянными в папке .keyringer вашей домашней папки.

Например, если у вас есть один keyringer с именем top-secret:

/live/persistence/TailsData_unlocked/dotfiles
└── .keyringer
├── config
└── top-secret

Обязательно обновляйте свои дотфайлы каждый раз, когда вы используете такие команды keyringer как init, teardown, destroy или preferences.

Для этого вы можете выполнить следующую команду:

rsync -va --ignore-existing --delete ~/.keyringer/live/persistence/TailsData_unlocked/dotfiles



Чаты с Pidgin
Для общения в чатах и обмена мгновенными сообщениями Tails содержит мессенджер Pidgin Instant Messenger.

Вы можете использовать его для подключения к серверам IRC или XMPP (также известным как Jabber) и иметь несколько учётных записей, подключённых одновременно.

Для запуска Pidgin выберите Applications (Приложения) → Internet (Интернет) → Pidgin Instant Messenger (Клиент обмена мгновенными сообщениями Pidgin) или найдите эту программу в подменю Favorites (Избранное).



Предопределенные аккаунты
Одна учётная запись настроена в Pidgin по умолчанию: irc.oftc.net для подключения к серверу OFTC IRC.

Эта учётная запись деактивируется при запуске Tails. Чтобы активировать его, выберите Accounts (Уч. записи) → Enable Account (Включить учётную запись) и выберите в подменю учётную запись, которую вы хотите включить.



Генерация случайного имени пользователя
Каждый раз, когда вы запускаете Tails, случайное имя пользователя генерируется для всех учётных записей Pidgin.

Генератор использует список общих английских имён и изменяет их, так что они почти уникальны, и не показывает, что вы используете Tails.

Он основан на language confluxer by Christopher Pound.

Если вы хотите повторно использовать одно и то же имя пользователя в разных рабочих сеансах, вы можете активировать функцию постоянного хранилища и сохранение настроек Pidgin.



Улучшенная конфиденциальность с TorBirdy
Thunderbird в Tails включает в себя расширение TorBirdy для дополнительной конфиденциальности и анонимности.

Для большей безопасности TorBirdy отключает некоторые функции Thunderbird:

• Отправку электронных писем и отображение фидов (каналов) в формате HTML.
• Электронные письма и каналы в формате HTML отображаются в виде простого текста и могут стать более трудными для чтения
• Автоматическую проверку каналов Atom и RSS при запуске.

Обмен файлами с OnionShare
Tails включает OnionShare, инструмент для анонимного обмена файлами. Это позволяет вам обмениваться файлами прямо из ваших запущенных Tails. Для этого в сети Tor создается служба onion (веб-сайт, адрес которого заканчивается на .onion). Любой пользователь Tor, которому вы дадите этот адрес, может скачать файлы, которыми вы решили поделиться.

Чтобы поделиться файлами с OnionShare:

1. Запустите браузер файлов.
2. Щёлкните правой кнопкой мыши по файлу или папке в файловом браузере и выберите Share via OnionShare (Поделиться через OnionShare).
3. Если вы хотите добавить больше файлов, перетащите их в окно OnionShare.
4. Если вы хотите разрешить несколько загрузок, снимите флажок Stop sharing automatically (Остановить совместный доступ автоматически). В противном случае OnionShare прекратит совместное использование файлов после их однократной загрузки.
5. Нажмите на Start Sharing (Начать обмен). Когда файлы будут доступны, будет показан адрес, например http://bwwijokny5qplq5q.onion/assam-cover.
6. Теперь вы можете передать адрес кому-либо ещё, например, по электронной почте. OnionShare сообщит вам, когда скачивают распространяемые файлы.
7. После того, как вы закроете приложение OnionShare или закроете Tails, файлы больше не будут доступны для скачивания.

Подключение к сети. Wi-Fi в Tails
Вы можете подключаться к сети используя проводное, Wi-Fi или подключение к сотовым сетям.

Откройте системное меню в правом верхнем углу.

Если определено проводное подключение, Tails автоматически подключиться к сети.

Для подключения к Wi-Fi сети, выберите Wi-Fi Not Connected (Wi-Fi не подключён) и затем Select Network (выбрать сеть).

Для подключения к сотовой сети, выберите Mobile Broadband.

В настоящее время невозможно подключиться к сети используя:

Dial-up модемы.

VPN (из-за неразрешимого противоречия: сеть Tor не позволяет создавать соединения, когда известны исходный хост и конечный пункт назначения, а для VPN требуется именно такое соединение).

После установления подключения к сети:

Если вы уже можете подключаться к Интернету, автоматически запустится Tor.

Если вам нужно зайти в Перехватывающий портал (captive portal) перед получением доступа в Интернет, то смотрите документацию по входу на Перехватывающий портал.



Wi-Fi в Tails
Tails может работать с различными Wi-Fi адаптерами, поэтому при включении просто попробуйте использовать имеющуюся у вас Wi-Fi карту.

Если встроенная Wi-Fi карта не заработала, то на сайте разработчиков Tails рекомендуются следующие беспроводные адаптеры (то есть они точно будут работать в Tails):

• Edimax N150
• Panda Wireless Ultra
• Panda Wireless PAU05

Также рекомендуют попробовать отключить спуфинг (подмену) MAC адреса. Это делается в приветственном экране Tails, в котором нужно нажать + (плюс) для вывода дополнительных настроек.

Помните, что MAC адрес вашей Wi-Fi карты может однозначно идентифицировать ваш компьютер в локальной сети. Поэтому не рекомендуется без необходимости отключать спуфинг MAC адреса.

В Интернет MAC не передаётся, он виден только другим узлам локальной сети, а также в беспроводном пространстве — всем в радиусе досягаемости Wi-Fi сети. MAC может записываться роутером в журнал.





Как установить Tails на (внутренний или внешний) жёсткий диск. Как установить Tails в VirtualBox
Эта инструкция только для тех, кто действительно понимает, зачем ему это нужно. Если вы знаете, зачем вам это нужно, то и недостатки/последствия/отличия от обычной установки Tails вы также должны понимать.

Мы будем использовать встроенные инструмент Tails, мы всего лишь чуточку их подправим.

Кстати, этим же самым способом вы можете установить Tails в VirtualBox.

Загрузитесь с DVD/USB и при входе установите Пароль администратора, затем откройте терминал.

Введите в терминале команду чтобы открыть файл:

sudo gedit /usr/lib/python2.7/dist-packages/tails_installer/creator.py

В нём найдите строку:

Only pay attention to USB and SDIO devices

И закомментируйте следующие 8 строк ставя перед каждой строкой # (изменение цвета шрифта говорит о том, что вы всё сделали правильно). Это нужно делать вплоть до и включая:

continue

Получится:

Сохраните и закройте файл.

Теперь откройте файл:

sudo gedit /usr/lib/python2.7/dist-packages/tails_installer/gui.py

Найдите там строку

Skip devices with non-removable bit enabled

И закомментируйте следующие девять строк, вплоть и включая

continue

Должно получиться примерно так:

Сохраните и закройте файл.

Теперь в терминале выполните команду:

sudo /usr/bin/python -tt /usr/bin/tails-installer -u -n --clone -P -m -x

Выберите ваш диск и нажмите Install:

Без перезагрузки, смонтируйте раздел "Tails" с только что созданного устройствва/диска используя Applications → Utilities → Disks:

Интересует именно диск, на который установлена Tails, а не пустое место. Для его монтирования нажмите соответствующую кнопку

(похожа на кнопку Плей).

В терминале выполните

gedit /media/amnesia/Tails/syslinux/live*.cfg

В gedit будет открыто два файла:

В каждом из них найдите все вхождения строки

live-media=removable

и удалите эту строку.

Сохраните и закройте эти файлы

Затем в терминале выполните

gedit /media/amnesia/Tails/EFI/BOOT/live*.cfg

В gedit будет открыто два файла. В каждом из них аналогично найдите все вхождения строки:

live-media=removable

и удалите эту строку.

Перезагрузитесь, выберите загрузку с диска (HDD) и при включении установите пароль администратора.

Теперь откройте терминал и выполните там:

sudo gedit /usr/share/perl5/Tails/Persistence/Setup.pm

Найдите в этом файле:

foreach my $check (@checks) {

ПОСЛЕ этой строки вставьте строку:

=begin

Важно: она ДОЛЖНА быть помещена в колонку 1! Изменение цвета означает, что вы сделали всё правильно:

Ниже найдите строку:

return 1;

ПЕРЕД (над фигурной скобкой "}", которая в той же колонке, что и первая "r" строки "return 1;") вставьте строку

=cut

Важно: она ДОЛЖНА быть помещена в колонку 1:

Как вы обычно это делаете, запустите Applications → Tails → Configure persistant volume:

Задайте пароль и создайте постоянное хранилище:

После перезагрузки в окне приветствия появится новое поле, в которое можно ввести пароль для включения постоянного хранилища:

Как обычно через меню можно настроить постоянное хранилище (помните, что должен быть пропатчен файл /usr/share/perl5/Tails/Persistence/Setup.pm как это показано выше):

Вы можете сохранить два файла (или пя крайней мере /usr/share/perl5/Tails/Persistence/Setup.pm) и заменять их скриптом после каждой перезагрузки (позаботьтесь о владельцах и правах доступа!) чтобы ваша hdd-Tails вела себя в точности как USB-Tails.

Рекомендую сделать копию файла Setup.pm:

cp /lib/live/mount/medium/Setup.pm /home/amnesia/Persistent/

А также рекомендую создать файл, в который мы соберём несколько полезных действий:

gedit Persistent/start.sh

Копируем в него:

#!/bin/bash

# mount -o remount -w /lib/live/mount/medium # Обычно это не нужно
rm /usr/share/perl5/Tails/Persistence/Setup.pm
cp /home/amnesia/Persistent/Setup.pm
/usr/share/perl5/Tails/Persistence/
# Следующие строки только если вы установили Tails в VirtualBox
VBoxClient --clipboard
VBoxClient --draganddrop
VBoxClient --display
VBoxClient --checkhostversion
VBoxClient --check3d
VBoxClient --seamless
VBoxClient --vmsvga

После перезагрузки файл запускать следующим образом:

sudo bash Persistent/start.sh

В результате в системе будет восстановлена пропатченная версия файла Setup.pm, а также запущены процессы Гостевых дополнений VirtualBox — экран станет большим, заработает буфер обмена и прочее.



Заключение
Обе части нашего разбора Tails позволят научиться правильно использовать эту ОС в своих целях, сохраняя высший уровень анонимности. Надеюсь информация из этого цикла была для вас полезной и вы найдете ей применение. Возможно, когда-то появится третья часть, но я в этом не уверен.