<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
  <channel>
    <title>Телеметрія on Arpokrat</title>
    <link>https://arpokrat.com/uk/blog/tags/%D1%82%D0%B5%D0%BB%D0%B5%D0%BC%D0%B5%D1%82%D1%80%D1%96%D1%8F/</link>
    <description>Recent content in Телеметрія on Arpokrat</description>
    <generator>Hugo -- gohugo.io</generator><language>uk</language><lastBuildDate>Mon, 22 Jun 2026 00:00:00 +0000</lastBuildDate><atom:link href="https://arpokrat.com/uk/blog/tags/%D1%82%D0%B5%D0%BB%D0%B5%D0%BC%D0%B5%D1%82%D1%80%D1%96%D1%8F/index.xml" rel="self" type="application/rss+xml" />
    <item>
      <title>Яку операційну систему обрати для безпеки та конфіденційності? Windows, macOS, Linux, Tails, Whonix і Qubes OS у порівнянні</title>
      <link>https://arpokrat.com/uk/blog/os-comparison-security-privacy-windows-macos-linux-qubes/</link>
      <pubDate>Mon, 22 Jun 2026 00:00:00 +0000</pubDate>
      <guid>https://arpokrat.com/uk/blog/os-comparison-security-privacy-windows-macos-linux-qubes/</guid>
      <description>&lt;p&gt;Вибір операційної системи — це не лише питання зручності інтерфейсу чи сумісності програмного забезпечення. Дедалі більше це стає рішенням у сфері безпеки та конфіденційності. Кожна ОС збирає дані по-різному, має різну поверхню атаки та надає користувачеві дуже різний рівень контролю. Це порівняння аналізує основні системи ринку виключно з цього кута зору — від найпоширеніших до найспеціалізованіших.&lt;/p&gt;
&lt;h2 id=&#34;ключовий-критерій-хто-контролює-вашу-систему&#34;&gt;Ключовий критерій: хто контролює вашу систему?&lt;/h2&gt;
&lt;p&gt;Перш ніж заглиблюватися в деталі кожної ОС, варто окреслити основоположний принцип: безпека операційної системи фундаментально залежить від того, хто володіє кодом і які архітектурні рішення були прийняті під час проєктування. Пропрієтарна ОС із закритим кодом (Windows, macOS) делегує цю довіру своєму розробнику. ОС із відкритим кодом делегує цю довіру спільноті, яка аудитує код. ОС, розроблена для компартменталізованої безпеки (Qubes OS), виходить із припущення, що жодному компоненту системи не можна повністю довіряти.&lt;/p&gt;
&lt;hr&gt;
&lt;h2 id=&#34;windows-11&#34;&gt;Windows 11&lt;/h2&gt;
&lt;h3 id=&#34;збір-даних-і-телеметрія&#34;&gt;Збір даних і телеметрія&lt;/h3&gt;
&lt;p&gt;Windows 11 — найпоширеніша настільна ОС у світі і водночас одна з тих, що збирає найбільше даних за замовчуванням. Microsoft ділить телеметрію на дві офіційні категорії:&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Обов&amp;rsquo;язкові дані&lt;/strong&gt; (не вимикаються у редакціях Home і Pro): конфігурація обладнання, ідентифікатори пристрою, звіти про помилки та стабільність, дані про оновлення та драйвери. Ці дані передаються до Microsoft незалежно від налаштувань користувача.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Необов&amp;rsquo;язкові дані&lt;/strong&gt;: поведінка під час використання, взаємодія з програмами, дані персоналізації. Вимикаються в налаштуваннях, але автоматично вмикаються знову під час деяких великих оновлень.&lt;/p&gt;
&lt;p&gt;Windows 11 24H2 запровадив кілька нових рівнів збору даних, пов&amp;rsquo;язаних зі штучним інтелектом:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Windows Recall&lt;/strong&gt;: робить знімок екрана кожні п&amp;rsquo;ять секунд, щоб створити переглядану часову шкалу всього, що ви робили на своєму комп&amp;rsquo;ютері. Вимикається, але ввімкнений за замовчуванням і пов&amp;rsquo;язаний із правами доступу, розширюваними іншими програмами&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Copilot&lt;/strong&gt;: кожен запит передається на сервери Microsoft, включаючи знімки екрана, виділений текст і контекст відкритих програм&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Defender Cloud Protection&lt;/strong&gt;: надсилає хеші підозрілих файлів і поведінкові дані до хмари Microsoft для аналізу&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Висновок, задокументований численними незалежними технічними джерелами, є однозначним: повністю вимкнути телеметрію Windows 11 у редакціях Home і Pro неможливо. Єдиний спосіб зробити це — використовувати редакцію Enterprise або Education, застосовувати конкретні групові політики або вдаватися до сторонніх інструментів, як-от O&amp;amp;O ShutUp10++ або WPD, з притаманними їм ризиками нестабільності.&lt;/p&gt;
&lt;h3 id=&#34;поверхня-атаки-та-безпека&#34;&gt;Поверхня атаки та безпека&lt;/h3&gt;
&lt;p&gt;Windows 11 є ціллю переважної більшості шкідливих програм, програм-вимагачів та експлойтів у світі — пропорційно до своєї частки ринку. Microsoft запровадила вагомі механізми безпеки (обов&amp;rsquo;язковий TPM 2.0, Secure Boot, VBS, Credential Guard), але вони функціонують у монолітній моделі: компрометація ядра або привілейованої системної служби впливає на весь середовищний простір.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Вердикт щодо безпеки/конфіденційності:&lt;/strong&gt; найбільш вразлива система в цьому порівнянні, телеметрія не вимикається повністю, модель довіри цілком делегована Microsoft і американській юрисдикції.&lt;/p&gt;
&lt;hr&gt;
&lt;h2 id=&#34;macos&#34;&gt;macOS&lt;/h2&gt;
&lt;h3 id=&#34;збір-даних-і-телеметрія-1&#34;&gt;Збір даних і телеметрія&lt;/h3&gt;
&lt;p&gt;Apple збудувала частину свого маркетингового іміджу на конфіденційності. Технічна реальність є більш неоднозначною.&lt;/p&gt;
&lt;p&gt;macOS збирає значно менше даних, ніж Windows за замовчуванням, але збір все одно відбувається і частково не вимикається:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Gatekeeper і перевірка OCSP&lt;/strong&gt;: щоразу під час відкриття програми macOS виконує онлайн-перевірку на серверах Apple, щоб підтвердити, що програму не відкликано. Цей запит передає інформацію про відкриту програму та IP-адресу пристрою. Жодне вбудоване налаштування не дозволяє вимкнути ці перевірки без порушення ланцюга безпеки&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Аналітика macOS&lt;/strong&gt;: збір даних про використання системи, вимикається в Системних налаштуваннях &amp;gt; Конфіденційність &amp;gt; Аналітика&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Телеметрія програм Apple&lt;/strong&gt;: Maps, Siri, App Store та інші вбудовані програми Apple підтримують власний збір даних з ротаційними ідентифікаторами, незалежно від параметра системної аналітики&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Для більш глибокого захисту фахівці з безпеки рекомендують використовувати програмний брандмауер (Little Snitch або LuLu — відкритий і безкоштовний) для моніторингу та блокування вихідних з&amp;rsquo;єднань для кожної програми окремо.&lt;/p&gt;
&lt;h3 id=&#34;поверхня-атаки-та-безпека-1&#34;&gt;Поверхня атаки та безпека&lt;/h3&gt;
&lt;p&gt;macOS має кілька надійних механізмів безпеки: System Integrity Protection (SIP), який захищає системні файли лише для читання, Kernel Integrity Protection на апаратному рівні на чипах Apple Silicon, пісочниця для програм App Store і Secure Enclave на нових пристроях. Зв&amp;rsquo;язок із Apple ID є основним вектором збору персональних даних.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Вердикт щодо безпеки/конфіденційності:&lt;/strong&gt; краще за Windows щодо телеметрії за замовчуванням, але все ще підпадає під невимикні перевірки OCSP, американську юрисдикцію та закриту модель Apple. Незалежний аудит утруднений.&lt;/p&gt;
&lt;hr&gt;
&lt;h2 id=&#34;linux-загальні-дистрибутиви&#34;&gt;Linux (загальні дистрибутиви)&lt;/h2&gt;
&lt;p&gt;Linux — це не єдина операційна система, а ядро, на якому побудовані дуже різні дистрибутиви. З погляду безпеки та конфіденційності вони мають спільну основу, але розходяться в кількох ключових аспектах.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Ubuntu&lt;/strong&gt; — найпопулярніший дистрибутив для початківців. У 2012 році він викликав суперечки, надсилаючи локальні пошукові запити на сервери Amazon — цю поведінку пізніше прибрали. Ubuntu підтримує власний збір даних про використання (whoopsie, ubuntu-report), який можна вимкнути, і тісно інтегрує репозиторії Snap, контрольовані Canonical Ltd.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Debian&lt;/strong&gt; — основа, на якій побудований Ubuntu, без додаткових шарів Canonical. Управляється некомерційним спільнотним проєктом із суворою прихильністю до вільного програмного забезпечення та не збирає жодної телеметрії за замовчуванням. Консервативна політика оновлень загалом є кращою з погляду поверхні атаки.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Fedora&lt;/strong&gt;, підтримувана Red Hat (дочірня компанія IBM), є технічно сучасною з швидким циклом оновлень. Без телеметрії за замовчуванням, але зв&amp;rsquo;язок із Red Hat/IBM вносить корпоративну залежність, яку варто враховувати.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Linux Mint&lt;/strong&gt;, похідний від Ubuntu, орієнтований на користувачів, що переходять із Windows. Він прибрав найбільш суперечливі компоненти Ubuntu (Snap відсутній за замовчуванням) і не запроваджує власної телеметрії.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Arch Linux&lt;/strong&gt; орієнтований на досвідчених користувачів із мінімалістичною філософією: користувач встановлює лише те, що йому потрібно. Без телеметрії, постійні оновлення (rolling release), повна свобода налаштування.&lt;/p&gt;
&lt;h3 id=&#34;що-linux-пропонує-фундаментально&#34;&gt;Що Linux пропонує фундаментально&lt;/h3&gt;
&lt;ul&gt;
&lt;li&gt;&lt;strong&gt;Відкритий і перевіряємий вихідний код&lt;/strong&gt;: будь-який дослідник безпеки може перевірити код ядра та основних компонентів&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Відсутність нав&amp;rsquo;язаної телеметрії&lt;/strong&gt;: жоден із основних дистрибутивів не примушує до невимикного збору даних&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Суворіша модель дозволів за замовчуванням&lt;/strong&gt;: використання облікового запису root, відділеного від повсякденних дій&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Зменшена поверхня атаки&lt;/strong&gt;: Linux є менш популярною ціллю для масових шкідливих програм&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;&lt;strong&gt;Вердикт щодо безпеки/конфіденційності:&lt;/strong&gt; значно кращий за Windows і macOS щодо збору даних. Жоден із загальних дистрибутивів не захищає від компрометації програми, яка поширюється на всю систему.&lt;/p&gt;
&lt;hr&gt;
&lt;h2 id=&#34;tails-os&#34;&gt;Tails OS&lt;/h2&gt;
&lt;h3 id=&#34;філософія-амнезія-як-захист&#34;&gt;Філософія: амнезія як захист&lt;/h3&gt;
&lt;p&gt;Tails, абревіатура від &lt;em&gt;The Amnesic Incognito Live System&lt;/em&gt;, — це операційна система на основі Debian, яка злилася з Tor Project у 2024 році. Її філософія є принципово іншою порівняно з усіма іншими ОС: замість того щоб намагатися убезпечити постійне середовище, вона усуває будь-яку постійність за замовчуванням. &lt;strong&gt;Tails існує лише впродовж одного сеансу.&lt;/strong&gt;&lt;/p&gt;
&lt;h3 id=&#34;технічна-архітектура&#34;&gt;Технічна архітектура&lt;/h3&gt;
&lt;p&gt;Tails запускається повністю з USB-накопичувача (мінімум 8 ГБ) і працює виключно в оперативній пам&amp;rsquo;яті. Коли ви вимикаєте його, на хост-машині не залишається жодних слідів: ні тимчасових файлів, ні журналів, ні облікових даних, ні криміналістичних артефактів на жорсткому диску використовуваного ПК. Навіть якщо цей ПК скомпрометований на рівні програмного забезпечення — Tails ніколи нічого не записує на його диск.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Tor за замовчуванням і без винятків&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;Весь мережевий трафік Tails систематично маршрутизується через мережу Tor. Якщо програма намагається встановити пряме з&amp;rsquo;єднання, обходячи Tor, Tails блокує його. Неможливо використовувати Tails для перегляду інтернету без Tor — навіть випадково.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Зашифроване постійне сховище (необов&amp;rsquo;язково)&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;За замовчуванням Tails забуває все при кожному вимкненні. Для користувачів, яким потрібно зберігати певні дані між сеансами, Tails пропонує &lt;strong&gt;Persistent Storage&lt;/strong&gt;: зашифрований том (LUKS), створений на самому USB-накопичувачі та захищений паролем. Користувач точно обирає, що там зберігається: певні файли, конфігурації програм, ключі PGP тощо. Це постійне сховище не змінює амнестичний характер Tails стосовно хост-машини — воно впливає лише на те, що зберігається на USB-накопичувачі між двома сеансами.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Попередньо встановлені інструменти&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;Tails постачається з набором попередньо налаштованих інструментів: Tor Browser, клієнт зашифрованої пошти, інструмент шифрування файлів (Kleopatra/GnuPG), клієнти захищеного обміну повідомленнями та LibreOffice для офісної роботи. Не потрібно встановлювати жодного додаткового програмного забезпечення для звичайного використання з високим рівнем безпеки.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Технічна примітка 2026:&lt;/strong&gt; Tails 7.7 додав сповіщення про застарілі сертифікати Secure Boot, оскільки ключі Microsoft 2011 року починають закінчувати термін дії в червні 2026 року. Користувачі, чия прошивка UEFI не оновлена, можуть більше не мати змоги завантажити Tails на деяких машинах.&lt;/p&gt;
&lt;h3 id=&#34;що-tails-захищає-і-що--ні&#34;&gt;Що Tails захищає і що — ні&lt;/h3&gt;
&lt;table&gt;
	&lt;thead&gt;
			&lt;tr&gt;
					&lt;th&gt;Загроза&lt;/th&gt;
					&lt;th&gt;Захист Tails&lt;/th&gt;
			&lt;/tr&gt;
	&lt;/thead&gt;
	&lt;tbody&gt;
			&lt;tr&gt;
					&lt;td&gt;Криміналістика диска хоста після вилучення&lt;/td&gt;
					&lt;td&gt;Повний: диск хоста ніколи не торкається&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Мережеве спостереження (IP, відвідані сайти)&lt;/td&gt;
					&lt;td&gt;Надійний через Tor, але залежить від стійкості Tor&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Постійне шкідливе програмне забезпечення на хост-машині&lt;/td&gt;
					&lt;td&gt;Обходиться: Tails не використовує встановлену систему&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Шкідливе програмне забезпечення BIOS/UEFI (скомпрометована прошивка)&lt;/td&gt;
					&lt;td&gt;Відсутній: Tails не може захистити від прошивки використовуваної машини&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Людська помилка (вхід в особистий акаунт)&lt;/td&gt;
					&lt;td&gt;Відсутній: якщо ви входите в Gmail під Tails, ви деанонімізуєте сеанс&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Компрометація програмного забезпечення під час сеансу&lt;/td&gt;
					&lt;td&gt;Обмежено поточним сеансом, знищується при вимкненні&lt;/td&gt;
			&lt;/tr&gt;
	&lt;/tbody&gt;
&lt;/table&gt;
&lt;h3 id=&#34;чесні-обмеження&#34;&gt;Чесні обмеження&lt;/h3&gt;
&lt;ul&gt;
&lt;li&gt;Tails не підходить для щоденного використання: відсутність постійності означає необхідність переналаштовувати середовище при кожному запуску&lt;/li&gt;
&lt;li&gt;Шкідливе програмне забезпечення типу BIOS або прошивки (наприклад, імплант на рівні UEFI) може потенційно скомпрометувати сеанс Tails, оскільки Tails не контролює рівень прошивки машини, на якій працює&lt;/li&gt;
&lt;li&gt;Вхід в особистий акаунт (електронна пошта, соціальна мережа) скасовує анонімність сеансу незалежно від Tor&lt;/li&gt;
&lt;/ul&gt;
&lt;h3 id=&#34;для-кого&#34;&gt;Для кого?&lt;/h3&gt;
&lt;p&gt;Журналісти, що працюють із джерелами через SecureDrop, активісти під наглядом у репресивних режимах, будь-хто, хто потребує одноразового сеансу з високою чутливістю на непідконтрольному обладнанні. Використовувався Ґленном Ґрінволдом і Лорою Пойтрас для обробки документів Сноудена, рекомендований EFF, Freedom of the Press Foundation і Tor Project.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Вердикт:&lt;/strong&gt; інструмент першого вибору для разових сеансів із підвищеною чутливістю. Не є основною ОС для щоденного використання.&lt;/p&gt;
&lt;hr&gt;
&lt;h2 id=&#34;whonix&#34;&gt;Whonix&lt;/h2&gt;
&lt;h3 id=&#34;філософія-структурна-анонімність-через-мережеву-ізоляцію&#34;&gt;Філософія: структурна анонімність через мережеву ізоляцію&lt;/h3&gt;
&lt;p&gt;Whonix відповідає на інше запитання, ніж Tails: замість того щоб видаляти всі сліди після сеансу, він гарантує, що шкідливе програмне забезпечення, яке працює в робочому середовищі, &lt;strong&gt;структурно не може дізнатися справжню IP-адресу користувача&lt;/strong&gt; — навіть якщо має права root на робочій віртуальній машині.&lt;/p&gt;
&lt;p&gt;Whonix заснований на Debian (через KickSecure — посилену версію Debian, розроблену тією ж командою) і працює всередині гіпервізора типу 2 (VirtualBox, KVM) на будь-якій хост-ОС або нативно в Qubes OS як тип 1.&lt;/p&gt;
&lt;h3 id=&#34;архітектура-з-двома-вм&#34;&gt;Архітектура з двома ВМ&lt;/h3&gt;
&lt;p&gt;Центральним принципом Whonix є &lt;strong&gt;суворе розділення між мережевим і прикладним рівнями&lt;/strong&gt;, реалізоване через дві окремі віртуальні машини:&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Whonix-Gateway&lt;/strong&gt; — це перша ВМ. Вона запускає демон Tor і слугує виключно мережевим шлюзом. Вона єдина, хто має доступ до Інтернету. Вона не містить жодних користувацьких програм. Її єдина роль — перехоплювати весь вхідний і вихідний мережевий трафік і примусово направляти його через Tor.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Whonix-Workstation&lt;/strong&gt; — це друга ВМ. Це робоче середовище: браузер, пошта, обробка файлів, розробка. Вона підключена до Інтернету виключно через внутрішню віртуальну мережу, яка вказує на Whonix-Gateway. Вона не має прямого доступу до Інтернету, жодної можливості з&amp;rsquo;єднання, що обходило б Gateway.&lt;/p&gt;
&lt;p&gt;Ось що відбувається під час мережевого запиту з Workstation:&lt;/p&gt;
&lt;ol&gt;
&lt;li&gt;Програма надсилає мережевий запит&lt;/li&gt;
&lt;li&gt;Workstation передає його через внутрішній мережевий інтерфейс до Gateway&lt;/li&gt;
&lt;li&gt;Gateway перехоплює запит і перенаправляє його через Tor (три послідовних ретранслятори)&lt;/li&gt;
&lt;li&gt;Відповідь повертається тим самим шляхом у зворотньому напрямку&lt;/li&gt;
&lt;li&gt;Workstation отримує відповідь, ніколи не знаючи справжньої вихідної IP-адреси&lt;/li&gt;
&lt;/ol&gt;
&lt;p&gt;&lt;strong&gt;Фундаментальна гарантія&lt;/strong&gt;: навіть якщо шкідливе програмне забезпечення компрометує Workstation із правами root, воно не може дізнатися справжню IP-адресу користувача, оскільки сама Workstation ніколи до неї не має доступу. Workstation бачить лише внутрішню IP-адресу Gateway.&lt;/p&gt;
&lt;h3 id=&#34;додаткові-механізми-безпеки&#34;&gt;Додаткові механізми безпеки&lt;/h3&gt;
&lt;p&gt;&lt;strong&gt;Stream isolation&lt;/strong&gt;: Whonix використовує окремі ланцюги Tor для різних програм (браузер не використовує той самий ланцюг, що поштовий клієнт тощо), що запобігає кореляції трафіку між різними видами діяльності.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Boot clock randomization&lt;/strong&gt;: системний годинник Workstation злегка випадково зміщується при кожному запуску, щоб запобігти атакам синхронізації на основі точного системного часу.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;sdwdate&lt;/strong&gt;: Whonix використовує власний демон синхронізації часу (sdwdate), який отримує час через Tor з onion-серверів замість класичного NTP, що міг би витікати IP-адресу.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;AppArmor&lt;/strong&gt;: профілі AppArmor посилюють пісочницю критичних програм, таких як Tor Browser, на системному рівні.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Одноразові ВМ&lt;/strong&gt;: Whonix підтримує одноразові Workstation (&lt;em&gt;Whonix-Workstation DispVM&lt;/em&gt; у Qubes-Whonix) для разових завдань без постійності, аналогічно до підходу Tails, але в іншому постійному середовищі.&lt;/p&gt;
&lt;h3 id=&#34;три-режими-розгортання&#34;&gt;Три режими розгортання&lt;/h3&gt;
&lt;p&gt;&lt;strong&gt;Whonix на VirtualBox або KVM (Тип 2)&lt;/strong&gt;: найдоступніший режим. Обидві ВМ працюють на наявній хост-ОС (Windows, Linux, macOS). Зручний, але вносить додатковий рівень довіри до хост-ОС: якщо хост скомпрометований, захист Whonix може бути обійдений.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Qubes-Whonix (Тип 1, рекомендований)&lt;/strong&gt;: Whonix нативно інтегрований у Qubes OS як шаблони. Gateway стає ProxyVM (sys-whonix), а Workstation — AppQube (anon-whonix). Це найнадійніша конфігурація, оскільки ізоляція спирається на гіпервізор Xen bare-metal, а не на гіпервізор типу 2, що працює на потенційно вразливій хост-ОС. Це комбінація, рекомендована обома проєктами.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Фізична ізоляція (розширений режим)&lt;/strong&gt;: Gateway і Workstation працюють на двох окремих фізичних машинах, з&amp;rsquo;єднаних кабелем Ethernet. Workstation не має жодної мережевої карти, крім тієї, що підключена до Gateway. Цей режим різко зменшує базу довіри, але вимагає двох виділених машин.&lt;/p&gt;
&lt;h3 id=&#34;що-whonix-захищає-і-що--ні&#34;&gt;Що Whonix захищає і що — ні&lt;/h3&gt;
&lt;table&gt;
	&lt;thead&gt;
			&lt;tr&gt;
					&lt;th&gt;Загроза&lt;/th&gt;
					&lt;th&gt;Захист Whonix&lt;/th&gt;
			&lt;/tr&gt;
	&lt;/thead&gt;
	&lt;tbody&gt;
			&lt;tr&gt;
					&lt;td&gt;Витік IP-адреси з Workstation&lt;/td&gt;
					&lt;td&gt;Структурно неможливий за архітектурою&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;DNS-витоки&lt;/td&gt;
					&lt;td&gt;Неможливі: весь DNS проходить через Tor через Gateway&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Root-шкідливе ПЗ на Workstation, що шукає справжню IP&lt;/td&gt;
					&lt;td&gt;Відсутній: воно її не знайде&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Компрометація самої Gateway&lt;/td&gt;
					&lt;td&gt;Частковий: якщо Gateway скомпрометована, IP може витекти&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Компрометація хост-ОС (у режимі Тип 2)&lt;/td&gt;
					&lt;td&gt;Відсутній: скомпрометований хост може спостерігати обидві ВМ&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Деанонімізація через поведінку користувача&lt;/td&gt;
					&lt;td&gt;Відсутній: Whonix не захищає від людських помилок&lt;/td&gt;
			&lt;/tr&gt;
			&lt;tr&gt;
					&lt;td&gt;Криміналістика диска після вилучення&lt;/td&gt;
					&lt;td&gt;Частковий: Whonix є постійним за замовчуванням, крім одноразових ВМ&lt;/td&gt;
			&lt;/tr&gt;
	&lt;/tbody&gt;
&lt;/table&gt;
&lt;h3 id=&#34;чесні-обмеження-1&#34;&gt;Чесні обмеження&lt;/h3&gt;
&lt;ul&gt;
&lt;li&gt;Whonix не видаляє сліди з диска: він є постійним за замовчуванням (на відміну від Tails). Якщо вашу машину вилучили, а шифрування диска хоста відсутнє або слабке, дані ВМ можна відновити&lt;/li&gt;
&lt;li&gt;У режимі Тип 2 (VirtualBox/KVM на хост-ОС) безпека Whonix обмежена безпекою хост-ОС. Скомпрометований хост потенційно може спостерігати трафік між двома ВМ&lt;/li&gt;
&lt;li&gt;Продуктивність знижується через подвійну віртуалізацію та маршрутизацію через Tor: з&amp;rsquo;єднання повільні, великі завантаження утруднені в щоденному використанні&lt;/li&gt;
&lt;/ul&gt;
&lt;h3 id=&#34;для-кого-1&#34;&gt;Для кого?&lt;/h3&gt;
&lt;p&gt;Будь-хто, хто потребує постійного робочого середовища зі структурною мережевою анонімністю: розробка чутливого програмного забезпечення, тривалі дослідження під псевдонімом, управління кількома окремими цифровими ідентичностями, onion-сервери. Комбінація Qubes-Whonix вважається багатьма фахівцями з безпеки найнадійнішим анонімним робочим середовищем, доступним на сьогодні для щоденного використання.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Вердикт:&lt;/strong&gt; еталонна ОС для структурної мережевої анонімності в постійному середовищі. Доповнює Tails (який обробляє разові сеанси), а не конкурує з ним.&lt;/p&gt;
&lt;hr&gt;
&lt;h2 id=&#34;qubes-os&#34;&gt;Qubes OS&lt;/h2&gt;
&lt;h3 id=&#34;філософія-безпека-через-компартменталізацію&#34;&gt;Філософія: безпека через компартменталізацію&lt;/h3&gt;
&lt;p&gt;Qubes OS являє собою принципово інший підхід порівняно з усіма попередніми системами. Там, де інші ОС намагаються запобігти компрометаціям, Qubes виходить із радикально іншого постулату: &lt;strong&gt;компрометація деяких компонентів є неминучою. Мета — переконатися, що вона не може поширитися.&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;Створений у 2012 році дослідницею в галузі безпеки Джоанною Рутковською, Qubes OS публічно рекомендований Едвардом Сноуденом та іншими фахівцями з безпеки.&lt;/p&gt;
&lt;h3 id=&#34;технічна-архітектура-1&#34;&gt;Технічна архітектура&lt;/h3&gt;
&lt;p&gt;&lt;strong&gt;Гіпервізор Xen як базовий рівень&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;Qubes — це не дистрибутив Linux у класичному розумінні. Він використовує &lt;strong&gt;гіпервізор Xen&lt;/strong&gt; — програмне забезпечення для віртуалізації bare-metal, що виконується безпосередньо на апаратному забезпеченні без проміжної хост-ОС — для створення легких віртуальних машин, що називаються &lt;strong&gt;qubes&lt;/strong&gt;. Ізоляція між qubes забезпечується на апаратному рівні за допомогою технологій &lt;strong&gt;Intel VT-x/VT-d&lt;/strong&gt; і &lt;strong&gt;AMD-Vi (IOMMU)&lt;/strong&gt;, які запобігають доступу ВМ до пам&amp;rsquo;яті або периферійних пристроїв інших ВМ без явного дозволу.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;dom0: домен максимальної довіри&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;На вершині ієрархії знаходиться &lt;strong&gt;dom0&lt;/strong&gt; — привілейований домен, з якого запускається менеджер робочого столу. dom0 керує відображенням усіх вікон інших qubes. З міркувань безпеки dom0 &lt;strong&gt;не має мережевого з&amp;rsquo;єднання&lt;/strong&gt; та не запускає жодних користувацьких програм. Він служить лише для оркестрування відображення та управління доменами.&lt;/p&gt;
&lt;p&gt;&lt;strong&gt;Qubes: ізольовані відсіки&lt;/strong&gt;&lt;/p&gt;
&lt;p&gt;Користувач визначає стільки qubes, скільки потрібно, кожен відповідає певному контексту довіри:&lt;/p&gt;
&lt;ul&gt;
&lt;li&gt;Qube &lt;strong&gt;«робота»&lt;/strong&gt; для робочих програм&lt;/li&gt;
&lt;li&gt;Qube &lt;strong&gt;«особисте»&lt;/strong&gt; для електронної пошти та соціальних мереж&lt;/li&gt;
&lt;li&gt;Qube &lt;strong&gt;«банкінг»&lt;/strong&gt; виключно для фінансових операцій&lt;/li&gt;
&lt;li&gt;Qube &lt;strong&gt;«ненадійний»&lt;/strong&gt; для відкриття підозрілих вкладень&lt;/li&gt;
&lt;li&gt;&lt;strong&gt;Одноразові qubes&lt;/strong&gt;, що повністю зникають при закритті&lt;/li&gt;
&lt;/ul&gt;
&lt;p&gt;Кожен qube має власний мережевий стек, власний адресний простір&lt;/p&gt;
</description>
    </item>
  </channel>
</rss>