Kodachi (ОС для анонимности, безопасности и антикриминалистики) — НЕ понравилась!


Первое знакомство с Kodachi

Итак… на этом месте должна была быть инструкция по ОС Kodachi, аналогичная инструкциям по Tails, Whonix, BackBox, Kali Linux.

Но по мере знакомства, я понял, что Kodachi мне не нравится и вызывает вопросы доверия к этой ОС. Дело не во вкусовщине — оформление или наляпанные виджиты — о вкусах не спорят. Дело в практичности.

1. Открытые порты на Kodachi

Открытые порты на Linux можно посмотреть командой:

ss -tulpn

Вот так выглядит вывод этой команды на моём домашнем-рабочем компьютере, где дистрибутив установлен 2 года назад (Arch Linux + репозитории BlackArch):

То есть открытых портов нет.

Вот так выглядят открытые порты на Kali Linux, которую я использую для написания инструкций:

Там тоже нет открытых портов. И это логично — любой порт должен открываться только если он действительно нужен пользователю, который использует компьютер. Операционная система (любая) по умолчанию не должна иметь ни одного открытого порта, поскольку:

1) риск эксплуатации/брут-форса службы на этом порту и компрометации компьютера

2) риск что это запущенный бэкдор (троян), который ожидает подключения.

По этой причине в Kali Linux даже особая политика — все сетевые службы по умолчанию не имеют автозапуска. В Arch Linux и производных аналогично — практически все службы, даже менеджер дисплея, требуют явного указания для автозапуска.

А вот как выглядят проверка открытых портов в Kodachi:

Можно не обращать внимание на открытые порты, которые прослушиваются на локальных адресах. Да и то… поскольку по умолчанию Kodachi подключён по VPN, то подключения к порту могут прийти и из локальной сети.

Но особого беспокойства заслуживают открытые порты на 0.0.0.0 (открытые для всех в IP сетях) и [::] (открытые для всех в IPv6 сетях).

Отрытых на весь мир портов не должно быть и в обычных дистрибутивах (по умолчанию), а уж в дистрибутиве ориентированном на безопасность, это вообще недопустимо.

Порты нормально сканируются с внешнего компьютера — некоторые помечены как open|filtered, а один просто открыт:

sudo nmap -sV --script=banner -sU -p 68,123,631,5353,39953 192.168.43.234

Даже если это не бэкдоры, то это не нормально уже хотя бы потому, что такой набор портов является отпечатком, по которому можно определить, что удалённый пользователь работает на Kodachi. Набор портов при каждом запуске одинаковый, меняется только самый последний. Я понимаю, что VPN соединение открывает порт (скорее всего последний рандомный порт используется для VPN). Но для чего остальные?



2. Совсем неПросто

Уже много аналогичных дистрибутивов, поэтому Kodachi характеризуется автором как «простой, не требующих знаний Linux».

У меня есть знания Linux, я прочитал всю документацию по Kodachi — я НЕ ПОНИМАЮ, как им пользоваться…

Вот вам обзор ярлыков на главном экране:

Я не знаю, всё ли вам там понятно — я пока не разобрался.

3. Неудачная модель анонимности

В статье «Типичные ошибки, приводящие к деанонимизации» я говорил, что VPN — это замечательная сама по себе технология при правильном её использовании (создании виртуальных приватных сетей, шифровании трафика), но она плохо подходит для анонимности. Kodachi интенсивно использует именно VPN.

Причём у каждого пользователя Kodachi есть свой идентификатор — это написано в документации. Идентификатор нужен не для слежения за пользователями, а для бана тех, кто злоупотребляет и перегоняет слишком большие объёмы трафика. Дело в том, что используются VPN на серверах, за которые платит автор Kodachi. Его можно понять, без этой меры все VPN стали бы быстро непригодны для использования из-за того, что несколько пользователей качали бы через них торренты или фильмы. Как говорит сам автор, эта ОС для анонимности, а не для скачивания файлов.

Но анонимность, которая начинается с идентификатора… это как анонимность в Телеграмме, который начинается с регистрации по номеру телефона и поиску по адресной книги… ХЗ почему многим это норм, но мне такая анонимность не нужна!

4. Неудачная основа дистрибутива

В качестве основы взята Xubuntu, то есть по сути Ubuntu. Если вы устанавливали последние версии Ubuntu, вы могли обратить внимание, сколько там ярлыков на разные облачные сервисы, которые большинству не нужны. Такое ощущение, что это Windows, на котором запущен вирус, установивший пару десятков ярлыков.

Дошло до того, что Linux Mint (основанная на Ubuntu) БЛОКИРУЕТ установку Snap (разработчик Canonical Ltd.), которая ведёт себя как настоящий троян — скрыто устанавливается, скрыто перезаписывает часть пакетов и скрыто подключается к удалённым серверам. Об этом говорилось в прошлом году (https://blog.linuxmint.com/?p=3766) и ещё раз повторили в этом (https://blog.linuxmint.com/?p=3906).

Моё личное использование Ubuntu вызывало только негативные эмоции. Постоянно возникающие ошибки и предложение отправить отчёт — у меня уже была похожая ОС, она называлась Windows '98.

5. Неудачный тюнинг окружения рабочего стола

В дистрибутиве используется XFCE, но он сделан быть похожим на GNOME 3. Результат: найти и открыть свёрнутое приложение практически невозможно. В целом ощущение от рабочего стола: «понты дороже юзабилити».

Заключение

Я не делаю какие-то далеко идущие выводы из-за наличия открытых портов — возможно, часть из-за неудачной настройки, а часть по наследству от Ubuntu. Хотя ситуация нуждается в дальнейшем изучении.

Более того, по Kodachi будет инструкция! С разбором возможностей и плюсов данного дистрибутива. Нужно понимать плюсы, минусы и риски различных инструментов и применять их тогда, когда это наиболее целесообразно.


Рекомендуется Вам:

5 комментариев to Kodachi (ОС для анонимности, безопасности и антикриминалистики) — НЕ понравилась!

  1. Артем Фесенко:

    Полностью согласен с автором статьи.Первое знакомство было пол года назад с этой ОС, после статьи на хабре. Из понравившегося только стиль conky который так и не смог найти, очень был бы благодарен, если уважаемый автор статьи помог бы найти или скопировать этот стиль. По самой ОС. Проработала почти две недели и после 4 - 5 обновления перестала грузится.Подумал глюк и накатил ее по новой. Пришли обновы и та же картина. Не понятно чем руководствовался автор сборки, но сделанна она до ужоса сырой и дырявой! А за статью спасибо! Рад что не у одного меня подобное мнение.

  2. tux:

    сидим на дебиан…

  3. Kosta:

    А если при использовании команды ss -tulpn в Parrot OS есть открытые порты 0.0.0.0;500 и 0.0.0.0:4500 на которых висит daemon charon, нужно ли его отключить?

  4. имя:

    Единственый минус кодачи (как по мне) это убунту (не нравилась она мне ни когда), но автор оси утверждает что взял её из-за набора дров. В остальном всё удобно и понятно. В альтернативу попугай мона юзать, есть сборка домашняя на 2 гига легче) Но лучше говорят собрать всё самому, а может ещё и комп свой смастерить, а чё ну шоб всё своё всё на 100 просентов )))

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *